[Szeminárium] [Védekezés mögött Device: Mobile Application Security]
 [Chris Wysopal] [Harvard Egyetem]
 [Ez a CS50.] [CS50.TV]
 

Jó napot. A nevem Chris Wysopal.
 Én vagyok a CTO és társ-alapítója Veracode.
 Veracode egy alkalmazás biztonsági cég.
 Teszteljük a legkülönbözőbb alkalmazások,
 és mit fogok beszélni ma a mobil alkalmazás biztonság.
 A háttér csináltam biztonsági kutatás
 egy nagyon hosszú idő, talán a mindaddig, amíg bárki.
 Úgy kezdődött a 90-es évek közepén,
 és volt egy alkalom, hogy elég érdekes, mert
 volt egy paradigmaváltás a 90-es évek közepén.
 Hirtelen mindenki számítógépet akasztott fel az internetre,
 és akkor már a kezdetektől a webes alkalmazások,
 és ez az, amit elsősorban a sokat akkor.
 Ez érdekes.
 Most van egy másik paradigmaváltás történik számítástechnikai,
 amely a váltás a mobil alkalmazásokat.
 

Úgy érzem, hogy ez a fajta egy hasonló időben, akkor ez volt a késő 90-es évek
 amikor is vizsgálja a webes alkalmazások és a hibák megtalálása, mint a
 munkamenet-kezelési hibák és SQL injekció
 amely valójában nem létezett, és hirtelen voltak mindenütt
 A webes alkalmazások, és most sok időt töltök
 nézi a mobil alkalmazások, és néztem, mi folyik kint a vadonban.
 Mobil alkalmazások valóban lesz a domináns számítástechnikai platform,
 így igazán kell tölteni egy csomó időt, ha te vagy a biztonsági ipar
 összpontosító webes alkalmazások.
 Voltak 29 milliárd mobil alkalmazások letölthető 2011.
 Ez előrejelzések szerint 76 milliárd apps 2014-ig.
 Van 686 millió eszközöket fognak vásárolni az idén,
 így ez az, ahol az emberek mennek, hogy csinál
  a legtöbb ügyfelük számítástechnikai jövőre.
 

Én beszéltem egy alelnöke Fidelity Investments
 Pár hónappal ezelőtt, és azt mondta, hogy most láttam több forgalmat
 Ennek a pénzügyi tranzakciók a saját ügyfélkör
 a mobil alkalmazás, mint a honlapjukon,
 így a hétköznapi használatban a weben a múltban
 ellenőrzi a tőzsdei árfolyamokat, az irányító a portfólió,
 és mi valóban látta, hogy 2012-ben átkapcsolási
 hogy domináns a mobil platform.
 Természetesen, ha nem lesz minden olyan bűncselekmény,
 bármely gyanús tevékenységnek, ez fog kezdeni kell fordítani a mobil platform
 az idő múlásával az emberek kapcsol át ezt.
 Ha megnézzük a mobil platform,
 hogy nézd meg a kockázatokat a platform, hogy ez hasznos felosztása a különböző rétegek,
 ahogy te is csinálni egy asztali számítógép,
 és úgy gondolja, a különböző rétegek, szoftverek, operációs rendszer,
 hálózati réteg, hardver réteg, és persze ott van biztonsági rések mindazok réteg.
 

Ugyanez történik a mobil.
 De a mobil, úgy tűnik, hogy néhány ilyen rétegek rosszabbul.
 Az egyik, a hálózati réteg inkább problematikus a mobil
 mert sok ember az irodában vagy otthon
 vezetékes kapcsolat, vagy azok biztonságos Wi-Fi kapcsolat,
 és sok mobil eszközök akkor nyilván nem a saját
 vagy az irodán kívül sokat, és ha a Wi-Fi is
 lehet, hogy a nem biztonságos Wi-Fi kapcsolat,
 valamit, ami a nyilvános Wi-Fi kapcsolat,
 így amikor azt gondoljuk, a mobil alkalmazások is kell figyelembe venni
 hogy a hálózati környezet kockázatosabb olyan alkalmazásokhoz
 ha a Wi-Fi van használatban.
 És mikor jutok be több mobil alkalmazás kockázatok
 látni fogja, hogy miért fontosabb.
 Vannak kockázatok a hardver szintű a mobileszközökön.
 Ez egy olyan terület a folyamatos kutatás.
 Az emberek hívja ezeket a szélessávú rohamok vagy baseband támadások
 hová támadja a firmware-t, ami hallgatja a rádiót.
 

Ezek tényleg ijesztő támadások miatt
 a felhasználónak nem kell tennie semmit.
 Akkor nyomja meg sok eszköz a rádiófrekvenciás tartományban
 egyszerre, és úgy tűnik, mint ha ez a kutatás buborékok fel
 gyorsan lesz besorolva, ahol
 emberek lecsap körül, és azt mondja: "Itt, mesélj arról, és kérlek, ne beszélj róla."
 Van néhány kutatás folyik a szélessáv területén,
 de úgy tűnik, hogy nagyon Hush Hush.
 Azt hiszem, ez inkább egy nemzetállam típusú kutatás folyik.
 A terület aktív kutató, bár az operációs rendszer réteg,
 és újra, ez más, mint az asztali számítástechnika világában
 azért, mert a mobil hely van a csapatok az emberek úgynevezett Jailbreakers,
 és Jailbreakers különböznek, mint a hagyományos sebezhetőség kutatók.
 Ők keresik sebezhetőség az operációs rendszer,
 de azért ők próbálják megtalálni a biztonsági réseket, hogy ne
 betörni valaki másnak a gépet, és kompromisszumot.
 Ez törni a saját számítógépén.
 

Azt akarják törni a saját mobil-, módosíthatja a saját mobil operációs rendszere
 annak érdekében, hogy képes futtatni az alkalmazásokat az általuk választott
 és változtatni a dolgokat, teljes rendszergazdai engedélyekkel,
 és nem akarják elmondani a gyártó erről. Nem olyanok, mint egy biztonsági kutató, amely a fehér kalapot biztonsági kutató
 amely a fog csinálni felelős tájékoztatás és mondd el a szállító róla.
 Azt akarják, hogy ezt a kutatást, és azt akarják, hogy valóban közzé
 Egy kihasználni, vagy a rootkit, vagy a jailbreak kódot,
 és azt akarják csinálni stratégiailag, mint a rögtön
 az eladó hajó az új operációs rendszer.
 Itt van ez ellenséges viszony
 Az OS-szintű sebezhetőség a mobil,
 ami szerintem elég érdekes, és az egyik helyen látjuk, hogy
 van, ezért is, hogy van jó publikált exploit kódjai ott
 a kernel-szintû támadások,
 és láttuk, a ténylegesen használt malware írók.
 Ez egy kicsit más, mint a PC-s világ.
 És akkor az utolsó réteg a felső réteg, az alkalmazási réteg.
 Ez az, amit én fogok beszélni ma.
 

A másik réteg létezik, és a többi réteg játszani bele,
 de én leginkább fog beszélni arról, hogy mi folyik az alkalmazás réteg
 ahol a kód fut a homokozóban.
 Nem rendelkezik rendszergazdai jogosultságokkal.
 Azt, hogy az API-kat használja a készülék,
 de még mindig, sok a rosszindulatú tevékenység, és sok a kockázat megtörténhet, hogy a réteg
 mert ez az a réteg, ahol az összes információ.
 Apps elérheti az összes információt a készülék
 ha megvan a megfelelő engedélyekkel,
 és ők is hozzáférhetnek a különböző érzékelők be az eszközt,
 GPS-szenzor, mikrofon, kamera, amit akarsz.
 Annak ellenére, hogy mi csak beszélünk az alkalmazás réteg
 van egy csomó a kockázat is.
 A másik dolog, ami különbözik a mobil környezetben
 az egész operációs rendszer játékosok, legyen az BlackBerry vagy az Android
 vagy iOS vagy Windows Mobile, mindannyian egy finomszemcsés engedélyt modell,
 és ez az egyik módja, hogy ők építették be az operációs rendszer
 a gondolat, hogy ez nem olyan kockázatos, mint gondolod.
 Annak ellenére, hogy az összes a kapcsolatok ott, az összes személyes információt,
 akkor a képeket, akkor a helyét ott,
 akkor tárolja a bank pin automatikus bejelentkezés ott, ez biztos, mert
 apps van, hogy bizonyos jogosultságok, hogy bizonyos részeket
 információk a készülék, és a felhasználónak be kell mutatni a
 ezeket az engedélyeket, és azt mondják, rendben van.
 

A probléma az, hogy a felhasználó mindig azt mondja, rendben van.
 A biztonsági ember, tudom, hogy figyelmezteti a felhasználót,
 azt mondják, valami nagyon rossz fog történni, akarod, hogy megtörténjen?
 És ha ők a rohanás, vagy van valami igazán csábító a másik oldalán,
 mint egy játék lesz telepíteni, hogy már várnak,
 fognak kattintani rendben van.
 Ezért mondom én slide itt hadd vesse madarak sertések már,
 és láthatjuk a dián itt van példa a BlackBerry engedély dobozt.
 Azt mondja: "Kérjük, állítsa be a BlackBerry Travel alkalmazás engedélyeinek
 kattintás után alábbi gombra ", és alapvetően a felhasználó csak fog mondani
 állítsa be a jogosultságokat, és mentse.
 Itt van egy Android gyors, ahol megmutatja a dolgokat,
 és ez valóban olyan dolog, hogy majdnem úgy néz ki, mint egy figyelmeztetés.
 Van rajta egy egyfajta hozam jel ott azt a hálózati kommunikációt, telefonhívás,
 de a felhasználó fogja kattints telepíteni, igaz?
 És akkor az Apple egy teljesen ártalmatlan.
 Ez nem ad semmiféle figyelmeztetés.
 Ez csak az Apple szeretné használni az adott helyen.
 Természetesen fogsz kattintson rendben van.
 

Van ez a finomszemcsés engedélyt modell,
 és apps van, hogy nyilvánvaló fájlt, amelyben kijelentik,
 a jogosultságokat, amelyekre szükségük van, és ez lesz látható a felhasználó számára,
 és a felhasználónak kell mondanom, megadja ezeket az engedélyeket.
 De legyünk őszinték.
 A felhasználók csak megy, mindig azt mondom, rendben van.
 Vessünk egy gyors pillantást a jogosultságokat, hogy ezek az alkalmazások kérnek
 és néhány a jogosultságokat, hogy ott vannak.
 Ez a cég Praetorian volt egy felmérés tavaly
 53.000 alkalmazások elemezte az Android Market és a 3rd party piacok
 Szóval ez az egész Android.
 És az átlagos app kért 3. engedélyeket.
 Egyes alkalmazások kért 117 jogosultságokat,
 így természetesen ezek nagyon finom szemcséjű és túl bonyolult a felhasználó számára, hogy megértsék
 ha ők bemutatva ebben az alkalmazásban, hogy szüksége van ezekre a 117. jogosultságokat.
 Ez olyan, mint a végfelhasználói licencszerződés, ami 45 oldalas.
 Lehet, hogy hamarosan lesz egy lehetőség, ahol ez olyan, mint
 nyomtassa ki az engedélyeket, és küldj egy e-mailt.
 

De ha megnézzük néhány felső érdekes engedélyek
 24%-a apps, hogy letölthető ki a 53000
 kért a GPS adatokat a készülékről.
 8%-os, olvassa el a kapcsolatokat.
 4%-os küldött SMS és 3%-a kapott SMS.
 2%-os rögzített hang.
 1%-os feldolgozott kimenő hívásokat.
 Nem tudom.
 Nem hiszem, hogy 4%-apps az App Store igazán szükség, hogy SMS-üzeneteket küldeni,
 ezért úgy gondolom, hogy ez egy tippet, hogy valami kellemetlen történik.
 8%-a apps kell olvasni a névjegyzékben. Ez talán nem szükséges.
 Egy másik érdekes dolog a témáról,
 ha link megosztott könyvtárak alkalmazás
 azok öröklik a jogosultságokat az alkalmazás,
 így ha a app szüksége van a névjegyzék, vagy szüksége van a GPS helyen működik
 és összekapcsolni egy hirdetési könyvtárban, például,
 hogy ad könyvtár is képes elérni az érintkezők
 és az is képes elérni a GPS helyen,
 és a fejlesztő az alkalmazás nem tud semmit arról, hogy a kód fut a hirdetés könyvtárban.
 Ők csak a kapcsolatot, hogy azért, mert szeretne pénzt keresni, hogy kb.
 

Itt és fogok beszélni néhány példa erre a
 nevű alkalmazás Pandora, ha egy alkalmazás fejlesztő
 Lehet, hogy akaratlanul is szivárog információ
 az a felhasználók, mert a könyvtárak ők már kapcsolódik be
 Felmérése a táj ott, néztem a különböző alkalmazások
 hogy számoltak be a hírek szerint a rosszindulatú, vagy csinál valamit a felhasználók nem akart
 majd ellenőrzésekor sok apps, mi a sok statikus bináris elemzés mobil alkalmazások,
 így már megvizsgálta, és megnézte a kódját,
 jöttünk fel, amit úgy hívunk a top 10 listát a kockázatos viselkedés alkalmazások.
 És ez bontva 2 rész, rosszindulatú kódot,
 így ezek a rossz dolgok, hogy az alkalmazásokat lehet ezzel, hogy
 valószínűleg valamit, ami a rosszindulatú személy
 kifejezetten fel az alkalmazás, de ez egy kicsit homályos.
 Ez lehet valami, hogy egy fejlesztő úgy gondolja, rendben van,
 de végül is gondolt, mint rosszindulatú a felhasználó.
 

És akkor a második rész nevezzük kódolás réseket,
 és ezek azok a dolgok, ahol a fejlesztő alapvetően nem a hibákat
 vagy csak nem érti, hogyan kell írni az alkalmazás biztonságosan,
  és ez üzembe az alkalmazás a felhasználó veszélyezteti.
 Én megyek át ezeket részletesen, és néhány példát.
 Referenciaként akartam feltenni a OWASP mobil top 10 listán.
 Ezek a 10 kérdés, hogy a csoport OWASP,
 Az Open Web Application Security Project, van egy munkacsoport
 a munka a mobil top 10 listán.
 Van egy nagyon híres web top 10 listát, amely a top 10
 legkockázatosabb dolog, amit még egy webes alkalmazás.
 Ők ugyanazt a dolgot a mobil,
 és a lista egy kicsit más, mint a miénk.
 6 a 10-ből azonos.
 Van, hogy a 4. különbözőek.
 Azt hiszem, hogy egy kicsit a másik veszi
 kockázat a mobil alkalmazások, ahol sok a kérdés
 valóban, hogy az alkalmazás kommunikál a back-end szerver
 vagy mi folyik a back-end szerver,
 nem annyira apps, amelyek a kockázatos viselkedés, hogy csak egyszerű kliens alkalmazások.
 

Az is piros itt van a különbség a 2 listából.
 És az én kutatócsoport ténylegesen hozzájárult a projekt,
 így majd meglátjuk, mi történik az idő, de azt hiszem, az elvihető itt
 nem igazán tudom, mi a top 10 lista a mobil alkalmazások miatt
 ők már tényleg csak körül 2 vagy 3 éve,
 és ott nem volt elég ideje, hogy valóban kutatás operációs rendszerek
 és mire képesek, és nem volt elég idő
 A rosszindulatú közösség, ha úgy tetszik, hogy elég időt töltött
 próbálják támadni a felhasználók a mobil alkalmazások, ezért azt várom, ezeket a listákat, hogy változtatni egy kicsit.
 De most, ezek a top 10 dolgot kell aggódni.
 Lehet, hogy csoda a mobil oldalon, ahol nem a rosszindulatú mobil code-
 hogyan kap a készülékhez?
 Észak-Karolina államban egy projekt az úgynevezett Mobile Malware Genome Project
 ahol gyűjt annyi mobil malware, amennyit csak tudnak, és elemzése is,
 és már lebontva az injekciós vektorokat, amelyek a mobil malware használ
 és 86%-a használja a technika az úgynevezett újracsomagolás,
 és ez csak az Android platform
 lehet, hogy tényleg ezt újracsomagolás.
 

Az ok Android kódot épül
 a Java byte-kód nevű Dalvik amely könnyen decompilable.
 Mi a rosszfiú tehetünk,
 hogy egy Android alkalmazás, visszafordítani azt,
 be a rosszindulatú kódot, fordítani,
 majd tedd fel az App Store állítják, hogy egy új változatát az alkalmazás,
 vagy csak talán nevének módosítása az alkalmazás.
 Ha ez valami játék, változtassa meg a nevét kissé,
 és így ez átcsomagolás, hogy 86%-a mobil malware lesz elosztva.
 Van egy másik technika, update, ami
 nagyon hasonló az újracsomagolásra, de valójában nem tesz a rosszindulatú kódot be
 Mit csinálsz te tesz egy kis frissítés mechanizmus.
 Azt visszafordítani, teszel egy frissítési mechanizmust, és fordítani,
 majd ha az alkalmazás fut, hogy húzza le a malware a készülékre.
 

Messze a legtöbb azok, 2. technikák.
 Nincs igazán sok letöltés drive-bys vagy drive-by download a mobiltelefonokon,
 ami lehet, mint egy adathalász támadást.
 Hé, nézd meg ezt a nagyon jó honlap,
 vagy el kell menni ezen a honlapon, és töltse ki az alábbi űrlapot
 hogy továbbra is csinál valamit. Azok adathalász támadások.
 Ugyanez megtörténhet a mobil platform, ahol
 pont egy mobil alkalmazás letölthető, mondani, hogy "Szia, ez a Bank of America."
 "Úgy látom, használja ezt az alkalmazást."
 "Akkor töltse le ezt más alkalmazás."
 Elméletileg, ami működik.
 Talán csak nem használják elég annak megállapítására, hogy sikeres-e vagy sem,
 de úgy találták, hogy kevesebb, mint 1%-a az idő, hogy a technikát alkalmazunk.
 A legtöbb időt ez tényleg átcsomagolt kódot.
 

Van egy másik kategória az úgynevezett önálló
 amikor valaki csak épít egy teljesen új alkalmazás.
 Építenek egy alkalmazás, amely sejteti, hogy valami.
 Ez nem újracsomagolt valami mást, és amely a rosszindulatú kódot.
 Ez használt 14%-át az időt.
 Most szeretnék beszélni arról, hogy mi az a rosszindulatú kódot csinálsz?
 Az egyik első malware ott
 akkor fontolja meg egy spyware.
 Ez alapvetően kémek a felhasználó.
 Összegyűjti e-mailek, SMS-üzeneteket.
 Ez bekapcsolja a mikrofont.
 A termés a kapcsolatot könyvet, és küld ki, hogy valaki másnak.
 Ez a fajta spyware van a PC-n,
 így teljesen érthető, hogy az emberek megpróbálják ezt a mobileszközökön.
 

Az egyik első példája volt a program neve Secret SMS Replicator.
 Ez volt az Android Marketplace pár évvel ezelőtt,
 és az ötlet az volt, ha volt hozzáférése valaki Android telefon
 , amit akart kémkedni, így talán ez a házastárs
 vagy a más jelentős, és azt szeretné, hogy kémkedjen a szöveges üzenetek,
 akkor töltse le ezt app, és telepítse és állítsa be
 küldjön egy SMS Önnek egy példányt
 Minden SMS szöveges üzenet kaptak.
 Ez nyilvánvalóan a megsértése az App Store szolgáltatás feltételeit,
 és ez lekerült a Android Marketplace 18 órán belül azt, hogy ott,
 így nagyon kevés ember volt veszélyben, mert ezt.
 Nos, azt hiszem, ha a program neve ami talán egy kicsit kevésbé provokatív
 mint a Secret SMS Replicator valószínűleg működött volna sokkal jobb.
 De ez elég nyilvánvaló.
 

Az egyik dolog, amit tehetünk, hogy megállapítsa, apps, hogy ez a magatartás, hogy mi nem akarjuk
 az, hogy ellenőrizze a kódot.
 Ez valójában nagyon könnyű csinálni az Android, mert tudjuk visszafordítani az alkalmazásokat.
 Az iOS használhatja a disassembler mint IDA Pro
 hogy nézd meg, mi az Apis az alkalmazás hív, és mit csinál.
 Azt írta saját bináris statikus analizátor kódunkat
 és mi ezt, és így mit tehet az, meg tudná mondani,
 ez a készülék semmit, ami alapvetően kémkedik nekem, vagy követés engem?
 És van néhány példa van az iPhone.
 Ez az első példa, hogyan lehet hozzáférni az UUID a telefon.
 Ez valójában valami, hogy az Apple nemrég betiltotta az új alkalmazások,
 de a régi alkalmazások, lehet, hogy fut a telefonon is megteheti ezt,
 és így, hogy az egyedi azonosító lehet használni, hogy nyomon követni az Ön
 számos különböző alkalmazásokat.
 

Az Android, van egy példa erre a szerzés a készülék helyét.
 Láthatjuk, hogy ha az API hívás van, hogy az app követés,
 és láthatjuk, hogy ez egyre szép helyen, vagy durva helyre.
 És akkor az alsó itt van egy példa arra, hogy a BlackBerry
 egy alkalmazás is hozzáférhet az e-mail üzeneteket az Ön postaládájába.
 Ezek a fajta dolog, amit lehet ellenőrizni, hogy
 ha az alkalmazás csinál ezeket a dolgokat.
 A másik nagy kategóriája rosszindulatú, és ez talán a legnagyobb kategória most,
 jogosulatlan tárcsázás, jogosulatlan emelt díjas SMS szöveges üzenetek
 vagy jogosulatlan kifizetéseket.
 A másik dolog, ami egyedi a telefon
 van a készülék akasztott a számlázási számla,
 és ha a tevékenység történik, a telefon
 akkor létre díjakat.
 Megvásárolhatja a dolgokat telefonon keresztül,
 és ha küld egy emelt díjas SMS szöveges üzenet, hogy tényleg ad pénzt
 A számlatulajdonos a telefonszám a másik oldalon.
 Ezek hozták létre, hogy a tőzsdei árfolyamokat, vagy kap a napi horoszkóp, vagy más dolog,
 de be lehet állítani, hogy megrendelni a terméket küldött SMS.
 Az emberek pénzt adni a Vöröskereszt által küldött szöveges üzenetet.
 Adhat 10 $ így.
 

A támadók, hogy mit csináltak az, hogy hozzanak létre
 számlák külföldön, és ágyazza a malware
 hogy a telefon küld egy emelt díjas SMS szöveges üzenet,
 azt mondják, a néhány alkalommal egy nap, és a végén a hónap rájössz töltöttem
 több tíz vagy akár több száz dollárt, és járnak el a pénzt.
 Ez annyira rossz, hogy ez volt az első dolog, ami az Android
 Marketplace vagy a Google helyen, ez volt az Android Marketplace abban az időben,
 és ez most a Google Play az első dolog, hogy a Google elkezdett ellenőrzése.
 Amikor a Google megkezdte terjesztése Android apps az App Store-ban
 azt mondták, hogy nem fogják ellenőrizni semmit.
 Majd húzza apps ha egyszer már bejelentették, hogy már megtört a szolgáltatás feltételeit,
 de nem fogunk, hogy ellenőrizze a semmit. Nos, körülbelül egy évvel ezelőtt lett olyan rossz ezzel a prémium SMS malware
 hogy ez a legelső dolog, amit elkezdett ellenőrzése.
 Ha egy alkalmazás tud SMS-üzeneteket küldeni
 ők is kézzel vizsgálják a kérelmet.
 Úgy néznek ki, az API-kat, hogy hívják ezt,
 és most, mivel akkor a Google bővült,
 de ez volt az első dolog, hogy nekilátott a.
 

Néhány más apps, hogy volt néhány SMS szöveges üzenetek,
 Android Qicsomos, azt hiszem, ez a neve.
 Ott volt ez a jelenlegi esemény, a mobil, ahol ez CarrierIQ jött ki
 spyware fel a készüléket a fuvarozók,
 így az emberek tudni akarta, ha a telefon ki volt téve, hogy ezt,
 és ez egy ingyenes app, hogy leteszteltük, hogy.
 Hát persze, hogy mi ez az app tett, küldött emelt díjas SMS szöveges üzenetek,
 így teszteli, hogy ha fertőzött spyware
 betöltött malware a készülékre.
 Láttuk, hogy ugyanaz a dolog történik az utolsó Super Bowl.
 Volt egy hamis változata a Madden focimeccsen
 hogy a küldött emelt díjas SMS szöveges üzenetek.
 Valójában megpróbált létrehozni egy bot hálózatot is a készüléken.
 Itt van néhány példa.
 Érdekes módon, az Apple volt elég okos,
 és nem teszi lehetővé az alkalmazások SMS-üzeneteket küldeni egyáltalán.
 Nem app tudja csinálni.
 Ez egy nagyszerű módja annak, hogy megszabaduljunk egy egész osztály, a sebezhetőség,
 de az Android meg tudod csinálni, és persze, a BlackBerry meg tudod csinálni is.
 Érdekes, hogy a BlackBerry minden amire szüksége van internet jogosultságok
 küldjön SMS-üzenet.
 

A másik dolog, tényleg, hogy mi keressük
 amikor mi keresünk, hogy ha valami rosszindulatú is akármilyen
 jogosulatlan hálózati tevékenységet, mint nézd meg a hálózati tevékenység
 Az app állítólag van, hogy a funkcionalitás,
 és nézd meg ezt a más hálózati tevékenységet.
 Talán egy app, a munka, van, hogy az adatokat HTTP-n keresztül,
 de ha ez a dolgokat e-mailben vagy SMS-ben vagy Bluetooth-on, vagy valami ilyesmi
 most, hogy app potenciálisan rosszindulatú, így ez a másik dolog, amit vizsgálja.
 És ezen a dia itt van néhány példa erre.
 Egy másik érdekes dolog, amit láttam a malware történt vissza 2009-ben,
 és ez történt egy nagy út.
 Nem tudom, ha ez történt, annyira azóta, de ez egy app
 hogy a megszemélyesített másik alkalmazás.
 Volt egy sor apps, és nevezték a 09Droid támadás,
 és valaki úgy döntött, hogy volt egy csomó kis, regionális, közepes méretű bankok
 hogy nem volt online banki alkalmazások
 így amit tett, ők építették a 50 online banki alkalmazások
 hogy minden, amit tett, hogy a felhasználónév és a jelszó
 és átirányítja a honlapon.
 És így, hogy ezeket mind fel a Google Marketplace,
 az Android Marketplace, és ha valaki keresni, hogy ha a bank
 Volt egy alkalmazás meg fogják találni a hamis alkalmazás,
 amely gyűjtött az adatait, majd átirányítják őket a honlapon.
 Az út, hogy ez valójában lett-apps volt ott egy pár hétig,
 és nem volt több ezer letöltések.
 

Az, hogy ez napvilágra valaki volt, miután a probléma
 az egyik az alkalmazások és hívták a bank,
 és hívják a bank ügyfélszolgálati vonal és azt mondta:
 "Én magam a probléma a mobil banki alkalmazás."
 "Tudna segíteni?"
 És azt mondták: "Mi nem egy mobil banki alkalmazás."
 Hogy megkezdte a vizsgálatot.
 Ez a bank úgynevezett Google, majd a Google nézett, és azt mondta:
 "Wow, ugyanaz a szerző írta 50 banki alkalmazások", és mindnyájukat le.
 De természetesen ez megtörténhet újra.
 Itt a lista a különböző bankok itt
 , amelyek részei voltak az átverés.
 A másik dolog, amit egy app tehet jelen van a UI egy másik alkalmazás.
 Bár ez fut lehetett felbukkan a Facebook UI.
 Azt mondja, van, hogy a felhasználó nevét és jelszavát, hogy továbbra is
 vagy kiszerelt olyan felhasználói nevet és jelszót UI egy website
 hogy talán a felhasználó használja, csak hogy megpróbálja becsapni a felhasználót
 kialakításának, az adatait be
 Ez tényleg egy egyenes párhuzamos az e-mail adathalász támadások
 amikor valaki küld egy e-mail üzenetet
 és adja meg alapvetően egy hamis UI egy honlapon
 hogy van hozzáférése.
 

A másik dolog, amit keres rosszindulatú kód rendszer módosítása.
 Akkor nézd az összes API hívások, amelyek root jogosultsággal
 hogy végre helyesen.
 Módosítása az eszköz web proxy lenne valami, ami egy alkalmazás
 nem lesz képes megtenni.
 De ha az alkalmazás kódját ott csinálni
 tudod, hogy ez valószínűleg egy rosszindulatú alkalmazás
 vagy nagyon nagyon valószínű, hogy egy rosszindulatú alkalmazás,
 és akkor mi fog történni, hogy az app volna valamilyen módon a növekvő kiváltság.
 Ez néhány privilégium eszkaláció kihasználni
 az alkalmazás, majd ha egyszer emelt szintű jogosultságot
 akkor ezek a rendszer módosítása. Itt található malware, amely privilégium eszkaláció
 A még nem tudjuk, hogyan privilégium eszkaláció
 kihasználni fog történni, és ez egy szép, egyszerű módja
 keresni a malware.
 DroidDream volt talán a leghíresebb darabja Android malware.
 Azt hiszem, ez az érintett mintegy 250.000 felhasználó néhány nap alatt
 mielőtt azt találtuk.
 Ezek újracsomagolt 50 hamis alkalmazások
 tedd az Android App Store,
 , és lényegében azt használják Android jailbreak kód megnőnek kiváltságokat
 majd telepítse a parancsot, és ellenőrzik, és kapcsolja be az összes áldozat
 egy bot net, de lehetett volna kimutatni ezt
 mintha szkennelés az alkalmazást, és csak keres
 API hívások, amelyek szükségesek a root engedélyt végre helyesen.
 

És van egy példa van már, amely megváltoztatja a proxy,
 és ez valójában csak az Android.
 Láthatjuk adok sok példa az Android
 mert ez az, ahol a legaktívabb malware ökoszisztéma
 mert nagyon könnyű a támadó számára, hogy rosszindulatú kódot
 az Android Marketplace.
 Ez nem olyan könnyű megtenni, hogy az Apple App Store
 mert az Apple megköveteli a fejlesztők, hogy azonosítsák magukat
 és aláírja a kódot.
 Ezek valóban ellenőrizni, hogy ki vagy, és az Apple valójában kérelmeinek kivizsgálása.
 Nem látni a sok igazi malware, ahol az eszköz egyre romlik.
 Fogok beszélni néhány példát, ahol ez tényleg a magánélet, ami egyre veszélybe,
 és ez az, mi történik valójában az Apple készüléket.
 A másik dolog, hogy vizsgálja meg a rosszindulatú kódok, kockázatos kódot eszközök
 logika vagy időzített bombák, és az idő bombák valószínűleg
 sokkal könnyebb keresni, mint a logikai bombák.
 De időzített bombák, hogy mit tehetünk, lehet keresni
 helyek a kódot, ahol az idő tesztelni, vagy abszolút idő keresett
 előtt bizonyos funkciók az app történik.
 És ez lehetne tenni, hogy elrejtse ezt a tevékenységet a felhasználó,
 így történik késő este.
 DroidDream nem minden tevékenysége 11:00-08:00 helyi idő szerint
 hogy próbálja meg, amíg a felhasználó nem használja a készüléket.
 

A másik ok, hogy ezt is, ha az emberek viselkedési elemzése egy alkalmazás,
 fut az alkalmazás a homokozóban, hogy mi a viselkedését az alkalmazás,
 tudják használni az idő-alapú logika, hogy ezt a tevékenységet
 ha az alkalmazás nem a homokozóban.
 Például egy app store, mint az Apple
 fut az alkalmazás, de valószínűleg nem fut minden alkalmazás, mondjuk, 30 nap
 jóváhagyását megelőzően, így nem tud
 logika az alkalmazás, hogy azt mondta, oké, csak ezt a rossz dolog
 után 30 nap telt el, és 30 nap után a közzététel dátuma után a kérelem
 és hogy segíthet a rosszindulatú kód elrejtése az emberek vizsgálatára is.
 Ha az anti-vírus cégek futnak a dolgok homokozók
 vagy az alkalmazás tárolja maguk ez segíthet
 elrejteni, hogy az adott vizsgálat.
 Nos, a másik oldala az, hogy ez könnyű megtalálni statikus elemzés,
 így valójában ellenőrző kódot meg lehet keresni az összes helyen
 ahol az alkalmazás ellenőrzi az időt, és vizsgálja meg, hogy az út.
 És itt van néhány példa a következő 3 különböző platformokon
 hogyan időt lehet ellenőrizni az App Maker
 hogy tudd, mit kell keresni, ha szemügyre app statikusan.
 

Én csak ment keresztül egy csomó különböző kártékony tevékenységek
 hogy láttuk a vadonban, de melyek a legelterjedtebb?
 Ugyanezen vizsgálat a North Carolina State Mobile Genome Project
 közzétett néhány adatot, és voltak alapvetően 4 terület
 hogy látták, amikor sok volt a tevékenység.
 37%-a apps nem privilégium eszkaláció,
 így volt valamilyen jailbreak kód van
 ahol megpróbálták bővítik kiváltságokat, hogy azok is
 ne API parancsok fut az operációs rendszer.
 45%-a apps ott nem emelt díjas SMS,
 Szóval ez egy nagy százalékban, hogy megpróbálja közvetlenül pénzt.
 93%-os volt a távirányítón, így igyekeztek létrehozni egy bot net, mobil bot net.
 És 45% betakarított azonosító információkat
 mint a telefonszámok, UUID, GPS helyen, a felhasználói fiókok,
 és ez teszi ki a több mint 100, mert a legtöbb rosszindulatú próbál csinálni egy pár ilyen dolog.
 

Fogok váltani a második felében, és beszélni a kód réseket.
 Ez a második fele a kockázatos tevékenység.
 Ez az a pont, ahol lényegében a fejlesztő, hogy hibákat.
 A törvényes fejlesztő írásban jogos app
 teszi a hibák, vagy nem ismeri a kockázatokat a mobil platform.
 Ők egyszerűen nem tudják, hogyan kell egy biztonságos mobil app,
 vagy néha a fejlesztő nem törődik a felhasználó kezébe adja a kockázatot.
 Néha része az üzleti modell lehet
 betakarítás a felhasználó személyes adatait.
 Ez a fajta a másik kategóriába, és ezért néhány ilyen rosszindulatú
 szemben jogos kezd vérezni át, mert van különbség a vélemények
 között, amit a felhasználó akar, és amit a felhasználó úgy véli, kockázatos
 és mi az alkalmazás fejlesztője szerint kockázatos. Természetesen, ez nem az alkalmazás fejlesztő adatok a legtöbb esetben.
 

És végül, egy másik módja ez megtörténik, a fejlesztő lehet összekapcsolni
 egy megosztott könyvtárat, amely biztonsági rések, illetve ez kockázatos viselkedés benne
 tudtán kívül őket.
 Az első kategória érzékeny adatszivárgás,
 és ez az, amikor az app gyűjt információkat
 mint a hely, címjegyzék adatait, a tulajdonos adatait
 és elküldi, hogy ki a készüléket.
 És ha ez ki a készüléket, nem tudjuk, mi történik, hogy az információ.
 Ez lehet tárolni bizonytalanul az alkalmazás fejlesztője.
 Láttuk alkalmazás-fejlesztők kap veszélybe,
 , és az adatok, hogy ők tárolására kerül sor.
 Ez történt néhány hónappal ezelőtt, hogy a fejlesztő Floridában
 ahol nagyszámú, volt iPad UUID és a készülék nevét
 kiszivárgott, mert valaki, azt hiszem, ez volt a névtelen,
 azt állította, hogy ezt, betört ez a fejlesztő szerverein
 és ellopta több millió iPad UUID
 és a számítógép nevét.
 Nem a legkockázatosabb információkat,
 de mi van, ha ez volt a tárolására felhasználói nevek és jelszavak
 és otthoni címét?
 Van sok apps, hogy tárolja ezt a fajta információt.
 A kockázat ott van.
 

A másik dolog, ami történhet, ha a fejlesztő nem vigyáz
 hogy biztosítsa az adatok csatornát, és ez a másik nagy sebezhetőség fogok beszélni,
 hogy adatokat küld a tiszta.
 Ha a felhasználó a nyilvános Wi-Fi hálózathoz
 vagy valaki szippantás az interneten valahol
 az úton, hogy az adatok kitéve.
 Egy nagyon híres eset ezen információk szivárgás történt Pandora,
 és ez olyasmi, amit kutatott Veracode.
 Azt hallottam, hogy volt egy-Azt hiszem, ez volt a Szövetségi Kereskedelmi Bizottság
 nyomozás folyik a Pandora.
 Azt mondta: "Mi folyik itt? Kezdjük ásni a Pandora alkalmazás."
 És mi határozza meg az volt a Pandora alkalmazás összegyűjtött
 a nem és az életkor,
 és ez is elérhető a GPS-helyzet, és a Pandora alkalmazás
 tette ezt, amit mondtak volt jogos indokkal.
 A zene, hogy ők játszanak, Pandora egy zenei streaming app-
 A zenét játszottak csak engedéllyel az Egyesült Államokban,
 így ellenőriznie kellett ahhoz, hogy a licenc megállapodások voltak
 a zene volt, hogy a felhasználó az Egyesült Államokban.
 Azt is szerette volna, hogy megfeleljenek a szülői tanácsadó
 körül felnőtt nyelv a zene,
 és így ez egy önkéntes program, de azt akarták, hogy megfelelnek-e
 és nem játszik explicit lyrics gyermekek 13 és alatt.
 

Nem volt jogos érdeke gyűjtésére az adatokat.
 A app volt jogosultságokat csinálni.
 A felhasználók hittem, hogy ez jogos. De mi történt?
 A kapcsolt 3 vagy 4 különböző hirdetési könyvtárak.
 Most hirtelen mindezek ad könyvtárak
 egyre hozzáférést ehhez ugyanazokat az információkat.
 A hirdetés könyvtárak, ha megnézi a kódot a hirdetésben könyvtárakban
 mit tennie, hogy minden hirdetésben könyvtár szerint
 "Nem az én app engedélye, hogy GPS helyen?"
 "Ó, ez? Oké, mondd meg a GPS helyen."
 Minden egyes hirdetés könyvtár csinálja,
 és ha az alkalmazás nincs GPS engedélye
 akkor nem fogja tudni, hogy ez, de ha mégis, akkor értem.
 Ez az a pont, ahol az üzleti modell a hirdetés könyvtárak
 ellenzi a magánéletét a felhasználó.
 És ott volt tanulmányok arra nézve, hogy azt mondják, ha tudod, hogy a kor
 egy személy, és tudja a helyét
 ahol aludni, mert akkor a GPS-koordináták
 miközben talán alszik, pontosan tudja, ki ez a személy
 mert akkor melyik tagja, hogy a háztartások az adott személy.
 Tényleg ez azonosítja a hirdetők
 Pontosan, hogy ki vagy, és úgy néz ki, mintha legitim.
 Csak azt akarom, hogy a streaming zene, és ez az egyetlen módja, hogy azt.
 

Nos, ki vannak téve ennek.
 Azért írtuk ezt akár több blogbejegyzések,
 , és kiderült, hogy valaki a Rolling Stone magazin
 olvassa egyik blogbejegyzések, és azt írta a saját blog a Rolling Stone róla,
 és már másnap Pandora gondoltam, hogy ez egy jó ötlet
 hogy távolítsa el a hirdetés könyvtárak azok alkalmazását.
 Amennyire én tudom, hogy te vagy az egyetlen, ők dicséretet érdemel.
 Azt hiszem, ők az egyetlenek freemium típusú app, hogy megtette ezt.
 Az összes többi freemium apps van ez ugyanaz a viselkedés,
 így neked kell gondolni, hogy milyen adatokat adsz
 Ezek freemium alkalmazások, mert ez minden megy a hirdetők.
 Praetorian is volt egy tanulmányt a megosztott könyvtárakat, és azt mondta,
 "Nézzük meg, milyen osztott könyvtárak a legnépszerűbb megosztott könyvtárakat", és ez volt az adatokat.
 

Elemezték 53,000 alkalmazások,
 és az 1-es szám osztott könyvtár Admob.
 Ez valójában 38%-a pályázatok odakinn,
 így 38%-a az alkalmazások, amit használ
 valószínűleg betakarítás a személyes adatok
 és azt eljuttatja a hirdetési hálózatok. Apache és az Android volt, 8%, 6%,
 és akkor ezek más is aljára, a Google Ads, Flurry,
 Mob City és a Millenniumi Média,
 ezek mind ad a vállalatok, majd érdekes módon,
 4% kapcsolódik a Facebook könyvtárban
 Valószínűleg köze hitelesítés a Facebook
 így az app is hitelesíti a Facebook.
 De ez azt is jelenti, a vállalat Facebook vezérli kód
 hogy fut a 4%-a Android mobil alkalmazások odakint,
 és hozzáférhet az összes adatot, hogy ez app engedéllyel eljutni.
 Facebook alapvetően megpróbálja eladni hirdetési helyet.
 Ez az üzleti modell.
 

Ha megnézzük az egész ökoszisztéma ezeket az engedélyeket
 és a megosztott könyvtárakat elkezdi látni, hogy
 van sok a kockázat egy állítólag legitim alkalmazás.
 Ugyanaz hasonló dolog, ami történt Pandora
 történt nevű alkalmazás Path,
 és az elérési út azt hitték, hogy segítőkész, barátságos a fejlesztők.
 Ők csak próbál adni a kiváló felhasználói élményt,
 , és kiderült, hogy a felhasználó megkérdezése nélkül, vagy mondja a felhasználó bármit
 és ez történt, az iPhone és az Android,
 A Pandora app iPhone és Android
 hogy az Ösvény kérelmet megragadta a teljes címjegyzék
 és feltölti azt a elérési út, csak ha telepítve van, és futott az alkalmazás,
 és nem mondom ezt.
 Azt hittem, hogy nagyon hasznos az Ön számára
 hogy képes megosztani az embereket a címjegyzékben
 hogy te vagy az Út alkalmazás.
 

Nos, nyilvánvalóan ösvény gondoltam, hogy ez nagyon jó volt a társaság.
 Nem olyan nagy, hogy a felhasználó számára.
 Meg kell gondolni, hogy ez az egyik dolog, ha talán egy tinédzser
 használja az alkalmazás, és a több tucat barátai vannak ott,
 de mi van, ha a vezérigazgató a cég, amely telepíti elérési út
 majd hirtelen az egész címjegyzék ott?
 Fogsz kapni egy csomó potenciálisan értékes elérhetőségét
 egy csomó ember.
 A riporter a New York Times, akkor lehet, hogy a telefonszám
 ex elnökök a saját címjegyzék,
 így nyilván sok érzékeny információk kerül át valami, mint ez.
 Volt olyan nagy fedél erről az Ösvény bocsánatot kért.
 Megváltoztatták az app, és még hatással Apple.
 Az Apple azt mondta: "Meg fogunk kényszeríteni app gyártók, hogy azonnal a felhasználók
 ha ők fognak gyűjteni a teljes címjegyzék. "
 

Úgy néz ki, hogy mi történik itt,
 ha van egy nagy a magánélet megsértése, és ez teszi a sajtó
 látunk változást odakint.
 De persze vannak más dolgok odakint.
 A LinkedIn alkalmazás termés a naptár bejegyzéseket,
 de az Apple nem teszi a felhasználót kérni róla.
 Naptárbejegyzések lehet érzékeny információkat is rajta vagyok.
 Hova mész meghúzni a határt?
 Ez tényleg ilyen fejlődő helyen
 ahol már tényleg nincs jó színvonalú ott
 a felhasználók számára, hogy megértsék, ha az információ lesz veszélyben
 és mikor fognak tudom, hogy kell venni.
 Írtunk egy app Veracode nevű Adios,
 , és lényegében lehetővé tette, hogy pont az app az iTunes könyvtár
 és nézd meg az összes alkalmazás, amelyeket betakarítás a teljes címjegyzéket.
 És mint látható a listán van, Angry Birds,
 AIM, AroundMe.
 Miért Angry Birds kell a címjegyzékben?
 Nem tudom, de ez valahogy.
 

Ez olyan dolog, hogy sok-sok alkalmazás van.
 Tudod ellenőrizni a kód.
 Van jól definiált API iPhone, Android és a BlackBerry
 hogy a címjegyzék.
 Akkor tényleg egyszerűen ellenőrizni ezt, és ez az, amit tett a Adios alkalmazás.
 A következő kategória, biztonságos Érzékeny Adattárolás,
 van valami, ahol a fejlesztők, hogy olyasmi, mint a csap, vagy egy számlaszámot
 vagy a jelszót, és tárolja a tiszta a készülék.
 Még rosszabb, lehet, hogy tárolja olyan területen, a telefon
 amely globálisan elérhető, mint az SD-kártyát.
 Látod ezt gyakrabban, az Android, mert Android lehetővé teszi, hogy egy SD kártya.
 IPhone készülékek nem.
 De azt is látta, hogy ez megtörténjen a Citigroup alkalmazás.
 Az online banki alkalmazás tárolja a számlaszámok bizonytalanul,
 csak az világos, hogy ha elveszett a készülék,
 lényegében elvesztette a bankszámláját.
 Ez az, amiért én személy szerint nem nem banki az én iPhone.
 Azt hiszem, túl kockázatos most, hogy ezek a fajta tevékenység.
 

Skype tette ugyanezt.
 Skype, természetesen van egy fizetési mérleg, a felhasználói nevet és jelszót
 hozzáférő egyensúlyt.
 Ők voltak tárolja az összes információt az egyértelmű a mobil eszközön.
 Van néhány példa van a fájlok létrehozását
 , amelyek nem rendelkeznek a megfelelő engedélyekkel, vagy írásban a lemezre
 és nem rendelkezik titkosítást megtörténhet, hogy az.
 A következő terület, biztonságos Érzékeny Adatátvitel,
 Már utaltam, hogy ezt egy párszor, és mivel a nyilvános Wi-Fi
 ez olyan dolog, hogy apps feltétlenül kell csinálni,
 és valószínűleg ez, amit látunk baj a legjobban. Azt mondanám, tényleg, azt hiszem, hogy a tényleges adatok,
 de ez közel fele a mobil alkalmazások
 csavart ki csinál SSL.
 Csak nem használja az API helyesen.
 Úgy értem, csak annyit kell tenned, hogy kövesse az utasításokat, és használja az API-k,
 de ezek a dolgok, mint nem ellenőrzi, hogy van-e érvénytelen tanúsítványt a másik végén,
 ne ellenőrizze, hogy a másik végén is próbál tenni a protokoll leminősítés támadás.
 

A fejlesztők, azt szeretnénk, hogy a négyzetet, nem igaz?
 A követelmény az, hogy használja ezt eladni. Ők már használják ezt eladni.
 Az a követelmény, hogy ne használja ezt eladni biztonságosan,
 , és így ez az, amiért minden alkalmazást, amely arra használható, hogy az adatok biztonságos
 mivel ez átvitt ki a készüléket tényleg kell vizsgálni
 annak biztosítása, hogy megvalósult-e.
 És itt van néhány példa, ahol látható egy alkalmazás
 Lehet, hogy a HTTP helyett HTTPS.
 Egyes esetekben apps esik vissza a HTTP
 Ha a HTTPS nem működik.
 Van egy másik hívásom van az Android, ahol már le van tiltva a tanúsítvány ellenőrzése,
 így a man-in-the-middle támadás megtörténhet.
 Érvénytelen tanúsítvány fogadható el.
 Ezek mind olyan esetben, amikor a támadók lesz képes, hogy a
 ugyanazon a Wi-Fi kapcsolat, mint a felhasználó és a hozzáférés az összes adat
 ami küldött az interneten keresztül.
 

És végül, az utolsó kategória már itt van kódolva, jelszó és a kulcsokat.
 Igazából egy csomó fejlesztő használja ugyanazt a kódolási stílus
 hogy ők, amikor építették web szerver alkalmazások,
 így építünk a Java-szerver alkalmazás, és ők égetve a kulcsot.
 Nos, ha építünk egy szerver alkalmazás, igen,
 égetve a kulcs nem jó ötlet.
 Ez megnehezíti, hogy változik.
 De ez nem is olyan rossz a szerver oldalon, mert aki hozzáfér a szerver oldalon?
 Csak az adminisztrátorok.
 De ha ugyanazt a kódot, és öntötte át, hogy egy mobil alkalmazás
 most mindenki, aki, hogy a mobil alkalmazás hozzá tud férni, hogy bedrótozva kulcs,
 és valóban látni ezt a sok idő, és van néhány statisztikát
 milyen gyakran látjuk ezt megtörténni.
 Ez valójában volt példa kód, amely a MasterCard közzétett
 hogyan kell használni a szolgáltatást.
 A példa kód megmutatta, hogyan lenne csak hogy a jelszó
 és betette egy kódolt karakterlánc ott,
 és tudjuk, hogyan fejlesztők szeretnek másolja be itt előállított kód elkészítése
 amikor próbálunk tenni valamit, így másolja be a kódrészletet
 hogy adtak, mint pl kódot, és van egy biztonságos alkalmazás.
 

És itt van néhány példa.
 Az első az egyik látunk egy csomó, ahol Bedrótozhatsz
 az adatokat jobbra egy URL-t, lesz küldeni.
 Néha látjuk string password = jelszó.
 Ez elég könnyű felismerni, vagy string jelszót BlackBerry és az Android.
 Ez valójában nagyon könnyű ellenőrizni, mert szinte mindig
 a fejlesztő neve változó, ami tartja a jelszó
 némi eltérés a jelszót.
 Már említettem, hogy mi a statikus elemzés Veracode,
 így már elemeztük több száz Android és iOS alkalmazások.
 Már épül a teljes modellek őket, és képesek vagyunk őket beolvasni
 a különböző biztonsági rések, főleg a sérülékenységek én beszélek,
 és van néhány adat itt.
 68.5%-a az Android apps néztük
 tört titkosítási kódot,
 ami számunkra, nem tudjuk érzékelni, ha készül a saját crypto rutin,
 nem, hogy ez egy jó ötlet, de ez valójában a közzétett API-k
 , amelyek a platform, de ezzel őket oly módon,
 hogy a titkosító lesz sebezhető, 68.5.
 És ez az ember, hogy elküldi nekünk az alkalmazások valóban, mert
 úgy gondolom, hogy ez egy jó ötlet, hogy a biztonsági vizsgálatot.
 Ezek már az emberek, hogy valószínűleg gondolkodás biztonságosan,
 így talán még rosszabb.
 

Én nem beszélni vezérlő soremelés injekciót.
 Ez olyasmi, amit ellenőrizni, de ez nem olyan kockázatos probléma.
 Information szivárgás, ez az, ahol érzékeny adatokat küldik ki a készüléket.
 Azt találtuk, hogy 40%-a az alkalmazások.
 Az idő és az állami, ezek versenyhelyzet típusú kérdések, általában elég nehéz kihasználni,
 így nem beszélhetünk, de néztük meg.
 23%-os volt, SQL injection kérdéseket.
 Sokan nem tudják, hogy a sok alkalmazás
 egy kis apró SQL adatbázis a háttérben az adatok tárolására.
 Nos, ha az adatok, hogy te megragadta a hálózaton keresztül
 van SQL injekciós támadás húrok benne
 valaki veszélyezteti a készülék segítségével, hogy a
 és ezért úgy gondolom, találunk mintegy 40%-a webes alkalmazások is ez a probléma,
 amely egy hatalmas járvány probléma.
 Megtaláljuk 23%-ában a mobil alkalmazások
 és ez valószínűleg azért, mert még sok más webes alkalmazások SQL, mint a mobil.
 

És akkor még mindig látni néhány cross-site scripting, engedélyezési kérdések,
 majd a megbízólevél menedzsment, ott van a kódolt jelszót.
 Az 5%-a pályázatok azt látjuk, hogy.
 Aztán van néhány adat iOS.
 81%-uk hibakezelés kérdéseket. Ez inkább egy kód minőségi probléma,
 de 67%-uk kriptográfiai kérdések, így nem is olyan rossz, mint az Android.
 Lehet, hogy az API-k egy kicsit könnyebb, a példa kódokat egy kicsit jobban az iOS.
 De még mindig nagyon magas arány.
 Mi volt 54%-os információk szivárgást,
 körülbelül 30%-pufferrel kezelési hibákat.
 Ez az, ott, ahol esetlegesen a memória a korrupció kérdése.
 Kiderül, hogy ez nem olyan nagy probléma a kizsákmányolás
 iOS mert minden a kód alá kell írnia,
 így nehéz a támadó tetszőleges kódot futtathatnak iOS.
 Code minőség, könyvtár bejárás, de aztán hitelesítő menedzsment itt 14,6%,
 így rosszabb, mint az Android.
 Az emberek már nem kezeli a jelszavakat megfelelően.
 És akkor a numerikus hibák és puffer túlcsordulás,
 Ezek több lesz kód minőségét kérdések iOS.
 

Ez volt az én bemutatót. Nem tudom, ha mi vagyunk az időből, vagy sem.
 Nem tudom, hogy van-e kérdés.
 [Férfi] Egy gyors kérdés körül töredezettség és az Android Market.
 Apple legalább birtokolja folt.
 Ők jó munkát kapok ott, míg kevesebb, így az Android térben.
 Majdnem kell jailbreak a telefont, hogy maradjon a jelenlegi
 A jelenlegi kiadás az Android.
 Igen, ez egy óriási probléma, és így ha jól meggondoljuk,
 [Férfi] Miért nem megismételni?
 

Ó, igen, így a kérdés az volt, mi a fragmentáció
 Az operációs rendszer az Android platform?
 Hogyan hat ez a kockázatosságát ezek az eszközök?
 És ez valójában egy hatalmas probléma, mert mi történik,
 A régebbi eszközök, ha valaki jön fel a jailbreak az adott eszköz,
 lényegében ez privilégium eszkaláció, és amíg ez az operációs rendszer frissítése
 minden malware majd a biztonsági rést, hogy teljesen veszélyeztetik a készüléket,
 és amit látunk az Android annak érdekében, hogy az új operációs rendszer
 A Google, hogy ki az operációs rendszert, majd a hardver gyártója
 kell szabni, majd a fuvarozó, hogy testre, és elszállítja.
 Ön alapvetően 3 mozgó alkatrész van,
 és ez fordul meg, hogy a fuvarozók nem érdekel,
 és a hardvergyártók nem érdekel, és a Google nem prodding nekik elég
 semmit, így lényegében több mint a fele az eszközök ott
 Van operációs rendszerek, amelyek ezeket a privilégium eszkaláció sebezhetőség bennük,
 és így, ha kap malware az Android készülék ez sokkal nagyobb problémát.
 

Rendben, köszönöm szépen.
 [Taps]
 [CS50.TV]