[संगोष्ठी] [डिवाइस के पीछे का बचाव: मोबाइल अनुप्रयोग सुरक्षा]
 [क्रिस Wysopal] [हार्वर्ड विश्वविद्यालय]
 [यह CS50 है.] [CS50.TV]
 

नमस्कार. मेरा नाम क्रिस Wysopal है.
 मैं सीटीओ और Veracode के सह संस्थापक हूँ.
 Veracode एक आवेदन सुरक्षा कंपनी है.
 हम विभिन्न अनुप्रयोगों के सभी प्रकार के परीक्षण,
 और क्या मैं आज के बारे में बात करने जा रहा हूँ मोबाइल आवेदन सुरक्षा है.
 मेरी पृष्ठभूमि मैं सुरक्षा अनुसंधान कर रहा है है
 एक बहुत लंबे समय के लिए, शायद के रूप में लंबे समय तक किसी के रूप के बारे में.
 मैं मध्य 90 के दशक में शुरू किया था,
 और यह बहुत दिलचस्प था कि एक समय था क्योंकि
 हम मध्य 90 के दशक में एक प्रतिमान परिवर्तन किया था.
 अचानक हर किसी के कंप्यूटर के सभी इंटरनेट से चौंक गई,
 और फिर हम वेब अनुप्रयोगों की शुरुआत की थी,
 और कहा कि मैं तो एक बहुत ध्यान केन्द्रित किया था.
 यह दिलचस्प है.
 अब हम कंप्यूटिंग के साथ हो रहा है एक और प्रतिमान बदल दिया है
 जो मोबाइल अनुप्रयोगों के लिए बदलाव है.
 

मैं यह तो यह देर से 90 के दशक में था एक समान समय की तरह है महसूस
 हम वेब अनुप्रयोगों की जांच और जैसे दोषों खोज रहे थे जब
 सत्र प्रबंधन त्रुटियों और SQL इंजेक्शन
 जो वास्तव में पहले मौजूद नहीं था, और अचानक वे हर जगह थे
 वेब अनुप्रयोगों में, और अब मैं खर्च समय की एक बहुत
 मोबाइल अनुप्रयोगों पर देख रहे हैं और जंगली में बाहर वहाँ क्या हो रहा है पर विचार कर रही है.
 मोबाइल अनुप्रयोगों वास्तव में प्रभावी कंप्यूटिंग मंच होने जा रहे हैं,
 इसलिए हम वास्तव में आप सुरक्षा उद्योग में हैं, तो समय की एक बहुत खर्च करने की जरूरत
 वेब अनुप्रयोगों पर ध्यान दे.
 2011 में डाउनलोड की 29 अरब मोबाइल क्षुधा थे.
 यह 2014 तक 76 अरब क्षुधा होने की भविष्यवाणी की है.
 इस साल खरीदा जा जा रहे हैं कि 686,000,000 उपकरणों रहे है,
 लोग कर रहे हो जा रहे हैं, जहां तो यह है
  उनके ग्राहक कंप्यूटिंग के बहुमत के आगे जा रही है.
 

मैं फिडेलिटी इनवेस्टमेंट्स में एक अध्यक्ष, उपाध्यक्ष के लिए बात कर रहा था
 एक दो महीने पहले, और उन्होंने कहा कि वे अभी और अधिक यातायात देखा था
 अपने ग्राहक आधार से वित्तीय लेनदेन कर
 अपनी वेबसाइट पर की तुलना में उनके मोबाइल आवेदन पर,
 इसलिए अतीत में वेब के लिए एक आम का उपयोग किया गया है
 , अपने शेयर भाव जाँच अपने पोर्टफोलियो के प्रबंधन
 और हम वास्तव में अधिक 2012 स्विच में देख रहे हैं कि
 मोबाइल मंच पर और अधिक प्रभावी होने के लिए.
 किसी भी आपराधिक गतिविधि होने जा रहा है निश्चित रूप से अगर,
 किसी भी दुर्भावनापूर्ण गतिविधि, यह मोबाइल प्लेटफॉर्म पर ध्यान केंद्रित किया जाना शुरू हो रहा है
 लोगों को उस पर स्विच समय के साथ के रूप में.
 आप मोबाइल मंच पर नजर डालें तो,
 यह अलग परतों में टूट के लिए उपयोगी है मंच के जोखिम को देखने के लिए,
 आप एक डेस्कटॉप कंप्यूटर पर ऐसा होता है, जैसे
 और आप अलग अलग परतों, सॉफ्टवेयर, ऑपरेटिंग सिस्टम, के बारे में सोचना
 नेटवर्क परत, हार्डवेयर परत, और जाहिर है, उन सभी परतों पर कमजोरियों नहीं है.
 

एक ही बात मोबाइल पर होता है.
 लेकिन मोबाइल, यह उन परतों में से कुछ बंद भी बदतर हैं कि लगता है.
 एक के लिए, नेटवर्क परत मोबाइल पर अधिक समस्याग्रस्त है
 बहुत से लोगों को उनके कार्यालय में या घर पर ही है क्योंकि
 कनेक्शन तार या वे सुरक्षित वाईफ़ाई कनेक्शन है,
 और मोबाइल उपकरणों के बहुत से आप घर के बाहर स्पष्ट रूप से कर रहे हैं
 या एक बहुत कार्यालय के बाहर, और आप Wi-Fi उपयोग कर रहे हैं वहाँ
 आप एक असुरक्षित वाई फाई कनेक्शन का उपयोग किया जा सकता है,
 एक सार्वजनिक वाईफ़ाई कनेक्शन है कि कुछ,
 हम मोबाइल एप्लिकेशन के बारे में सोचना तो जब हम खाते में रखना होगा
 नेटवर्क वातावरण उन अनुप्रयोगों के लिए जोखिम भरी है कि
 वाई फाई का इस्तेमाल किया जा रहा है.
 और मैं मोबाइल आवेदन जोखिम के अधिक में मिलता है जब
 अधिक महत्वपूर्ण है कि यही कारण है कि आप देखेंगे.
 मोबाइल उपकरणों पर हार्डवेयर स्तर पर जोखिम भी हैं.
 यह चल रहे अनुसंधान का एक क्षेत्र है.
 लोग इन ब्रॉडबैंड हमलों या बेसबैंड हमलों कॉल
 आप रेडियो पर सुन रहा है कि फर्मवेयर पर हमला कर रहे हैं.
 

ये वास्तव में डरावना हमले कर रहे हैं, क्योंकि
 उपयोगकर्ता कुछ भी करने की जरूरत नहीं है.
 आप आरएफ सीमा के भीतर उपकरणों के बहुत से हिट कर सकते हैं
 एक ही बार में, और यह इस शोध बुलबुले जब भी तरह लगता है
 यह जल्दी से जहां वर्गीकृत किया जाता है
 आसपास के लोगों में झपट्टा और कहते हैं, "यहां, इस बारे में हमें बताओ, और इसके बारे में बात करना बंद करें."
 ब्रॉडबैंड क्षेत्र में चल रहा है वहाँ कुछ अनुसंधान,
 लेकिन यह बहुत हश हश हो रहा है.
 मैं यह हो रहा है कि अनुसंधान के एक राष्ट्र राज्य प्रकार के और अधिक लगता है.
 सक्रिय अनुसंधान के एक क्षेत्र है, हालांकि, ऑपरेटिंग सिस्टम परत है,
 और फिर, यह डेस्कटॉप कंप्यूटिंग की दुनिया की तुलना में अलग है
 मोबाइल अंतरिक्ष में आप Jailbreakers कहा जाता है कि लोगों की इन टीमों है, क्योंकि
 और Jailbreakers नियमित भेद्यता शोधकर्ताओं की तुलना में अलग हैं.
 वे ऑपरेटिंग सिस्टम में कमजोरियों खोजने की कोशिश कर रहे हैं
 लेकिन वे कमजोरियों खोजने की कोशिश कर रहे हैं कारण के लिए नहीं है
 किसी और की मशीन में तोड़ और यह समझौता.
 यह उनके स्वयं के कंप्यूटर में तोड़ने के लिए है.
 वे अपने स्वयं के मोबाइल में तोड़ना चाहते >>, अपने स्वयं के मोबाइल ऑपरेटिंग सिस्टम को संशोधित
 वे अपनी पसंद के अनुप्रयोगों चला सकते हैं तो
 और पूरा प्रशासनिक अनुमति के साथ चीजों को बदलने,
 और वे इस बारे में विक्रेता बताने के लिए नहीं करना चाहती. वे एक सफेद टोपी सुरक्षा शोधकर्ता है जो एक सुरक्षा शोधकर्ता पसंद नहीं कर रहे हैं
 जिम्मेदार प्रकटीकरण करते हैं और इसके बारे में विक्रेता बताने जा रहा है.
 वे इस शोध करना चाहते हैं, और वे वास्तव में इसे प्रकाशित करना चाहते हैं
 में एक शोषण या एक rootkit या एक भागने कोड,
 और वे सही होने के बाद जैसे, रणनीतिक यह करना चाहते हैं
 विक्रेता जहाजों के नए ऑपरेटिंग सिस्टम.
 आप इस विरोधात्मक रिश्ता है
 मोबाइल पर ओएस स्तर कमजोरियों के साथ,
 मैं काफी दिलचस्प लगता है, और एक ही स्थान पर हम यह देखते हैं जो
 अच्छा फायदा उठाने प्रकाशित कोड को वहाँ से बाहर है कि वहाँ तो यह है कि यह बनाता है
 कर्नेल स्तर कमजोरियों के लिए,
 और हम वास्तव में मैलवेयर लेखकों द्वारा इस्तेमाल किया जा उन देखा है.
 यह पीसी दुनिया से थोड़ा अलग है.
 और फिर अंतिम परत ऊपर परत, अनुप्रयोग परत है.
 यही कारण है कि मैं आज के बारे में बात करने जा रहा हूँ.
 >>, अन्य परतों मौजूद हैं, और अन्य परतों इसे में खेलना
 लेकिन मैं ज्यादातर आवेदन परत में क्या हो रहा है के बारे में बात करने जा रहा हूँ
 कोड sandbox में चल रहा है, जहां.
 यह प्रशासनिक विशेषाधिकार नहीं है.
 यह डिवाइस के एपीआई का उपयोग करने के लिए है,
 लेकिन फिर भी, दुर्भावनापूर्ण गतिविधि का एक बहुत कुछ है और जोखिम का एक बहुत है कि परत में हो सकता है
 सब जानकारी है कि जहां परत है क्योंकि.
 Apps उपकरण पर सभी जानकारी का उपयोग कर सकते हैं
 वे सही अनुमति है, तो
 और वे डिवाइस पर अलग सेंसर का उपयोग कर सकते हैं,
 जीपीएस सेंसर, माइक्रोफोन, कैमरा, तुम क्या है.
 हम केवल आवेदन परत पर के बारे में बात कर रहे हैं, भले ही
 हम वहाँ जोखिम के एक बहुत कुछ है.
 मोबाइल पर्यावरण के बारे में अलग है कि दूसरी बात
 सभी ऑपरेटिंग सिस्टम के खिलाड़ियों, यह हो जाता है ब्लैकबेरी या Android
 या आईओएस या विंडोज मोबाइल, वे सब, एक ठीक छोटाबीजवाला अनुमति मॉडल
 और यह वे ऑपरेटिंग सिस्टम में बनाया गया है कि तरीकों में से एक है
 यह रूप में आपको लगता जोखिम भरा नहीं है कि विचार.
 आप वहां पर अपने सभी संपर्क किया है, भले ही अपने सभी व्यक्तिगत जानकारी,
 आप अपने फोटो है, आप वहां पर अपना स्थान है
 आप वहाँ पर ऑटो लॉगिन करने के लिए अपने बैंक पिन भंडारण कर रहे हैं, यह सुरक्षित है क्योंकि
 क्षुधा कुछ भागों में पाने के लिए कुछ अनुमतियों के लिए है
 डिवाइस के बारे में जानकारी है, और उपयोगकर्ता के साथ प्रस्तुत किया जाना है
 इन अनुमतियों और ठीक कहते हैं.
 

इसके साथ समस्या हमेशा उपयोगकर्ता है ठीक कहते हैं.
 एक सुरक्षा व्यक्ति के रूप में, मैं आपको उपयोगकर्ता को संकेत कर सकते हैं,
 वास्तव में कुछ बुरा होने वाला है कहना, आप ऐसा करना चाहते हैं?
 और वे एक भीड़ में हो या उस के दूसरी तरफ वास्तव में मोहक अगर वहाँ कुछ,
 की तरह एक खेल है, वे के लिए इंतजार कर रहा है कि स्थापित किया जा रहा है
 वे ठीक क्लिक करने के लिए जा रहे हैं.
 मैं तो बस मुझे पहले से ही सूअरों में पक्षियों लात चलो यहाँ मेरी स्लाइड पर क्यों कहते हैं, आइये
 और आप एक ब्लैकबेरी अनुमति बॉक्स के उदाहरण नहीं है यहाँ स्लाइड पर देख सकते हैं.
 यह "ब्लैकबेरी यात्रा आवेदन अनुमतियाँ सेट करें कहते हैं
 , नीचे दिए गए बटन पर क्लिक "और मूल रूप से उपयोगकर्ता सिर्फ कहने जा रहा है के बाद
 अनुमतियाँ सेट और बचाने के लिए.
 यहाँ यह बातें पता चलता है जहां एक Android शीघ्र है,
 और यह वास्तव में लगभग एक चेतावनी की तरह लग रहा है कि कुछ कहते हैं.
 यह वहाँ उपज साइन कह नेटवर्क संचार, फोन कॉल का एक तरह से मिल गया है
 लेकिन उपयोगकर्ता सही, स्थापित क्लिक करने के लिए जा रहा है?
 और फिर एप्पल से एक पूरी तरह से अहानिकर है.
 यह चेतावनी के किसी भी प्रकार देना नहीं है.
 यह एप्पल अपने वर्तमान स्थान का उपयोग करना चाहते हैं तो बस है.
 बेशक आप ठीक क्लिक करने के लिए जा रहे हैं.
 

इस सुक्ष्म अनुमति मॉडल है,
 और क्षुधा वे घोषित जहां एक प्रकट फ़ाइल के लिए है
 , अनुमति की जरूरत है वे है, और है कि उपयोगकर्ता के लिए प्रदर्शित हो जाएगी
 और उपयोगकर्ता मैं इन अनुमति देना कहने के लिए होगा.
 लेकिन हम ईमानदार हो.
 प्रयोक्ता बस हमेशा ठीक कहने जा रहे हैं.
 इन क्षुधा के लिए पूछ रहे हैं कि अनुमतियों पर एक त्वरित देखो
 और वहाँ रहे हैं कि अनुमतियों के कुछ.
 इस कंपनी Praetorian पिछले साल एक सर्वेक्षण किया था
 एंड्रॉयड बाजार और 3 पार्टी बाजारों में विश्लेषण 53,000 आवेदनों की,
 इसलिए यह सभी Android है.
 और औसत एप्लिकेशन 3 अनुमतियों का अनुरोध किया.
 कुछ क्षुधा 117 अनुमतियों का अनुरोध किया,
 तो जाहिर है इन को समझने के लिए एक उपयोगकर्ता के लिए सुक्ष्म और रास्ता भी जटिल बहुत ठीक हैं
 वे इन 117 अनुमतियों की जरूरत है कि इस बॉक्स के साथ प्रस्तुत कर रहे हैं.
 यह 45 पृष्ठों लंबा है कि अंत उपयोगकर्ता लाइसेंस समझौते की तरह है.
 हो सकता है कि जल्द ही वे यह पसंद है जहां एक विकल्प होगा
 अनुमतियाँ प्रिंट और मुझे एक ईमेल भेजें.
 

लेकिन आप शीर्ष दिलचस्प अनुमतियों के कुछ देखो अगर
 वे 53,000 से बाहर डाउनलोड की क्षुधा का 24%
 डिवाइस से अनुरोध किया जीपीएस जानकारी.
 8% संपर्कों पढ़ा.
 4% एसएमएस भेजा, और 3% एसएमएस मिला.
 2% ऑडियो दर्ज की गई.
 1% आउटगोइंग कॉल संसाधित.
 मुझे नहीं मालूम.
 मैं, app की दुकान में क्षुधा की 4% वास्तव में एसएमएस पाठ संदेश भेजने की जरूरत नहीं लगता
 इसलिए मुझे लगता है कि कुछ अनहोनी हो रहा है कि एक संकेत है.
 क्षुधा के 8% आपकी संपर्क सूची पढ़ने की जरूरत है. यह शायद आवश्यक नहीं है.
 अनुमतियों के बारे में अन्य रोचक बातों में से एक है
 आप अपने आवेदन में साझा पुस्तकालयों में लिंक अगर
 उन आवेदन की अनुमति के वारिस,
 इसलिए अपने app संपर्क सूची की जरूरत है या कार्य करने के लिए जीपीएस स्थान की जरूरत है
 और आप उदाहरण के लिए, एक विज्ञापन के पुस्तकालय में लिंक,
 उस विज्ञापन पुस्तकालय भी संपर्कों का उपयोग करने में सक्षम हो जाएगा
 और भी जीपीएस स्थान का उपयोग कर सकेंगे,
 और एप्लिकेशन डेवलपर की विज्ञापन लाइब्रेरी में चल रहा है कि कोड के बारे में कुछ नहीं जानता.
 वे उनके अनुप्रयोग धातु के सिक्के के लिए चाहते हैं क्योंकि वे सिर्फ उस में लिंक कर रहे हैं.
 

यह कहाँ और है कि मैं के साथ इस के कुछ उदाहरण के बारे में बात करेंगे
 पेंडोरा नामक एक आवेदन जहां एक आवेदन डेवलपर
 अनजाने जानकारी लीक हो सकती है
 अपने उपयोगकर्ताओं से क्योंकि वे अंदर जुड़ा है पुस्तकालयों की
 सब अलग अलग क्षुधा को देख, वहाँ से बाहर परिदृश्य सर्वेक्षण
 दुर्भावनापूर्ण या कर कुछ उपयोगकर्ताओं को नहीं चाहता था के रूप में खबर में बताया गया है कि
 और उसके बाद की एक बहुत निरीक्षण क्षुधा, हम, मोबाइल एप्लिकेशन पर स्थिर द्विआधारी विश्लेषण का एक बहुत कुछ
 इसलिए हम उन्हें निरीक्षण किया और कोड में देखा है ही,
 हम हम अनुप्रयोगों में जोखिम भरे व्यवहार की हमारे शीर्ष 10 की सूची क्या कॉल के साथ आया था.
 और यह 2 वर्गों, दुर्भावनापूर्ण कोड में विभाजित होता है
 इसलिए इन क्षुधा कर रही हो सकता है कि बुरी बातें कर रहे हैं कि
 कि एक दुर्भावनापूर्ण व्यक्ति कुछ होने की संभावना है
 विशेष रूप से आवेदन में डाल दिया, लेकिन यह एक छोटा सा फजी की है.
 यह एक डेवलपर ठीक है सोचता है कि कुछ हो सकता है
 लेकिन यह उपयोगकर्ता द्वारा दुर्भावनापूर्ण के बारे में सोचा जा रहा है.
 

और फिर दूसरे खंड हम कमजोरियों कोडिंग कहते हैं,
 और इन डेवलपर मूल रूप से गलतियों को बना रही है जहां बातें कर रहे हैं
 या सिर्फ सुरक्षित app लिखने के लिए समझ में नहीं है,
  और कहा कि खतरे में एप्लिकेशन उपयोगकर्ता रख रहा है.
 मैं विस्तार में इन के माध्यम से जाने के लिए और कुछ उदाहरण देने जा रहा हूँ.
 संदर्भ के लिए, मैं OWASP मोबाइल शीर्ष 10 की सूची प्रस्तुत करने के लिए चाहता था.
 इन 10 मुद्दे हैं कि OWASP पर एक समूह,
 ओपन वेब अनुप्रयोग सुरक्षा परियोजना, वे काम कर रहे एक समूह है
 एक मोबाइल शीर्ष 10 की सूची पर काम कर रहा.
 वे शीर्ष 10 हैं जो एक बहुत प्रसिद्ध वेब शीर्ष 10 की सूची है,
 riskiest बातें आप एक वेब आवेदन में हो सकता है.
 वे मोबाइल के लिए एक ही बात कर रहे हैं,
 और उनकी सूची हमारी तुलना में थोड़ा अलग है.
 10 में से 6 में ही हैं.
 वे अलग हैं कि 4 है.
 मुझे लगता है वे पर एक अलग ले का एक छोटा सा लगता है
 मोबाइल क्षुधा में जोखिम जहां उनके मुद्दों का एक बहुत
 वास्तव में आवेदन एक पीठ के अंत सर्वर से संवाद स्थापित कर रहा है कैसे कर रहे हैं
 या क्या पीठ के अंत सर्वर पर चल रहा है,
 बस सीधा ग्राहक क्षुधा हैं कि जोखिम भरा व्यवहार है कि इतना नहीं क्षुधा.
 

यहाँ लाल रंग में लोगों को 2 सूचियों के बीच मतभेद हैं.
 और अपने शोध टीम के कुछ वास्तव में इस परियोजना के लिए योगदान दिया है,
 इसलिए हम समय के साथ देखेंगे कि क्या होता है, लेकिन मैं यहाँ takeaway है लगता है
 हम वास्तव में शीर्ष 10 की सूची मोबाइल क्षुधा में क्या है पता नहीं है
 वे सच में ही, अब 2 या 3 साल के लिए चारों ओर गया है
 और वास्तव में ऑपरेटिंग सिस्टम अनुसंधान करने के लिए पर्याप्त समय नहीं किया गया है
 और क्या वे करने में सक्षम हो, और वहाँ पर्याप्त समय नहीं किया गया है
 अगर तुम जाएगा दुर्भावनापूर्ण समुदाय के लिए, काफी समय बिताया है
 मोबाइल एप्लिकेशन के माध्यम से उपयोगकर्ताओं पर हमला करने की कोशिश कर रहा है, तो मैं इन सूचियों में थोड़ा सा बदलाव की उम्मीद.
 लेकिन अब के लिए, इन के बारे में चिंता करने के लिए शीर्ष 10 बातें कर रहे हैं.
 आप मोबाइल पक्ष पर आश्चर्य हो सकता है जहां करता दुर्भावनापूर्ण मोबाइल कोड
 कैसे यह डिवाइस पर प्राप्त करता है?
 उत्तरी कैरोलिना स्टेट मोबाइल मैलवेयर जीनोम परियोजना नामक एक परियोजना है
 जहां वे, वे कर सकते हैं जितना मोबाइल मैलवेयर का संग्रह है और यह विश्लेषण कर रहे हैं
 और वे, मोबाइल मैलवेयर का उपयोग करता है कि इंजेक्शन वैक्टर टूट गया है
 और 86%, पैकेजिंग नामक तकनीक का उपयोग
 और यह एंड्रॉयड प्लेटफॉर्म पर ही है
 आप वास्तव में यह पैकेजिंग कर सकते हैं.
 

कारण एंड्रॉयड कोड के साथ बनाया गया है है
 आसानी से decompilable है जो Dalvik नामक एक जावा बाइट कोड.
 क्या बुरा आदमी क्या कर सकता है
 एक Android आवेदन ले, यह विघटित,
 उनके दुर्भावनापूर्ण कोड डालने, यह recompile,
 और फिर उस आवेदन का एक नया संस्करण होना तात्पर्यित App स्टोर में इसे डाल,
 या बस हो सकता है आवेदन का नाम बदल रहा है.
 यह खेल किसी प्रकार का था, तो थोड़ा नाम बदल
 और इसलिए इस repackaging मोबाइल मैलवेयर के 86% वितरित किया जाता है.
 है जो एक और तकनीक कहा जाता है अद्यतन नहीं है
 पैकेजिंग के लिए बहुत समान है, लेकिन आप वास्तव में अंदर दुर्भावनापूर्ण कोड डाल नहीं है
 तुम क्या आप एक छोटे से अद्यतन तंत्र में डाल दिया है.
 आप डिकंपाइल, तुम एक अद्यतन प्रणाली में डाल दिया, और जब आप इसे recompile,
 और फिर एप्लिकेशन यह डिवाइस पर मैलवेयर नीचे खींचती चल रहा है.
 

अब तक का बहुमत उन 2 तकनीकों हैं.
 मोबाइल पर वास्तव में बहुत डाउनलोड ड्राइव bys या ड्राइव से डाउनलोड, वहाँ नहीं है
 एक फ़िशिंग हमले की तरह हो सकता है.
 अरे, यह वास्तव में अच्छा वेबसाइट की जाँच,
 या आप इस वेबसाइट पर जाकर इस फॉर्म को भरने की जरूरत
 कुछ कर रही जारी रखने रखने के लिए. उन हमलों फ़िशिंग रहे हैं.
 एक ही बात मोबाइल प्लेटफॉर्म पर भी हो सकता है जहां वे
 डाउनलोड, कहने के लिए एक मोबाइल एप्लिकेशन को इंगित "हाय, इस बैंक ऑफ अमेरिका है."
 "हम आप इस अनुप्रयोग का उपयोग कर रहे हैं देखते हैं."
 "आप इस अन्य आवेदन डाउनलोड करना चाहिए."
 सैद्धांतिक रूप से, वह काम कर सकता है.
 शायद यह सिर्फ यह सफल है या नहीं, इसका फैसला करने के लिए पर्याप्त नहीं किया जा रहा है
 लेकिन वे समय है कि तकनीक का 1% से कम प्रयोग किया जाता है कि पाया.
 समय के अधिकांश यह वास्तव में एक repackaged कोड है.
 

अन्य श्रेणी बुलाया स्टैंडअलोन है
 किसी को सिर्फ एक नया आवेदन बनाता है.
 वे कुछ हो अभिप्राय है कि एक आवेदन का निर्माण.
 यह कुछ और की एक repackaging नहीं है, और कि दुर्भावनापूर्ण कोड है.
 उस समय के 14% इस्तेमाल किया है.
 अब मैं दुर्भावनापूर्ण कोड क्या कर रहा है के बारे में बात करना चाहते हैं?
 वहाँ से बाहर पहली मैलवेयर से एक
 आप एक स्पाइवेयर विचार कर सकते हैं.
 यह मूल रूप से उपयोगकर्ता पर जासूस.
 यह ईमेल, एसएमएस संदेश एकत्र करता है.
 यह माइक्रोफोन पर बदल जाता है.
 यह संपर्क किताब फसल, और यह किसी और के लिए इसे बंद कर भेजता है.
 स्पायवेयर इस प्रकार पीसी पर मौजूद है,
 लोग मोबाइल उपकरणों पर ऐसा करने की कोशिश करने के लिए तो यह एकदम सही समझ में आता है.
 

इस का पहला उदाहरण के एक गुप्त एसएमएस रेप्लिकेटर एक कार्यक्रम बुलाया था.
 यह कुछ साल पहले Android के बाज़ार में था
 आप किसी के एंड्रॉयड फोन करने के लिए उपयोग किया था और विचार था
 आप पर जासूसी करना चाहता था, तो शायद यह अपने पति कि
 या अपने अन्य महत्वपूर्ण और आप उनके पाठ संदेश पर जासूसी करने के लिए चाहते हैं,
 आप इस एप्लिकेशन को डाउनलोड करने और इसे स्थापित करने और इसे विन्यस्त कर सकता
 एक प्रति के साथ आप के लिए एक एसएमएस पाठ संदेश भेजने के लिए
 हर एसएमएस पाठ संदेश के वे मिल गया.
 यह स्पष्ट रूप से, सेवा की App स्टोर शर्तों के उल्लंघन में है
 और यह, यह वहाँ जा रहा है की 18 घंटे के भीतर Android के बाज़ार से हटा दिया गया था
 ताकि लोगों की एक बहुत छोटी संख्या है इस वजह से जोखिम में थे.
 अब, मुझे लगता है कि कार्यक्रम में कुछ हो सकता है एक छोटे से कम उत्तेजक बुलाया गया था अगर
 गुप्त एसएमएस रेप्लिकेटर तरह यह शायद एक बहुत बेहतर काम किया होता.
 लेकिन यह एक तरह से स्पष्ट किया गया था.
 

हम क्षुधा हम नहीं चाहते कि इस व्यवहार किया है तो यह निर्धारित करने के लिए क्या कर सकते हैं चीजों में से एक
 कोड का निरीक्षण करने के लिए है.
 यह वास्तव में हम क्षुधा विघटित कर सकते हैं क्योंकि एंड्रॉयड पर वास्तव में आसान नहीं है.
 IOS पर आप आईडीए समर्थक की तरह एक disassembler का उपयोग कर सकते हैं
 एप्लिकेशन को बुला रहा है और यह क्या कर रहा है एपिस क्या देखने के लिए.
 हम अपने कोड के लिए अपने स्वयं के बाइनरी स्थिर विश्लेषक ने लिखा है
 और हम ऐसा करते हैं, और इसलिए तुम क्या कर सकता है आप कह सकते है
 युक्ति मूल रूप से मुझ पर जासूसी या मुझे ट्रैक कर रहा है कि कुछ भी करता है?
 और मैं यहाँ iPhone पर कुछ उदाहरण है.
 यह पहला उदाहरण फोन पर UUID का उपयोग करने के लिए है.
 यह वास्तव में एप्पल सिर्फ नए अनुप्रयोगों के लिए प्रतिबंधित कर दिया गया है कुछ है,
 लेकिन आप अपने फोन पर चल रहा है हो सकता है कि पुराने आवेदन अभी भी ऐसा कर सकते हैं,
 और इतना है कि अद्वितीय पहचानकर्ता आप ट्रैक करने के लिए इस्तेमाल किया जा सकता है
 कई अलग अलग आवेदन भर में.
 

एंड्रॉयड पर, मैं यहाँ डिवाइस का स्थान होने का एक उदाहरण है.
 तुम्हें पता है, कि एपीआई कॉल अगर वहाँ है कि app ट्रैकिंग है कि देख सकते हैं
 और आप इसे ठीक स्थान या मोटे स्थान हो रही है कि क्या देख सकते हैं.
 और फिर यहाँ तल पर, मैं ब्लैकबेरी पर कैसे का एक उदाहरण है
 एक आवेदन आपके इनबॉक्स में ईमेल संदेशों का उपयोग हो सकता है.
 ये आप को देखने के लिए निरीक्षण कर सकते हैं चीजों की तरह कर रहे हैं
 एप्लिकेशन उन बातें कर रही है.
 दूसरा बड़ा दुर्भावनापूर्ण व्यवहार की श्रेणी, और यह अब शायद सबसे बड़ा वर्ग है,
 है अनधिकृत डायलन, अनधिकृत प्रीमियम एसएमएस पाठ संदेश
 या अनधिकृत भुगतान.
 फोन के बारे में अनूठा है कि एक और बात
 इस उपकरण में एक बिलिंग खाते में पकड़ा गया है,
 और गतिविधियों को फोन पर हुआ जब
 यह शुल्क बना सकते हैं.
 आप फोन पर चीजें खरीद सकते हैं,
 आप एक प्रीमियम एसएमएस पाठ संदेश भेजने और जब आप वास्तव में पैसे दे रहे हैं
 दूसरी तरफ फोन नंबर का खाता धारक के लिए.
 इन शेयरों के भाव पाने के लिए या अपने दैनिक कुंडली या अन्य चीजें पाने के लिए स्थापित किए गए,
 लेकिन वे एक एसएमएस पाठ भेजकर एक उत्पाद के आदेश करने के लिए स्थापित किया जा सकता है.
 लोग एक पाठ संदेश भेज कर रेड क्रॉस के लिए पैसे दे.
 आप $ 10 है कि जिस तरह से दे सकते हैं.
 

वे क्या किया है हमलावरों, वे स्थापित है
 विदेशों में खातों, और वे मैलवेयर में एम्बेड
 फोन एक प्रीमियम एसएमएस पाठ संदेश भेज देंगे,
 कई बार एक दिन, और आप खर्च कर दिया है आप महसूस माह के अंत में कहते हैं,
 दसियों या शायद भी डॉलर के सैकड़ों, और वे पैसे के साथ चले.
 यह इस बहुत पहले की बात थी कि इतना बुरा है कि एंड्रॉयड
 बाज़ार या गूगल जगह यह समय में एंड्रॉयड मार्केटप्लेस था
 और यह गूगल प्ले गूगल के लिए जाँच शुरू कर दिया है कि पहली बात यह है कि अब है.
 गूगल अपने app की दुकान में एंड्रॉयड Apps का वितरण शुरू कर दिया है
 वे कुछ भी करने के लिए जाँच करने के लिए नहीं जा रहे थे.
 हम वे हमारी सेवा की शर्तों तोड़ दिया अधिसूचित किए जाने के बाद हम क्षुधा खींच लेंगे,
 लेकिन हम कुछ भी करने के लिए जाँच करने के लिए नहीं जा रहे हैं. खैर, इस बारे में एक साल पहले यह इस प्रीमियम एसएमएस पाठ संदेश मैलवेयर के साथ इतना बुरा है
 इस वे के लिए जाँच शुरू कर दिया बहुत पहले की बात है कि.
 एक app एसएमएस पाठ संदेश भेज सकते हैं
 वे आगे मैन्युअल रूप कि आवेदन पत्रों की जांच.
 वे कहते हैं कि एपीआई के लिए लग रही है,
 और अब उसके बाद से गूगल विस्तार किया गया है,
 लेकिन यह है कि वे के लिए तलाश शुरू कर दी है कि पहली बात थी.
 

कुछ एसएमएस पाठ संदेश था कि कुछ अन्य क्षुधा,
 इस Android Qicsomos, मैं यह कहा जाता है लगता है.
 इस CarrierIQ बाहर आया जहां मोबाइल पर इस वर्तमान घटना हुई थी
 के रूप में स्पायवेयर, वाहक द्वारा डिवाइस पर डाल
 ताकि लोगों को उनके फोन इस की चपेट में था जानना चाहता था
 और यह है कि परीक्षण किया गया है कि एक स्वतंत्र अनुप्रयोग था.
 ठीक है, बेशक, क्या इस एप्लिकेशन किया था, यह प्रीमियम एसएमएस पाठ संदेश भेजा था
 तो आप स्पाइवेयर से संक्रमित कर रहे हैं देखने के लिए परीक्षण द्वारा
 आप अपने डिवाइस पर मैलवेयर भरा हुआ है.
 हम एक ही बात पिछले सुपर बाउल में होने देखा.
 झुंझलाना फुटबॉल के खेल का एक फर्जी संस्करण था
 कि प्रीमियम एसएमएस पाठ संदेश भेजा है.
 यह वास्तव में डिवाइस पर भी एक बॉट नेटवर्क बनाने की कोशिश की.
 यहाँ मैं कुछ उदाहरण है.
 काफी दिलचस्प है, एप्पल, बहुत होशियार था
 और वे आवेदन पत्र सभी पर एसएमएस पाठ संदेश भेजने की अनुमति नहीं है.
 कोई एप्लिकेशन यह कर सकते हैं.
 उस भेद्यता का एक पूरा वर्ग से छुटकारा पाने का एक शानदार तरीका है,
 लेकिन एंड्रॉयड पर आप यह कर सकते हैं, और हां, ब्लैकबेरी पर आप यह भी कर सकते हैं.
 यह ब्लैकबेरी पर आप सभी की जरूरत इंटरनेट अनुमतियों है कि दिलचस्प है
 एक एसएमएस पाठ संदेश भेजने के लिए.
 

हम देखने के लिए सच है कि दूसरी बात
 हम कुछ दुर्भावनापूर्ण है देखने के लिए देख रहे हैं जब बस किसी भी तरह का है
 अनधिकृत नेटवर्क गतिविधि, जैसे नेटवर्क गतिविधि को देखो
 एप्लिकेशन अपनी कार्यक्षमता के लिए है माना जाता है,
 और यह अन्य नेटवर्क गतिविधि पर दिखेगा.
 शायद काम करने के लिए कोई एप्लिकेशन, HTTP पर डेटा प्राप्त करने के लिए है,
 लेकिन यह ईमेल या एसएमएस या ब्लूटूथ या ऐसा कुछ पर बातें कर रहा है अगर
 अब app है कि संभावित रूप से दुर्भावनापूर्ण हो सकता है, तो यह आपके लिए निरीक्षण कर सकते हैं एक और बात है.
 और यहाँ इस स्लाइड पर मुझे लगता है कि के कुछ उदाहरण है.
 हम मैलवेयर के साथ देखा एक और दिलचस्प बात यह है कि 2009 में वापस हुआ
 और यह एक बड़े पैमाने पर हुआ.
 यह तब से इतना हुआ है, तो मैं नहीं जानता, लेकिन यह एक app था
 कि एक और आवेदन impersonated.
 वहाँ क्षुधा का एक सेट था, और यह 09Droid हमले करार दिया गया था
 और किसी छोटे, क्षेत्रीय, मध्य आकार के बैंकों की एक बहुत थे फैसला किया है कि
 ऑनलाइन बैंकिंग आवेदन नहीं था कि,
 तो क्या वे किया था कि वे 50 के बारे में ऑनलाइन बैंकिंग आवेदन बनाया गया था
 वे सब उपयोगकर्ता नाम और पासवर्ड लेना था कि
 और वेबसाइट पर पुनर्निर्देशित.
 और इसलिए वे गूगल बाज़ार में इन सब के ऊपर डाल दिया,
 Android के बाज़ार में, और किसी को खोजा देखने के लिए जब अगर उनके बैंक
 , वे फर्जी आवेदन मिल जाएगा एक आवेदन किया था
 उनकी साख एकत्र की है और उसके बाद उन्हें अपनी वेबसाइट पर पुनः निर्देशित है.
 यह वास्तव में उस तरह से बन गया, क्षुधा, एक कुछ हफ्तों के लिए वहाँ थे
 और डाउनलोड के हजारों और हजारों रहे थे.
 

इस प्रकाश में आया है जिस तरह से किसी एक समस्या हो रही थी था
 आवेदनों में से एक है, और वे उनके बैंक कहा जाता है, के साथ
 और वे उनके बैंक के ग्राहक सहायता लाइन फोन किया और कहा,
 "मैं अपने मोबाइल बैंकिंग आवेदन के साथ एक समस्या आ रहा है."
 "तुम मेरी मदद कर सकते हैं?"
 और वे "हम एक मोबाइल बैंकिंग आवेदन की जरूरत नहीं है." ने कहा,
 यही कारण है कि जांच शुरू कर दी.
 , कि बैंक गूगल कहा जाता है, और फिर गूगल देखा और कहा,
 "वाह, एक ही लेखक, 50 बैंक आवेदन पत्र लिखा गया है" और उन सब को नीचे ले लिया.
 लेकिन निश्चित रूप से यह फिर से हो सकता है.
 सभी विभिन्न बैंकों की सूची यहाँ है
 कि इस घोटाले का हिस्सा थे.
 एक app कर सकते हैं दूसरी बात एक और आवेदन के लिए यूआई मौजूद है.
 यह चल रहा है जबकि यह फेसबुक यूआई पॉप अप कर सकता है.
 यह आपको जारी रखने के लिए अपने उपयोगकर्ता नाम और पासवर्ड में डाल दिया है कहते हैं
 या एक वेबसाइट के लिए किसी भी उपयोगकर्ता नाम और पासवर्ड यूआई लगाई
 हो सकता है कि उपयोगकर्ता उपयोगकर्ता चाल की कोशिश करने के लिए बस का उपयोग करता है
 अंदर अपने क्रेडेंशियल्स डालने में
 यह वास्तव में ईमेल फ़िशिंग हमलों के एक सीधे समानांतर है
 जब आप किसी से एक ईमेल संदेश भेजता है जहां
 और आप एक वेबसाइट के लिए मूल रूप से एक नकली यूआई देता है
 आप का उपयोग किया है कि.
 

हम दुर्भावनापूर्ण कोड में देखने के लिए दूसरी बात यह है व्यवस्था परिवर्तन है.
 आप रूट विशेषाधिकार की आवश्यकता है कि सभी एपीआई कॉल के लिए देख सकते हैं
 सही ढंग से निष्पादित करने के लिए.
 डिवाइस की वेब प्रॉक्सी बदल रहा है कि एक आवेदन कुछ होगा
 ऐसा करने में सक्षम नहीं होना चाहिए.
 लेकिन आवेदन करने के लिए कि वहाँ में कोड है अगर
 आप यह शायद एक दुर्भावनापूर्ण आवेदन है कि पता
 या बहुत अत्यधिक एक दुर्भावनापूर्ण आवेदन होने की संभावना है,
 और तो क्या होगा एप्लिकेशन विशेषाधिकार तना का कुछ रास्ता नहीं होता है.
 यह कुछ विशेषाधिकार वृद्धि का फायदा उठाने के लिए होगा
 यह विशेषाधिकार परिवर्धित आवेदन में, और फिर एक बार
 यह इन सिस्टम संशोधन करना होगा. आप विशेषाधिकार वृद्धि है कि मैलवेयर पा सकते हैं
 इसमें भी कैसे विशेषाधिकार वृद्धि जानने के बिना
 फायदा उठाने होने जा रहा है, और वह एक अच्छा और आसान तरीका है
 मैलवेयर के लिए देखने के लिए.
 DroidDream शायद एंड्रॉयड मैलवेयर के सबसे प्रसिद्ध टुकड़ा था.
 मैं इसे कुछ ही दिनों में लगभग 250,000 उपयोगकर्ताओं को प्रभावित लगता है
 यह पाया गया था पहले.
 वे 50 फर्जी आवेदनों repackaged,
 एंड्रॉयड app की दुकान में डाल दिया,
 और अनिवार्य रूप से यह विशेषाधिकार बढ़ा एंड्रॉयड भागने के कोड का इस्तेमाल
 और फिर एक कमांड स्थापित करने और सभी पीड़ितों को नियंत्रित करने और बारी
 एक बीओटी के जाल में, लेकिन आप यह पता लगाया जा सकता था
 आप आवेदन स्कैनिंग और बस के लिए देख रहे थे
 एपीआई आवश्यक जड़ अनुमति सही ढंग से निष्पादित करने के लिए कि कॉल.
 

और मैं प्रॉक्सी बदल रहा है जो यहां का एक उदाहरण है,
 और यह वास्तव में एंड्रॉयड पर ही उपलब्ध है.
 तुम्हें पता है मैं तुम Android पर उदाहरण के एक बहुत दे रहा हूँ देख सकते हैं
 सबसे सक्रिय मैलवेयर पारिस्थितिकी तंत्र है जहां यह है, क्योंकि
 यह दुर्भावनापूर्ण कोड प्राप्त करने के लिए एक हमलावर के लिए वास्तव में आसान है क्योंकि
 Android के बाज़ार में.
 यह एप्पल app स्टोर में ऐसा करने के लिए इतना आसान नहीं है
 एप्पल स्वयं को पहचानने के लिए डेवलपर्स की आवश्यकता है क्योंकि
 और कोड पर हस्ताक्षर.
 वे वास्तव में आप कौन हैं, जाँच और एप्पल वास्तव में आवेदनों की छानबीन कर रहा है.
 हम डिवाइस के साथ छेड़छाड़ हो रही है जहां सत्य मैलवेयर का एक बहुत कुछ नहीं दिख रहा है.
 मैं, यह वास्तव में छेड़छाड़ की हो रही है कि गोपनीयता जहां कुछ उदाहरणों के बारे में बात करेंगे
 और कहा कि वास्तव में एप्पल डिवाइस पर क्या हो रहा है.
 दुर्भावनापूर्ण कोड के लिए देखने के लिए एक और बात, उपकरणों में जोखिम भरा कोड
 तर्क या समय बम है, और समय बम शायद रहे हैं
 बहुत आसान तर्क बम से देखने के लिए.
 लेकिन समय बम के साथ, क्या आप कर सकते हैं कि आप के लिए देख सकते है
 समय परीक्षण किया जाता है, जहां कोड या एक पूर्ण समय में स्थानों के लिए देखा है
 एप्लिकेशन में कुछ कार्यक्षमता पहले होता है.
 और यह उपयोगकर्ता से उस गतिविधि को छिपाने के लिए किया जा सकता है
 इसलिए यह रात में देर से हो रहा है.
 DroidDream 11 बजे और 8 बजे स्थानीय समय में अपने सभी गतिविधि किया
 उपयोगकर्ता अपने डिवाइस का उपयोग नहीं किया जा सकता है, जबकि ऐसा करने की कोशिश करने के लिए.
 लोगों को एक आवेदन के व्यवहार विश्लेषण का उपयोग कर रहे हैं तो 

यह करने के लिए एक और कारण है,
 , आवेदन के व्यवहार क्या है यह देखने के लिए एक sandbox में app चल
 वे गतिविधि करने के लिए समय आधारित तर्क का उपयोग कर सकते हैं
 app sandbox में नहीं है.
 एप्पल की तरह उदाहरण के लिए, एक app की दुकान
 आवेदन चलाता है, लेकिन वे शायद, कहते हैं, 30 दिनों के लिए हर आवेदन नहीं चला है
 यह अनुमोदन करने से पहले, तो तुम डाल सकते हैं
 ठीक है, केवल बुरा काम करते हैं, ने कहा कि अपने आवेदन में तर्क
 30 दिन, आवेदन की प्रकाशित की तारीख के बाद 30 दिनों से या के बाद चला गया है के बाद
 और कहा कि इसके लिए निरीक्षण लोगों से दुर्भावनापूर्ण कोड को छिपाने में मदद कर सकते हैं.
 एंटी वायरस कंपनियों सैंडबॉक्स में बातें चल रहे हैं
 या app स्टोर खुद को इस मदद कर सकते हैं
 कि निरीक्षण से कि छिपाना.
 अब, इस बात का दूसरा पहलू, यह स्थैतिक विश्लेषण के साथ मिल आसान है है
 तो वास्तव में आप सभी स्थानों के लिए देख सकते हैं कोड का निरीक्षण
 आवेदन बार परीक्षण किया और इस तरह का निरीक्षण किया जहां.
 और यहाँ मैं इन 3 अलग प्लेटफार्मों पर कुछ उदाहरण है
 समय एप्लिकेशन निर्माता द्वारा लिए जाँच की जा सकती है कि कैसे
 इसलिए यदि आप स्थिर रुप से एप्लिकेशन का निरीक्षण कर रहे हैं के लिए देखने के लिए क्या करना है.
 

मैं सिर्फ अलग दुर्भावनापूर्ण गतिविधियों की एक पूरी गुच्छा के माध्यम से चला गया
 हम जंगली में देखा है, लेकिन जो लोग सबसे अधिक प्रचलित हैं कि?
 उत्तरी कैरोलिना स्टेट मोबाइल जीनोम परियोजना से वह उसी अध्ययन
 कुछ डेटा प्रकाशित, और 4 क्षेत्रों मूल रूप से वहाँ थे
 गतिविधि का एक बहुत कुछ था, जहां उन्होंने देखा कि.
 क्षुधा का 37%, विशेषाधिकार वृद्धि किया
 ताकि वे वहाँ में भागने के कोड के कुछ प्रकार की थी
 वे विशेषाधिकार ख़राब करने की कोशिश की है, जहां वे कर सकता है ताकि
 एपीआई आदेशों ऑपरेटिंग सिस्टम के रूप में चल रहा है.
 क्षुधा का 45% वहाँ से बाहर, प्रीमियम एसएमएस किया
 इसलिए कि सीधे धातु के सिक्के करने के लिए कोशिश कर रहा है कि एक बड़ा प्रतिशत है.
 93% रिमोट कंट्रोल से किया था, ताकि वे एक बॉट नेट, एक मोबाइल बॉट नेट की स्थापना करने की कोशिश की.
 और 45% की पहचान की जानकारी काटा
 फोन नंबर, UUIDs, जीपीएस स्थान, उपयोगकर्ता खातों, जैसे
 सबसे मैलवेयर इन बातों का कुछ ऐसा करने की कोशिश करता है और इस वजह से 100 से अधिक करने के लिए कहते हैं.
 

मैं दूसरी छमाही के लिए स्विच और कोड कमजोरियों के बारे में बात करने जा रहा हूँ.
 यह जोखिम भरा गतिविधि की दूसरी छमाही है.
 डेवलपर त्रुटियों बना रही है जहां अनिवार्य रूप से यह वह जगह है.
 एक वैध app लेखन एक वैध डेवलपर
 त्रुटियों को बनाने या मोबाइल मंच के जोखिम से अनभिज्ञ है.
 वे सिर्फ एक सुरक्षित मोबाइल एप्लिकेशन बनाने के लिए पता नहीं है,
 या कभी कभी डेवलपर जोखिम में उपयोगकर्ता लगाने के बारे में परवाह नहीं करता है.
 कभी कभी उनके व्यापार मॉडल का हिस्सा हो सकता है
 उपयोगकर्ता की निजी जानकारी कटाई.
 यही कारण है कि अन्य वर्ग की तरह है, और यही कारण है कि यह दुर्भावनापूर्ण के कुछ
 राय के अंतर नहीं है क्योंकि वैध शुरू होता बनाम अधिक खून बहाना
 क्या उपयोगकर्ता चाहता है और क्या उपयोगकर्ता जोखिम भरा समझता बीच
 और क्या आवेदन डेवलपर जोखिम भरा मानता है. बेशक, यह ज्यादातर मामलों में आवेदन डेवलपर के डेटा नहीं है.
 

और फिर अंत में ऐसा होता है, एक और तरीका एक डेवलपर में लिंक हो सकता है
 इसमें कमजोरियों या इस जोखिम भरा व्यवहार है कि एक साझा पुस्तकालय
 उन्हें करने के लिए अनजान.
 प्रथम श्रेणी संवेदनशील डेटा रिसाव है,
 एप्लिकेशन में जानकारी इकट्ठा और जब यह है
 स्थान, पता पुस्तिका जानकारी, स्वामी जानकारी की तरह
 और युक्ति से दूर है कि भेजता है.
 और यह उपकरण बंद है एक बार, हम उस जानकारी के साथ क्या हो रहा है पता नहीं है.
 यह आवेदन डेवलपर से असुरक्षित रूप से संग्रहित किया जा सकता है.
 हम आवेदन डेवलपर्स समझौता हो देखा है,
 और वे भंडारण कर रहे हैं कि डेटा ले जाया जाता है.
 यह फ्लोरिडा में नीचे एक डेवलपर के लिए कुछ महीने पहले हुआ
 की यह एक बहुत बड़ी संख्या iPad UUIDs और युक्ति नाम था जहां
 किसी को, मैं यह गुमनाम था क्योंकि उन्हें लगता है, लीक थे
 यह करने के लिए दावा किया है, इस डेवलपर के सर्वर में तोड़ दिया
 और iPad UUIDs के लाखों चुराया
 और कंप्यूटर नाम.
 नहीं सबसे जोखिम भरा जानकारी,
 लेकिन क्या है कि अगर उपयोगकर्ता नाम और पासवर्ड का भंडारण किया गया था
 और घर के पते?
 जानकारी के उस तरह कि दुकान क्षुधा की बहुत सारी है.
 खतरा है.
 डेवलपर देखभाल नहीं करता है 

हो सकता है कि दूसरी बात यह है
 डेटा चैनल को सुरक्षित, और कहा कि मैं इस बारे में बात करने जा रहा हूँ एक और बड़ा भेद्यता है करने के लिए,
 उस डेटा स्पष्ट में भेजा जा रहा है.
 उपयोगकर्ता एक सार्वजनिक Wi-Fi नेटवर्क पर है, तो
 या किसी को कहीं इंटरनेट सूँघने है
 मार्ग के किनारे है कि डेटा अवगत कराया जा रहा है.
 इस जानकारी के रिसाव से एक बहुत मशहूर मामले भानुमती के साथ क्या हुआ,
 और यह हम Veracode पर शोध किया है कुछ है.
 हम एक मैं इसे एक संघीय व्यापार आयोग थी लगता था कि वहाँ सुना
 भानुमती के साथ चल रहा जांच.
 हम "वहाँ क्या हो रहा है? के भानुमती आवेदन में खुदाई शुरू करते हैं."
 और क्या हम निर्धारित एकत्र भानुमती आवेदन किया गया था
 अपने लिंग और अपनी उम्र,
 और यह भी अपने जीपीएस स्थान, और भानुमती आवेदन पहुँचा
 वे वैध कारण थे क्या कहा के लिए ऐसा किया.
 वे खेल-भानुमती गया है कि संगीत एक संगीत स्ट्रीमिंग अनुप्रयोग है
 वे खेल रहे थे संगीत केवल संयुक्त राज्य अमेरिका में लाइसेंस प्राप्त किया गया था,
 ताकि वे वे था कि उनके लाइसेंस समझौतों का अनुपालन करने के लिए जांच की थी
 उपयोगकर्ता संयुक्त राज्य अमेरिका में था कि संगीत के लिए.
 उन्होंने यह भी पैतृक सलाहकार के साथ पालन करना चाहता था
 संगीत में चारों ओर वयस्क भाषा,
 और इसलिए यह एक स्वैच्छिक कार्यक्रम है, लेकिन वे कहते हैं कि के साथ पालन करना चाहता था
 और बच्चों को 13 और के तहत करने के लिए स्पष्ट बोल नहीं खेल.
 

वे इस डेटा इकट्ठा करने के लिए वैध कारण था.
 उनके app यह करने के लिए अनुमतियां था.
 उपयोगकर्ता इस वैध था. लेकिन क्या हुआ?
 वे 3 या 4 अलग विज्ञापन पुस्तकालयों में जुड़े.
 अब अचानक इन सभी विज्ञापन पुस्तकालयों के सभी
 यह एक ही जानकारी के लिए उपयोग हो रही है.
 विज्ञापन पुस्तकालयों, आप विज्ञापन के पुस्तकालयों में कोड को देखो
 वे क्या हर विज्ञापन पुस्तकालय का कहना है
 "मेरे app जीपीएस स्थान प्राप्त करने की अनुमति है?"
 "ओह, यह ठीक है, मुझे जीपीएस स्थान बताया है."
 हर एक विज्ञापन पुस्तकालय है कि करता है,
 और app जीपीएस की अनुमति नहीं है अगर
 इसे पाने के लिए सक्षम नहीं होगा, लेकिन अगर यह होता है, यह मिल जाएगा.
 यह विज्ञापन पुस्तकालयों की जहां व्यापार मॉडल है
 उपयोगकर्ता की गोपनीयता का विरोध किया है.
 और आप उम्र पता है तो कहना होगा कि वहाँ से बाहर अध्ययन किया गया है
 एक व्यक्ति की और आप उनके स्थान का पता
 आप अपने जीपीएस निर्देशांक है, क्योंकि वे रात में सो जहां
 वे शायद सो रहे हैं, तो आप उस व्यक्ति है जो वास्तव में जानते हैं
 आपको लगता है कि घर के सदस्य उस व्यक्ति है जो यह निर्धारित कर सकते हैं.
 वास्तव में यह विज्ञापनदाताओं के लिए पहचान है
 वास्तव में आप कर रहे हैं, और यह वैध था ऐसा लगता है कि जो.
 मैं सिर्फ अपने संगीत स्ट्रीमिंग चाहते हैं, और यह इसे पाने के लिए एक ही रास्ता है.
 

खैर, हम इस अवगत कराया.
 हम कई ब्लॉग पोस्ट में यह लिखा था,
 और यह पता चला है कि रोलिंग स्टोन पत्रिका से किसी
 हमारे ब्लॉग पोस्ट में से एक को पढ़ने और इसके बारे में रॉलिंग स्टोन में अपने ब्लॉग में लिखा था,
 और अगले ही दिन भानुमती यह एक अच्छा विचार था
 उनके आवेदन से विज्ञापन पुस्तकालयों को दूर करने के लिए.
 जहाँ तक मुझे पता है कि वे केवल वे सराहना की जानी चाहिए रहे हैं.
 मुझे लगता है वे इस किया गया है कि app के केवल freemium प्रकार कर रहे हैं.
 अन्य सभी freemium क्षुधा यह वही व्यवहार किया है,
 तो क्या आप दे रहे हैं डेटा की किस तरह के बारे में सोचने के लिए मिल गया है
 यह सभी विज्ञापनदाताओं जा रहा है इन freemium अनुप्रयोगों क्योंकि.
 Praetorian भी साझा पुस्तकालयों के बारे में एक अध्ययन किया और कहा,
 ", के पुस्तकालयों शीर्ष साझा पुस्तकालयों रहे हैं क्या साझा पर देखें" और इस डेटा था.
 

वे 53,000 Apps का विश्लेषण किया,
 और नंबर 1 साझा पुस्तकालय Admob था.
 यह बाहर वहाँ अनुप्रयोगों के 38% में वास्तव में था
 आप उपयोग कर रहे आवेदनों की तो 38%
 आपकी व्यक्तिगत जानकारी कटाई कर रहे हैं
 और विज्ञापन नेटवर्क को भेजने से. अपाचे और एंड्रॉयड 8% और 6% थे,
 और फिर नीचे, गूगल के विज्ञापन, घबराहट में इन अन्य लोगों को नीचे,
 भीड़ शहर और सहस्त्राब्दी मीडिया,
 इन, फिर, काफी दिलचस्प है सभी विज्ञापन कंपनियों रहे हैं, और
 4% फेसबुक पुस्तकालय में जुड़ा हुआ
 शायद फेसबुक के माध्यम से प्रमाणीकरण क्या करना
 इसलिए अनुप्रयोग फ़ेसबुक को प्रमाणित कर सके.
 लेकिन वह भी फेसबुक कोड नियंत्रित निगम का मतलब
 कि, वहाँ से बाहर एंड्रॉयड मोबाइल Apps का 4% में चल रहा है
 और वे उस अनुप्रयोग में प्राप्त करने की अनुमति है कि सभी डेटा तक पहुँच है.
 फेसबुक अनिवार्य रूप से विज्ञापन की जगह को बेचने की कोशिश करता है.
 यही कारण है कि उनके व्यापार मॉडल है.
 

आप इन अनुमतियों के साथ इस पूरे पारिस्थितिकी तंत्र पर नजर डालें तो
 और आपको यह देखना है कि शुरू साझा पुस्तकालयों
 आप एक माना जाता है कि वैध आवेदन में जोखिम का एक बहुत कुछ है.
 भानुमती के साथ हुआ है कि एक ही इसी तरह की बात
 , पथ कहा जाता है एक आवेदन के साथ क्या हुआ
 और पथ वे उपयोगी, दोस्ताना डेवलपर्स जा रहे थे सोचा.
 वे सिर्फ तुम एक महान उपयोगकर्ता अनुभव देने की कोशिश कर रहे थे,
 और यह पता चला कि उपयोक्ता को या उपयोगकर्ता बताए बिना कुछ भी
 और यह iPhone पर और एंड्रॉयड पर हुआ
 भानुमती app iPhone और पर था एंड्रॉयड-
 पथ आवेदन अपने पूरे पते की किताब हथियाने गया था
 और आप स्थापित और आवेदन भागा बस जब पथ पर अपलोड,
 और वे इस बारे में नहीं बताया था.
 वे यह आप के लिए वास्तव में मददगार था सोचा
 अपनी पता पुस्तिका में सभी लोगों के साथ साझा करने के लिए सक्षम होने के लिए
 आप पथ आवेदन का उपयोग कर रहे हैं.
 

ठीक है, जाहिर पथ यह उनकी कंपनी के लिए बहुत अच्छा था सोचा.
 उपयोगकर्ता को इतना महान नहीं.
 आप यह हो सकता है अगर एक किशोरी एक बात है कि सोचना होगा
 , इस एप्लिकेशन का उपयोग और दोस्तों के अपने दर्जनों में हैं
 लेकिन यह पथ को स्थापित करता है कि एक कंपनी के सीईओ क्या है अगर
 और फिर अचानक उनके पूरे पते की किताब के सभी वहाँ है?
 आप संभावित मूल्यवान संपर्क जानकारी का एक बहुत कुछ पाने के लिए जा रहे हैं
 बहुत से लोगों के लिए.
 न्यूयॉर्क टाइम्स से एक पत्रकार, आप फोन नंबर प्राप्त करने में सक्षम हो सकता है
 उनके पते की किताब से पूर्व राष्ट्रपतियों के लिए,
 तो जाहिर संवेदनशील जानकारी का एक बहुत कुछ इस तरह से तबादला हो जाता है.
 उस पथ माफी मांगी इस बारे में इतनी बड़ी फ्लैप हुई थी.
 वे अपने एप्लिकेशन बदल गया है, और यह भी एप्पल पर असर पड़ा.
 एप्पल हम उपयोगकर्ताओं को शीघ्र एप्लिकेशन विक्रेताओं के लिए मजबूर करने के लिए जा रहे हैं ने कहा, "
 वे अपने पूरे पते की किताब एकत्र करने के लिए जा रहे हैं. "
 

यह है यहाँ क्या हो रहा है की तरह लग रहा है
 वहाँ एक बड़ा गोपनीयता का उल्लंघन है और यह प्रेस बनाता है जब
 हम वहाँ एक परिवर्तन देखने.
 लेकिन जाहिर है, अन्य बातों के वहाँ से बाहर है.
 लिंक्डइन आवेदन अपने कैलेंडर प्रविष्टियों फसल,
 लेकिन एप्पल उपयोगकर्ता उस के बारे में संकेत किया जा नहीं कर सकता है.
 कैलेंडर प्रविष्टियों उन्हें भी संवेदनशील जानकारी हासिल कर सकते हैं.
 तुम कहाँ लाइन आकर्षित करने के लिए जा रहे हैं?
 यह वास्तव में इस तरह की एक उभरती जगह है
 कोई अच्छा मानक बाहर वहाँ वास्तव में है, जहां
 उनकी जानकारी के खतरे में होने जा रहा है जब उपयोगकर्ता को समझने के लिए
 वे जानते हैं कि करने के लिए जा रहे हैं और जब यह लिया जा रहा है.
 हम Adios बुलाया Veracode पर एक app लिखा
 और अनिवार्य रूप से यह आप अपने iTunes निर्देशिका में एप्लिकेशन बात करने की अनुमति दी
 और अपना पूरा पता पुस्तिका कटाई कर रहे थे कि सभी आवेदनों पर दिखेगा.
 और तुम यहाँ इस सूची में देख सकते हैं, गुस्सा पक्षी,
 लक्ष्य, AroundMe.
 क्यों गुस्से में पक्षियों आपके पते की किताब की जरूरत है?
 मुझे नहीं पता, लेकिन यह किसी भी तरह से करता है.
 

यह बहुत, बहुत से अनुप्रयोगों है कि कुछ है.
 आप इस के लिए कोड का निरीक्षण कर सकते हैं.
 IPhone, Android और ब्लैकबेरी के लिए अच्छी तरह से परिभाषित एपीआई नहीं है
 पता पुस्तिका में प्राप्त करने के लिए.
 आप वास्तव में आसानी से इस बात के लिए निरीक्षण कर सकते हैं, और यह कि हम अपने Adios आवेदन में क्या किया है.
 अगली श्रेणी, असुरक्षित संवेदनशील डाटा संग्रहण,
 डेवलपर्स एक पिन की तरह कुछ ले जहां कुछ या खाता संख्या है
 या एक पासवर्ड और यह डिवाइस पर स्पष्ट में स्टोर.
 भी बदतर, वे यह फोन पर एक क्षेत्र में स्टोर कर सकता है
 जो एसडी कार्ड की तरह, विश्व स्तर पर पहुँचा जा सकता है.
 एंड्रॉयड एक एसडी कार्ड के लिए अनुमति देता है, क्योंकि तुम Android पर अधिक अक्सर देखते हैं.
 IPhone उपकरणों नहीं करते.
 लेकिन हम भी इस सिटीग्रुप आवेदन में हुआ देखा.
 उनकी ऑनलाइन बैंकिंग आवेदन, असुरक्षित खाता संख्या संग्रहीत
 अभी स्पष्ट में है, तो आप अपने डिवाइस खो दिया है,
 अनिवार्य रूप से आप अपने बैंक खाते को खो दिया.
 मैं व्यक्तिगत रूप से मेरे iPhone पर बैंकिंग नहीं करते यही कारण है.
 मैं यह गतिविधियों के इन प्रकार के कर अभी भी जोखिम भरा है.
 

स्काइप ही काम किया.
 स्काइप, ज़ाहिर है, एक खाते की शेष राशि, एक उपयोगकर्ता नाम और पासवर्ड है
 कि शेष राशि का उपयोग करता है.
 वे मोबाइल डिवाइस पर स्पष्ट है कि सभी जानकारी संग्रहीत किए गए थे.
 मैं फाइल बनाने के यहाँ कुछ उदाहरण है
 कि अनुमति या डिस्क के लिए लिख नहीं है
 और किसी भी एन्क्रिप्शन उस के लिए होने वाले नहीं.
 यह अगले क्षेत्र, असुरक्षित संवेदनशील डाटा ट्रांसमिशन,
 मैं यह करने के लिए कई बार alluded, और क्योंकि सार्वजनिक Wi-Fi की की है
 यह बिल्कुल ऐसा करने की जरूरत क्षुधा है कि कुछ है,
 और यह हम सबसे गलत जाने क्या देख शायद है. मैं कहना है वास्तव में चाहते हैं, मुझे लगता है मैं वास्तविक जानकारी है लगता है,
 लेकिन यह आधा मोबाइल अनुप्रयोगों के करीब है
 एसएसएल कर पेंच.
 वे सिर्फ एपीआई सही ढंग से उपयोग नहीं करते हैं.
 मेरा मतलब है, तुम क्या करने के लिए सब मिल गया है, निर्देशों का पालन करें और एपीआई का उपयोग है
 लेकिन वे चीजों की तरह, दूसरे छोर पर एक अवैध प्रमाण पत्र है कि क्या वहाँ जाँच नहीं है
 दूसरे छोर एक प्रोटोकॉल ढाल हमले करने की कोशिश कर रहा है अगर जाँच नहीं.
 

डेवलपर्स, वे उनके चेकबॉक्स प्राप्त करना चाहते हैं, है ना?
 उनकी आवश्यकता को बेचने के लिए इस का उपयोग करने के लिए है. वे बेचने के लिए इस का उपयोग किया है.
 आवश्यकता, सुरक्षित रूप से बेचने के लिए इस का उपयोग करने के लिए नहीं है
 SSL का उपयोग करने वाले सभी अनुप्रयोग डेटा को सुरक्षित करने के लिए क्यों और इसलिए यह है
 यह बंद प्रेषित किया जा रहा है के रूप में डिवाइस वास्तव में निरीक्षण करने की आवश्यकता
 कि सही ढंग से लागू किया गया था सुनिश्चित करने के लिए.
 और यहाँ मैं आपको एक आवेदन देख सकते हैं, जहां कुछ उदाहरण है
 HTTP के बजाय HTTPS का उपयोग किया जा सकता है.
 कुछ मामलों में क्षुधा HTTP करने के लिए वापस गिर जाएगी
 HTTPS का काम नहीं कर रहा है.
 मैं, वे प्रमाण पत्र की जांच निष्क्रिय कर दिया है जहां एंड्रॉयड पर यहाँ एक और फोन है
 इसलिए एक आदमी में-the-बीच हमले हो सकते हैं.
 एक अमान्य प्रमाण पत्र स्वीकार किया जाएगा.
 इन हमलावरों पर प्राप्त करने में सक्षम होने जा रहे हैं जहां सभी मामलों रहे हैं
 उपयोगकर्ता और सभी डेटा के रूप में ही वाईफ़ाई कनेक्शन
 कि इंटरनेट पर भेजा जा रहा है.
 

और अंत में, मैं यहाँ पिछले वर्ग hardcoded पासवर्ड और चाबी है.
 हम वास्तव में डेवलपर्स के एक बहुत ही कोडिंग शैली का उपयोग देखना
 वे वेब सर्वर अनुप्रयोग का निर्माण किया गया जब किया था, कि
 इसलिए वे एक जावा सर्वर अनुप्रयोग का निर्माण कर रहे हैं, और वे कुंजी hardcoding रहे हैं.
 खैर, आप एक सर्वर अनुप्रयोग का निर्माण कर रहे हैं, हाँ,
 कुंजी hardcoding एक अच्छा विचार नहीं है.
 यह यह कठिन बदलने के लिए बनाता है.
 जो सर्वर साइड के लिए उपयोग किया है लेकिन क्योंकि यह सर्वर साइड पर इतना बुरा नहीं है?
 केवल प्रशासकों.
 लेकिन आप एक ही कोड ले और आप एक मोबाइल आवेदन करने के लिए यह ऊपर डाल दिया अगर
 अब मोबाइल आवेदन कि hardcoded चाबी तक पहुँच गया है कि हर कोई है जो,
 और हम वास्तव में इस समय की एक बहुत देखते हैं, और मैं कुछ आँकड़े
 हम देखना यह होगा कि कितनी बार पर.
 यह वास्तव में मास्टरकार्ड प्रकाशित कि उदाहरण कोड में था
 उनकी सेवा का उपयोग करने पर.
 उदाहरण के कोड तुम सिर्फ पासवर्ड लेना होगा कैसे पता चला
 और वहीं एक hardcoded स्ट्रिंग में डाल दिया
 और हम डेवलपर्स के कोड के टुकड़े को कॉपी और पेस्ट करने के लिए प्यार कैसे पता
 वे कुछ करने की कोशिश कर रहे हैं, तो आप कोड का टुकड़ा कॉपी और पेस्ट जब
 वे उदाहरण कोड के रूप में दिया, और आप एक असुरक्षित आवेदन किया है.
 

और यहाँ हम कुछ उदाहरण है.
 यह पहली बार एक हम वे hardcode जहां एक बहुत देखते हैं एक है
 भेजा जाता है कि एक यूआरएल में डेटा सही.
 कभी कभी हम स्ट्रिंग पासवर्ड = पासवर्ड देखते हैं.
 यही कारण है कि ब्लैकबेरी और एंड्रॉयड पर सुंदर का पता लगाने के लिए आसान है, या स्ट्रिंग पासवर्ड है.
 यह वास्तव में क्योंकि लगभग हमेशा के लिए जाँच करने के लिए बहुत आसान है
 डेवलपर के नाम पासवर्ड पकड़ रखा है कि चर
 पासवर्ड के कुछ बदलाव.
 मैं, हम Veracode पर स्थिर विश्लेषण करते हैं कि उल्लेख
 इसलिए हम कई सौ एंड्रॉयड और आईओएस आवेदनों का विश्लेषण किया गया है.
 हम उनमें से पूरा मॉडल का निर्माण किया है, और हम उन्हें स्कैन करने में सक्षम हो
 विभिन्न कमजोरियों, मैं के बारे में बात कर रहा था, खासकर कमजोरियों, के लिए
 और मैं यहाँ कुछ जानकारी है.
 हम पर देखा एंड्रॉयड क्षुधा की 68.5%
 क्रिप्टोग्राफिक कोड तोड़ा था,
 आप अपने खुद के क्रिप्टो दिनचर्या बना अगर हमारे लिए, हम पता नहीं लगा सकता है, जो
 कि एक अच्छा विचार है, लेकिन यह वास्तव में प्रकाशित एपीआई का उपयोग कर रहा है न कि
 मंच पर हैं, लेकिन इस तरह है कि में उन्हें कर
 क्रिप्टो, 68.5 कमजोर हो जाएगा.
 और यह वास्तव में हमें अपने आवेदन पत्र भेज रहे हैं कि लोगों के लिए है क्योंकि
 वे यह सुरक्षा का परीक्षण करने के लिए एक अच्छा विचार है.
 ये शायद पहले से ही सुरक्षित रूप से सोच रहे हैं कि लोगों को कर रहे हैं
 तो यह शायद और भी बदतर है.
 

मैं नियंत्रण रेखा फ़ीड इंजेक्शन के बारे में बात नहीं की.
 यह हम के लिए जाँच कुछ है, लेकिन यह एक मुद्दा है कि जोखिम भरा नहीं है.
 सूचना रिसाव, इस संवेदनशील डेटा उपकरण बंद कर भेजा जा रहा है जहां है.
 हम अनुप्रयोगों के 40% में पाया गया कि.
 समय और राज्य, उन, शोषण करने के लिए आम तौर पर बहुत कठिन दौड़ हालत प्रकार के मुद्दों कर रहे हैं,
 इसलिए मैं उस बारे में बात नहीं की, लेकिन हम इसे देखा.
 23% SQL इंजेक्शन मुद्दों था.
 बहुत सारे लोग नहीं जानते कि आवेदनों की एक बहुत
 डेटा स्टोर करने के लिए उनके पीछे के अंत पर एक छोटे से छोटे SQL डेटाबेस का उपयोग करें.
 खैर, अगर आप नेटवर्क पर कब्जाने रहे हैं कि डेटा
 इसमें SQL इंजेक्शन हमले तार होते हैं
 किसी कि डिवाइस के माध्यम से समझौता कर सकते हैं,
 और इसलिए मुझे लगता है कि हम वेब अनुप्रयोगों के बारे में 40% इस समस्या है लगता है लगता है
 जो एक बड़ी महामारी समस्या है.
 हम मोबाइल क्षुधा में यह समय के 23% लगता है
 कई और अधिक वेब अनुप्रयोगों के मोबाइल से SQL का उपयोग करें क्योंकि और है कि शायद.
 

और फिर हम अभी भी कुछ क्रॉस साइट स्क्रिप्टिंग, प्राधिकरण मुद्दों, देखना
 आप अपने hardcoded पासवर्ड है, जहां और फिर क्रेडेंशियल प्रबंधन, कि है.
 आवेदन पत्र के 5% में हम देखते हैं कि.
 और फिर हम IOS पर कुछ जानकारी है.
 81% त्रुटि हैंडलिंग मुद्दों था. यह एक कोड की गुणवत्ता की समस्या से अधिक है,
 लेकिन 67% क्रिप्टोग्राफिक मुद्दों था, इसलिए Android के रूप में काफी के रूप में बुरा नहीं.
 शायद एपीआई थोड़ा आसान कर रहे हैं, IOS पर एक छोटे से बेहतर उदाहरण कोड.
 लेकिन अभी भी एक बहुत उच्च प्रतिशत.
 हम जानकारी रिसाव के साथ 54% थी,
 बफर प्रबंधन त्रुटियों के साथ के बारे में 30%.
 यह संभवतः एक स्मृति भ्रष्टाचार मुद्दा हो सकता है, जहां स्थानों है.
 ऐसा लगता है कि शोषण के लिए एक समस्या के रूप में ज्यादा नहीं है पता चला है कि
 सभी कोड पर हस्ताक्षर किए जाना है IOS पर क्योंकि,
 इसलिए यह IOS पर मनमाने ढंग से कोड को निष्पादित करने के लिए एक हमलावर के लिए मुश्किल है.
 कोड की गुणवत्ता, निर्देशिका चंक्रमण, लेकिन यहां 14.6% पर फिर साख प्रबंधन,
 एंड्रॉयड पर से इतनी बदतर.
 हम लोग सही ढंग से पासवर्ड को संभाल नहीं है.
 और फिर सांख्यिक त्रुटियों और बफर अतिप्रवाह,
 उन अधिक IOS पर कोड की गुणवत्ता के मुद्दों होने जा रहे हैं.
 

कि यह मेरी प्रस्तुति के लिए था. हम समय से बाहर है या नहीं हो, तो मैं नहीं जानता.
 किसी भी सवाल है कि अगर वहाँ मैं नहीं जानता.
 [पुरुष] विखंडन और Android बाजार के चारों ओर एक त्वरित सवाल.
 एप्पल कम से कम पट्टी का मालिक है.
 वे Android अंतरिक्ष में जबकि कम तो वहाँ से बाहर होने का एक अच्छा काम करते हैं.
 तुम लगभग चालू रहने के लिए अपने फोन को भागने के लिए आवश्यकता
 एंड्रॉयड के मौजूदा रिलीज के साथ.
 आप के बारे में लगता है कि अगर हाँ, यह एक बड़ी समस्या है और इसलिए है
 [पुरुष] तुम यह क्यों नहीं दोहरा सकते हैं?
 

ओह, ठीक है, तो सवाल यह है कि क्या बारे में विखंडन था
 Android मंच पर ऑपरेटिंग सिस्टम की?
 कैसे है कि उन उपकरणों की आशंका को प्रभावित करता है?
 क्या होता है और क्योंकि यह वास्तव में एक बड़ी समस्या है
 पुराने उपकरणों, किसी कि इस उपकरण के लिए एक भागने के साथ आता है,
 अनिवार्य रूप से उस कि ऑपरेटिंग सिस्टम को अपडेट किया जाता है जब तक विशेषाधिकार वृद्धि है, और
 किसी भी मैलवेयर तो पूरी तरह से डिवाइस समझौता करने के लिए उस भेद्यता का उपयोग कर सकते हैं
 और क्या हम Android पर देख रहे हैं एक नए ऑपरेटिंग सिस्टम पाने के लिए है
 गूगल तो हार्डवेयर निर्माता ऑपरेटिंग सिस्टम को बाहर रखा गया है, और
 यह अनुकूलित करने के लिए है, और फिर वाहक इसे अनुकूलित और इसे वितरित करने के लिए है.
 आप मूल रूप से यहाँ 3 चलती भागों
 और यह वाहक परवाह नहीं है कि बाहर घूम रहा है,
 और हार्डवेयर निर्माताओं परवाह नहीं है, और गूगल उन्हें काफी उकसाने नहीं है
 बाहर तो अनिवार्य रूप से उपकरणों के आधे से अधिक, कुछ भी करने को
 उन में इन विशेषाधिकार वृद्धि कमजोरियों है कि ऑपरेटिंग सिस्टम है,
 आप अपने एंड्रॉयड डिवाइस पर मैलवेयर मिलता है और इसलिए यह एक समस्या की बहुत अधिक है.
 

ठीक है, बहुत बहुत धन्यवाद.
 [तालियाँ]
 [CS50.TV]