1 00:00:00,000 --> 00:00:02,610 >> [Seminar] [Verja aftan tæki: Mobile Umsókn Öryggi] 2 00:00:02,610 --> 00:00:04,380 [Chris Wysopal] [Harvard University] 3 00:00:04,380 --> 00:00:07,830 [Þetta er CS50.] [CS50.TV] 4 00:00:07,830 --> 00:00:10,360 >> Góðan dag. Mitt nafn er Chris Wysopal. 5 00:00:10,360 --> 00:00:13,360 Ég er yfirmaður tæknimála og co-stofnandi Veracode. 6 00:00:13,360 --> 00:00:15,880 Veracode er forrit öryggi fyrirtæki. 7 00:00:15,880 --> 00:00:18,230 Við prófa allar tegundir af mismunandi forritum, 8 00:00:18,230 --> 00:00:25,060 og það sem ég ætla að tala um í dag er hreyfanlegur umsókn öryggi. 9 00:00:25,060 --> 00:00:28,630 Bakgrunnur minn er að ég hef verið að gera öryggi rannsóknir 10 00:00:28,630 --> 00:00:31,970 í mjög langan tíma, líklega um eins lengi og neinn. 11 00:00:31,970 --> 00:00:35,000 Ég byrjaði um miðjan 90s, 12 00:00:35,000 --> 00:00:37,370 og það var tími sem var frekar áhugavert vegna 13 00:00:37,370 --> 00:00:39,220 við höfðum fyrirmynd breyting í miðjum 90s. 14 00:00:39,220 --> 00:00:43,520 Allt um tölvuna Skyndileg allra var boginn upp við internetið, 15 00:00:43,520 --> 00:00:46,550 og þá urðum við upphaf vefur umsókn, 16 00:00:46,550 --> 00:00:49,330 og það er það sem ég áherslu á a einhver fjöldi þá. 17 00:00:49,330 --> 00:00:51,160 Það er áhugavert. 18 00:00:51,160 --> 00:00:53,930 Nú höfum við annað fyrirmynd breyting gerast með tölvumál, 19 00:00:53,930 --> 00:00:58,710 sem er breyting til hreyfanlegur umsókn. 20 00:00:58,710 --> 00:01:03,680 >> Mér finnst það er góður af svipuðum tíma þá var það í lok 90s 21 00:01:03,680 --> 00:01:07,650 þegar við vorum að rannsaka vefur umsókn og finna galla eins 22 00:01:07,650 --> 00:01:11,800 fundur stjórnun villur og SQL innspýting 23 00:01:11,800 --> 00:01:14,940 sem í raun var ekki til staðar áður, og allt í einu að þeir voru alls staðar 24 00:01:14,940 --> 00:01:19,360 í vefur umsókn, og nú mikið af þeim tíma sem ég eyða 25 00:01:19,360 --> 00:01:27,950 er að horfa á hreyfanlegur umsókn og horfa á það sem er að gerast þarna úti í náttúrunni. 26 00:01:27,950 --> 00:01:32,060 Hreyfanlegur umsókn eru í raun að fara að vera ríkjandi computing pallur, 27 00:01:32,060 --> 00:01:35,060 þannig að við þurfum virkilega að eyða miklum tíma ef þú ert í öryggismálum iðnaður 28 00:01:35,060 --> 00:01:39,280 áherslu á vefur umsókn. 29 00:01:39,280 --> 00:01:43,420 Það voru 29 milljarðar hreyfanlegur apps niður í 2.011. 30 00:01:43,420 --> 00:01:47,920 Það er spáð að vera 76 milljarðar forrit eftir 2014. 31 00:01:47,920 --> 00:01:54,040 Það er 686.000.000 tæki sem eru að fara að kaupa á þessu ári, 32 00:01:54,040 --> 00:01:57,060 svo er þetta þar sem fólk er að fara að vera að gera 33 00:01:57,060 --> 00:01:59,600  meirihluti viðskiptavinur tölvumál þeirra fara fram. 34 00:01:59,600 --> 00:02:04,220 >> Ég var að tala við yfirmaður hjá Fidelity Investments 35 00:02:04,220 --> 00:02:08,780 nokkra mánuði síðan, og hann sagði að þeir sáu bara meiri umferð 36 00:02:08,780 --> 00:02:12,610 gera fjárhagslegar færslur frá grunn viðskiptavina sinna 37 00:02:12,610 --> 00:02:16,230 á hreyfanlegur umsókn sína en á heimasíðu þeirra, 38 00:02:16,230 --> 00:02:20,610 svo algengar fyrir netið í fortíðinni hefur verið 39 00:02:20,610 --> 00:02:23,800 stöðva vitna lager þinn, stjórna eigu þinni, 40 00:02:23,800 --> 00:02:28,060 og við erum í raun að sjá að í 2012 skipta yfir 41 00:02:28,060 --> 00:02:30,960 að vera meira ríkjandi á hreyfanlegur pallur. 42 00:02:30,960 --> 00:02:34,530 Vissulega ef það er að fara að vera allir glæpastarfsemi, 43 00:02:34,530 --> 00:02:38,900 allir illgjarn athafnasemi, það er að fara að byrja að einbeita sér hreyfanlegur pallur 44 00:02:38,900 --> 00:02:44,210 tímanum sem fólk skipta yfir í það. 45 00:02:44,210 --> 00:02:48,320 Ef þú horfir á the hreyfanlegur pallur, 46 00:02:48,320 --> 00:02:54,380 að líta á áhættuna á vettvang það er gagnlegt til að brjóta hann niður í mismunandi lögum, 47 00:02:54,380 --> 00:02:59,010 bara eins og þú myndir gera það á a skrifborð tölva, 48 00:02:59,010 --> 00:03:02,860 og þú hugsa um mismunandi lög, hugbúnaður, stýrikerfi, 49 00:03:02,860 --> 00:03:07,730 net lag, vélbúnaður lag, og að sjálfsögðu, það er veikleika á öllum þeim lögum. 50 00:03:07,730 --> 00:03:10,510 >> Það sama gerist á farsíma. 51 00:03:10,510 --> 00:03:14,880 En farsíma, virðist það að sumir af þeim lögum eru verr. 52 00:03:14,880 --> 00:03:19,840 Fyrir einn, the net lag er meira vandamál á farsíma 53 00:03:19,840 --> 00:03:25,650 vegna þess að mikið af fólki hefur í starfi sínu eða heima 54 00:03:25,650 --> 00:03:30,780 hlerunarbúnað tengingar eða þeir hafa öruggar Wi-Fi tengsl, 55 00:03:30,780 --> 00:03:36,530 og með fullt af hreyfanlegur tæki sem þú ert augljóslega utan heimilis 56 00:03:36,530 --> 00:03:40,520 eða utan skrifstofu mikið, og ef þú ert að nota Wi-Fi þarna 57 00:03:40,520 --> 00:03:42,820 þú gætir verið að nota óörugg Wi-Fi tengsl, 58 00:03:42,820 --> 00:03:45,570 eitthvað sem er opinber Wi-Fi tengsl, 59 00:03:45,570 --> 00:03:48,840 svo þegar við hugsum um hreyfanlegur apps við verðum að taka tillit til 60 00:03:48,840 --> 00:03:53,770 að net umhverfi er áhættusamari fyrir þessar umsóknir 61 00:03:53,770 --> 00:03:57,640 þegar Wi-Fi er í notkun. 62 00:03:57,640 --> 00:04:02,410 Og þegar ég kem inn fleiri af the hreyfanlegur áhættu umsókn 63 00:04:02,410 --> 00:04:04,910 þú munt sjá hvers vegna það er mikilvægara. 64 00:04:04,910 --> 00:04:09,710 Það eru hættur á vélbúnaði stigi í farsímum. 65 00:04:09,710 --> 00:04:11,670 Þetta er svæði af áframhaldandi rannsókna. 66 00:04:11,670 --> 00:04:15,910 Fólk kalla þessar breiðband árásir eða baseband árásir 67 00:04:15,910 --> 00:04:21,870 þar sem þú ert að ráðast vélbúnaðar sem er að hlusta á útvarpið. 68 00:04:21,870 --> 00:04:25,430 >> Þetta eru virkilega ógnvekjandi árásir vegna 69 00:04:25,430 --> 00:04:27,280 notandinn þarf ekki að gera neitt. 70 00:04:27,280 --> 00:04:30,760 Þú getur ýtt fullt af tækjum innan RF svið 71 00:04:30,760 --> 00:04:36,690 í einu, og það virðist eins og þegar þessar rannsóknir kúla upp 72 00:04:36,690 --> 00:04:40,750 það fljótt fær flokkuð þar 73 00:04:40,750 --> 00:04:46,600 fólk swoop í kring og segja: "Hér skaltu segja okkur um það, og vinsamlegast hætta að tala um það." 74 00:04:46,600 --> 00:04:49,460 There 'sumir rannsóknir gerast í breiðband svæði, 75 00:04:49,460 --> 00:04:51,980 en það virðist vera mjög uss uss. 76 00:04:51,980 --> 00:04:56,910 Ég held að það er meira af þjóðríki tegund rannsókna sem er að gerast. 77 00:04:56,910 --> 00:05:02,140 Svæði virka rannsóknir, þó er stýrikerfi lag, 78 00:05:02,140 --> 00:05:08,910 og aftur, þetta er öðruvísi en í skrifborð computing heiminum 79 00:05:08,910 --> 00:05:14,840 vegna þess að í farsíma rúm þú hefur þessar teymi fólks sem kallast Jailbreakers, 80 00:05:14,840 --> 00:05:18,670 og Jailbreakers eru öðruvísi en venjulegar varnarleysi vísindamenn. 81 00:05:18,670 --> 00:05:21,970 Þeir eru að reyna að finna veikleika í stýrikerfinu, 82 00:05:21,970 --> 00:05:27,000 en ástæðan sem þeir eru að reyna að finna veikleika er ekki til 83 00:05:27,000 --> 00:05:31,810 brjótast inn í tölvuna einhvers annars og málamiðlun það. 84 00:05:31,810 --> 00:05:34,280 Það er að brjótast inn í eigin tölvu. 85 00:05:34,280 --> 00:05:38,820 >> Þeir vilja að brjótast inn í eigin farsíma þeirra, breyta stýrikerfi eigin farsíma þeirra er 86 00:05:38,820 --> 00:05:41,050 svo að þeir geti keyrt forrit að eigin vali 87 00:05:41,050 --> 00:05:44,510 og breyta hlutum með fulla stjórn leyfi, 88 00:05:44,510 --> 00:05:49,050 og þeir vilja ekki að segja seljanda um þetta. 89 00:05:49,050 --> 00:05:52,960 Þeir eru ekki eins og öryggi vísindamaður sem er hvítur hattur öryggi rannsóknir 90 00:05:52,960 --> 00:05:56,600 sem er að fara að gera ábyrga miðlun og segja seljanda um það. 91 00:05:56,600 --> 00:06:01,270 Þeir vilja til að gera þessa rannsókn, og þeir vilja til raunverulega birta hana 92 00:06:01,270 --> 00:06:06,400 í að nýta eða rót eða Flótti númer, 93 00:06:06,400 --> 00:06:10,010 og þeir vilja til að gera það beitt, eins og rétt eftir 94 00:06:10,010 --> 00:06:13,570 seljandi skip nýja stýrikerfinu. 95 00:06:13,570 --> 00:06:16,350 Þú hefur þetta andstæðinga samband 96 00:06:16,350 --> 00:06:19,000 með OS-stigi veikleikum á farsíma, 97 00:06:19,000 --> 00:06:23,150 sem ég held að sé alveg áhugavert, og einn staður við sjáum það 98 00:06:23,150 --> 00:06:29,210 er það sem gerir það svo að það er gott út nýta númerið þarna úti 99 00:06:29,210 --> 00:06:31,750 fyrir kjarna-stigi veikleikum, 100 00:06:31,750 --> 00:06:35,040 og við höfum séð þá raunverulega vera notaður við malware rithöfunda. 101 00:06:35,040 --> 00:06:38,450 Það er svolítið öðruvísi en PC heiminum. 102 00:06:38,450 --> 00:06:42,530 Og þá er það sem kemur síðas lag efst lag, umsókn lag. 103 00:06:42,530 --> 00:06:45,250 Það er það sem ég ætla að tala um í dag. 104 00:06:45,250 --> 00:06:48,970 >> Önnur lög eru til, og öðrum lögum spila inn í það, 105 00:06:48,970 --> 00:06:53,310 en ég er mest að fara að tala um hvað er að gerast á notkunarstað lag 106 00:06:53,310 --> 00:06:55,560 þar númerið er í gangi í sandkassa. 107 00:06:55,560 --> 00:06:58,670 Það hefur ekki stjórn forréttindi. 108 00:06:58,670 --> 00:07:02,170 Það hefur að nota API búnaðarins, 109 00:07:02,170 --> 00:07:06,970 en samt, fullt af illgjarn athafnasemi og mikið af áhættu getur gerst á þeim lag 110 00:07:06,970 --> 00:07:09,220 því það er lag þar sem allar upplýsingar er. 111 00:07:09,220 --> 00:07:12,330 Apps geta nálgast allar upplýsingar um tækið 112 00:07:12,330 --> 00:07:15,390 ef þeir hafa heimildir, 113 00:07:15,390 --> 00:07:17,540 og þeir hafa aðgang að mismunandi skynjara á tækinu, 114 00:07:17,540 --> 00:07:23,950 GPS skynjara, hljóðnema, myndavél, hvað hefur þú. 115 00:07:23,950 --> 00:07:27,380 Jafnvel þó að við erum aðeins að tala um á notkunarstað lag 116 00:07:27,380 --> 00:07:33,700 við höfum mikla hættu þar. 117 00:07:33,700 --> 00:07:38,450 The annar hlutur sem er öðruvísi um farsíma umhverfi 118 00:07:38,450 --> 00:07:45,060 er öll stýrikerfi leikmenn, að það BlackBerry eða Android 119 00:07:45,060 --> 00:07:53,410 eða iOS eða Windows Mobile, hafa þeir allir fínt lökkuðum leyfi líkan, 120 00:07:53,410 --> 00:07:56,990 og þetta er eitt af þeim leiðum sem þeir reistu í stýrikerfi 121 00:07:56,990 --> 00:08:01,230 Sú hugmynd að það er ekki eins áhættusamt eins og þú heldur. 122 00:08:01,230 --> 00:08:04,550 Jafnvel þótt þú hafir alla tengiliði þína á það, öllum persónulegum upplýsingum, 123 00:08:04,550 --> 00:08:09,080 þú hefur myndir þínar, þú staðsetningu þína á það, 124 00:08:09,080 --> 00:08:14,820 þú ætlar að geyma banka pinna Fyrir Auto innskráningu á það, það er óhætt vegna þess að 125 00:08:14,820 --> 00:08:19,430 forrit verða að hafa ákveðnar heimildir til að fá á ákveðnum hlutum 126 00:08:19,430 --> 00:08:25,080 af þeim upplýsingum í tækinu, og notandinn þarf að koma fram með 127 00:08:25,080 --> 00:08:29,230 Þessar heimildir og segja allt í lagi. 128 00:08:29,230 --> 00:08:32,590 >> Vandinn við það er notandinn alltaf segir allt í lagi. 129 00:08:32,590 --> 00:08:35,240 Sem öryggi manneskja, ég veit að þú getur hvetja notandann, 130 00:08:35,240 --> 00:08:40,100 segja eitthvað virkilega slæmt er að fara að gerast, þú vilt það til að gerast? 131 00:08:40,100 --> 00:08:44,680 Og ef þeir eru á hraðferð eða það er eitthvað virkilega tæla handan þess, 132 00:08:44,680 --> 00:08:47,760 eins og leikurinn er að fara að vera uppsett að þeir hafa verið að bíða eftir, 133 00:08:47,760 --> 00:08:50,860 þeir eru að fara að smella í lagi. 134 00:08:50,860 --> 00:08:56,630 Þess vegna segi ég á mynd minni hér bara láta mig kast fugla á svín þegar, 135 00:08:56,630 --> 00:09:03,150 og þú getur séð á mynd hér að það er dæmi um BlackBerry leyfi kassi. 136 00:09:03,150 --> 00:09:05,990 Það segir "Vinsamlegast stilla BlackBerry Travel umsókn leyfi 137 00:09:05,990 --> 00:09:09,720 eftir að smella á hnappinn hér fyrir neðan, "og í rauninni notandinn er bara að fara að segja 138 00:09:09,720 --> 00:09:12,240 setja heimildir og spara. 139 00:09:12,240 --> 00:09:18,010 Hér er Android hvetja þar sem það sýnir það, 140 00:09:18,010 --> 00:09:20,260 og það setur í raun eitthvað sem næstum líkist viðvörun. 141 00:09:20,260 --> 00:09:25,090 Það fékk einhverskonar ávöxtun skilti þar að segja net samskipta, símtals, 142 00:09:25,090 --> 00:09:28,120 en notandi er að fara að smella setja upp, ekki satt? 143 00:09:28,120 --> 00:09:32,940 Og þá er Apple eitt alveg innocuous. 144 00:09:32,940 --> 00:09:34,300 Það gefur ekki neina viðvörun. 145 00:09:34,300 --> 00:09:37,380 Það er bara Apple vildi eins og til nota núverandi staðsetningu þína. 146 00:09:37,380 --> 00:09:39,670 Auðvitað þú ert að fara að smella í lagi. 147 00:09:39,670 --> 00:09:42,260 >> Það er þetta Fínmalaður leyfi líkan, 148 00:09:42,260 --> 00:09:45,890 og forrit verða að hafa farmskrá skrá þar sem þeir lýsa 149 00:09:45,890 --> 00:09:49,410 heimildir sem þeir þurfa, og það mun fá birtar notendum, 150 00:09:49,410 --> 00:09:53,480 og notandinn verður að segja að ég veita þessar heimildir. 151 00:09:53,480 --> 00:09:55,080 En við skulum vera heiðarlegur. 152 00:09:55,080 --> 00:09:58,400 Notendur eru bara að fara að alltaf að segja allt í lagi. 153 00:09:58,400 --> 00:10:04,460 Skulum taka fljótur líta á heimildir að þessi forrit eru að biðja um 154 00:10:04,460 --> 00:10:06,850 og sumir af the leyfi sem eru þar. 155 00:10:06,850 --> 00:10:09,950 Þetta fyrirtæki Praetorian gerði könnun á síðasta ári 156 00:10:09,950 --> 00:10:14,170 af 53.000 umsóknir greind í Android Market og 3. aðila mörkuðum, 157 00:10:14,170 --> 00:10:16,770 svo er þetta allt Android. 158 00:10:16,770 --> 00:10:19,670 Og meðal app óskað 3 leyfi. 159 00:10:19,670 --> 00:10:23,370 Sum forrit óskað 117 heimildir, 160 00:10:23,370 --> 00:10:27,480 svo augljóslega eru þetta mjög fínn grained og alltof flókið fyrir notendur að skilja 161 00:10:27,480 --> 00:10:31,600 ef þeir eru sett fram í þessu forriti sem þarf þessar 117 heimildir. 162 00:10:31,600 --> 00:10:37,270 Það er eins og the endir notandi leyfisveitandi samkomulag sem er 45 blaðsíður að lengd. 163 00:10:37,270 --> 00:10:40,240 Kannski fljótlega þeir hafa valkost þar sem það er eins og 164 00:10:40,240 --> 00:10:43,100 prenta heimildir og senda mér tölvupóst. 165 00:10:43,100 --> 00:10:45,480 >> En ef þú líta á sumir af the toppur áhugaverðum leyfi 166 00:10:45,480 --> 00:10:50,840 24% af the apps sem þeir sækja úr 53.000 167 00:10:50,840 --> 00:10:57,230 óskað GPS upplýsingar úr tækinu. 168 00:10:57,230 --> 00:10:59,810 8% lesa tengiliði. 169 00:10:59,810 --> 00:11:03,770 4% sendi SMS, og 3% fengu SMS. 170 00:11:03,770 --> 00:11:07,730 2% hljóðupptökum. 171 00:11:07,730 --> 00:11:11,210 1% unnin úthringingar. 172 00:11:11,210 --> 00:11:13,140 Ég veit ekki. 173 00:11:13,140 --> 00:11:17,520 Ég held ekki 4% af apps í App Store raunverulega þörf til að senda SMS-skilaboðum, 174 00:11:17,520 --> 00:11:21,410 þannig að ég held að það er vísbending um að eitthvað untoward er að gerast. 175 00:11:21,410 --> 00:11:24,350 8% af the apps þarf að lesa listann. 176 00:11:24,350 --> 00:11:26,510 Það er líklega ekki nauðsynlegt. 177 00:11:26,510 --> 00:11:30,990 Einn af öðrum áhugaverðum hlutum um leyfi er 178 00:11:30,990 --> 00:11:36,740 ef þú hlekkur í sameiginlegum bókasöfnum inn umsókn þína 179 00:11:36,740 --> 00:11:39,780 þeir erfa heimildum forritsins, 180 00:11:39,780 --> 00:11:46,570 þannig að ef app þarf tengiliðalista eða þarf GPS staðsetningu til að virka 181 00:11:46,570 --> 00:11:49,940 og þú hlekkur í auglýsingu bókasafn, til dæmis, 182 00:11:49,940 --> 00:11:53,170 að auglýsingin bókasafn mun einnig vera fær til aðgangur the tengiliði 183 00:11:53,170 --> 00:11:57,630 og einnig að vera fær um að fá aðgang að GPS staðsetning, 184 00:11:57,630 --> 00:12:01,990 og the verktaki af the app veit ekkert um númer sem er í gangi í safni. 185 00:12:01,990 --> 00:12:05,370 Þeir eru bara að tengja það í því að þeir vilja til að monetize app þeirra. 186 00:12:05,370 --> 00:12:09,820 >> Þetta er þar-og ég mun tala um nokkur dæmi um þetta með 187 00:12:09,820 --> 00:12:13,930 forrit sem heitir Pandora þar sem umsókn verktaki 188 00:12:13,930 --> 00:12:18,910 gæti unwittingly verið að leka upplýsingum 189 00:12:18,910 --> 00:12:24,580 frá notendum þeirra vegna bókasöfnum þeir hafa tengd inn 190 00:12:24,580 --> 00:12:30,110 Landmælingar landslag þarna úti, horfa á allar mismunandi apps 191 00:12:30,110 --> 00:12:34,310 sem greint hefur verið í fréttum sem illgjarn eða gera notendum eitthvað vildi ekki 192 00:12:34,310 --> 00:12:39,360 og þá eftirlitsmaður mikið af apps-við gerum mikið af truflanir tvöfaldur greiningu á hreyfanlegur apps, 193 00:12:39,360 --> 00:12:42,010 þannig að við höfum skoðað þá og horfði á kóða sig- 194 00:12:42,010 --> 00:12:49,640 við komum upp með það sem við köllum okkar topp 10 lista yfir áhættusöm hegðun í forritum. 195 00:12:49,640 --> 00:12:54,180 Og það er skipt niður í 2 köflum, illgjarn merkjamál, 196 00:12:54,180 --> 00:12:57,600 svo þetta eru slæmir hlutir að forrit gæti verið að gera það 197 00:12:57,600 --> 00:13:06,520 eru líklegri til að vera eitthvað að illgjarn einstaklingur 198 00:13:06,520 --> 00:13:10,060 hefur sérstaklega sett í umsókn, en það er svolítið loðinn. 199 00:13:10,060 --> 00:13:13,300 Það gæti verið eitthvað sem verktaki hugsar er fínn, 200 00:13:13,300 --> 00:13:16,350 en það endar að vera hugsun af eins illgjarn sem notandi. 201 00:13:16,350 --> 00:13:19,830 >> Og þá er seinni hluti það sem við köllum erfðaskrá veikleika, 202 00:13:19,830 --> 00:13:24,600 og þetta eru hlutir þar sem verktaki í grundvallaratriðum er að gera mistök 203 00:13:24,600 --> 00:13:27,200 eða bara skilur ekki hvernig á að skrifa app á öruggan hátt, 204 00:13:27,200 --> 00:13:30,260  og það er að setja app notanda í hættu. 205 00:13:30,260 --> 00:13:34,060 Ég ætla að fara í gegnum þessa í smáatriðum og gefa nokkur dæmi. 206 00:13:34,060 --> 00:13:39,620 Til viðmiðunar, ég vildi að setja upp OWASP farsíma topp 10 listanum. 207 00:13:39,620 --> 00:13:43,590 Þetta eru 10 atriði sem hópur í OWASP, 208 00:13:43,590 --> 00:13:48,900 Open Web Umsókn Öryggi Project, hafa þeir vinnuhóp 209 00:13:48,900 --> 00:13:50,620 vinna á farsíma topp 10 listanum. 210 00:13:50,620 --> 00:13:54,600 Þeir hafa mjög frægur vefur topp 10 listanum, sem eru á topp 10 211 00:13:54,600 --> 00:13:57,180 riskiest hlutir sem þú getur haft í a vefur umsókn. 212 00:13:57,180 --> 00:13:59,090 Þeir eru að gera það sama fyrir farsíma, 213 00:13:59,090 --> 00:14:01,750 og listi þeirra er svolítið öðruvísi en okkar. 214 00:14:01,750 --> 00:14:03,670 6 út af 10 eru þau sömu. 215 00:14:03,670 --> 00:14:06,020 Þeir hafa 4 sem eru öðruvísi. 216 00:14:06,020 --> 00:14:10,550 Ég held að þeir hafa a lítill hluti af a mismunandi taka á 217 00:14:10,550 --> 00:14:14,490 hætta í hreyfanlegur apps þar sem mikið af málefnum þeirra 218 00:14:14,490 --> 00:14:20,490 eru í raun hvernig forritið er í samskiptum við bak-endir framreiðslumaður 219 00:14:20,490 --> 00:14:23,100 eða hvað er að gerast á bak-endir framreiðslumaður, 220 00:14:23,100 --> 00:14:29,220 ekki svo mikið forrit sem hafa áhættusöm hegðun sem eru bara einföld forrit viðskiptavinur. 221 00:14:29,220 --> 00:14:36,640 >> Þeir í rauðu hér eru munurinn á milli 2 listum. 222 00:14:36,640 --> 00:14:40,740 Og sumir rannsókn lið mitt hefur í raun stuðlað að þessu verkefni, 223 00:14:40,740 --> 00:14:44,570 þannig að við munum sjá hvað gerist með tímanum, en ég held að takeaway hér er 224 00:14:44,570 --> 00:14:47,550 við í raun ekki vita hvað topp 10 listanum er í hreyfanlegur apps því 225 00:14:47,550 --> 00:14:50,510 þeir hafa í raun aðeins verið í kring fyrir 2 eða 3 árum síðan, 226 00:14:50,510 --> 00:14:57,750 og það hefur ekki verið nægur tími til að virkilega kanna stýrikerfum 227 00:14:57,750 --> 00:15:00,450 og hvað þeir eru færir um, og það hefur ekki verið nægur tími 228 00:15:00,450 --> 00:15:06,870 fyrir skaðlegum samfélag, ef þú vilt, að hafa varið nægan tíma 229 00:15:06,870 --> 00:15:12,910 reyna að ráðast á notendur í gegnum farsíma apps, svo ég ætlast þessir listar til að breyta svolítið. 230 00:15:12,910 --> 00:15:18,720 En nú eru þessir Top 10 Things að hafa áhyggjur óður í. 231 00:15:18,720 --> 00:15:24,150 Þú gætir furða á þráðlausa hlið Hvaðan illgjarn farsíma númer- 232 00:15:24,150 --> 00:15:28,880 hvernig virkar það fá á tækinu? 233 00:15:28,880 --> 00:15:35,210 North Carolina State hefur verkefni sem kallast Mobile Malware Þjóðarmorð Project 234 00:15:35,210 --> 00:15:39,520 þar sem þeir eru að safna eins mikið hreyfanlegur malware eins og þeir geta og greina það, 235 00:15:39,520 --> 00:15:45,270 og þeir hafa brotið niður innspýting vektor sem gsm malware notar, 236 00:15:45,270 --> 00:15:51,490 og 86% nota tækni sem nefnist breytinga, 237 00:15:51,490 --> 00:15:54,160 og þetta er aðeins á the Android pallur 238 00:15:54,160 --> 00:15:56,720 getur þú virkilega þessa breytinga. 239 00:15:56,720 --> 00:16:03,100 >> Ástæðan er Android kóða er byggð með 240 00:16:03,100 --> 00:16:08,130 Java bæti merkjamál heitir Dalvik sem er auðvelt decompilable. 241 00:16:08,130 --> 00:16:12,460 Hvað slæmur strákur getur gert er 242 00:16:12,460 --> 00:16:16,590 taka Android umsókn, bakþýða það, 243 00:16:16,590 --> 00:16:20,120 setja illgjarn merkjamál þeirra, laun það, 244 00:16:20,120 --> 00:16:28,070 og þá setja það upp í App Store þykjast vera ný útgáfa þeirrar umsóknar, 245 00:16:28,070 --> 00:16:30,330 eða bara kannski breyta nafni forritsins. 246 00:16:30,330 --> 00:16:35,140 Ef það var einhvers konar leik, breyta nafninu örlítið, 247 00:16:35,140 --> 00:16:42,860 og svo er þetta umpökkun hvernig 86% af hreyfanlegur malware fær úthlutað. 248 00:16:42,860 --> 00:16:45,810 Það er annar tækni sem kallast endurnýja sem er 249 00:16:45,810 --> 00:16:50,030 mjög svipað breytinga, en þú í raun ekki setja illgjarn merkjamál inn 250 00:16:50,030 --> 00:16:52,870 Það sem þú gera er að setja í litlu endurnýja kerfi. 251 00:16:52,870 --> 00:16:56,660 Þú bakþýða, settu þér í uppfærslu kerfi, og þú laun það, 252 00:16:56,660 --> 00:17:02,360 og þá þegar app er í gangi það draga niður malware á tækinu. 253 00:17:02,360 --> 00:17:06,300 >> Langflestir eru þessir 2 aðferðir. 254 00:17:06,300 --> 00:17:12,710 Það er í raun ekki mikið niðurhal ökuferð-bys eða keyra-við niðurhal á farsíma, 255 00:17:12,710 --> 00:17:15,890 sem gæti verið eins og phishing árás. 256 00:17:15,890 --> 00:17:18,200 Hey, skrá sig út this raunverulega kaldur vefsíðu, 257 00:17:18,200 --> 00:17:21,020 eða þú þarft að fara á þessa vefsíðu og fylla út þetta eyðublað 258 00:17:21,020 --> 00:17:24,420 að halda áfram að gera eitthvað. 259 00:17:24,420 --> 00:17:26,230 Þeir eru phishing árás. 260 00:17:26,230 --> 00:17:28,160 Það sama getur gerst á hreyfanlegur pallur þar sem þeir 261 00:17:28,160 --> 00:17:33,830 benda til a hreyfanlegur app til að hlaða niður, segja "Hæ, þetta er Bank of America." 262 00:17:33,830 --> 00:17:36,070 "Við sjáum að þú ert að nota þetta forrit." 263 00:17:36,070 --> 00:17:38,540 "Þú ættir að sækja þetta önnur forrit." 264 00:17:38,540 --> 00:17:41,170 Fræðilega, það gæti heppnast. 265 00:17:41,170 --> 00:17:48,610 Kannski það bara er ekki verið að nota nóg til að ákvarða hvort það er vel eða ekki, 266 00:17:48,610 --> 00:17:51,680 en fundu að minna en 1% af þeim tíma sem tækni er notuð. 267 00:17:51,680 --> 00:17:56,130 Meirihluti af the tími það er eiginlega bara endurhannað kóða. 268 00:17:56,130 --> 00:17:58,710 >> Það er annar flokkur sem heitir standalone 269 00:17:58,710 --> 00:18:01,420 þar sem einhver byggir bara a vörumerki-nýr umsókn. 270 00:18:01,420 --> 00:18:04,020 Þeir byggja upp forrit sem þykist vera eitthvað. 271 00:18:04,020 --> 00:18:07,360 Það er ekki umpökkun um eitthvað annað, og það hefur the illgjarn merkjamál. 272 00:18:07,360 --> 00:18:11,230 Sem er notað 14% af tímanum. 273 00:18:11,230 --> 00:18:17,880 Nú vil ég að tala um hvað er illgjarn merkjamál gera? 274 00:18:17,880 --> 00:18:23,070 Eitt af fyrstu malware þarna úti 275 00:18:23,070 --> 00:18:25,490 þú gætir íhuga a spyware. 276 00:18:25,490 --> 00:18:27,620 Það njósnara í grundvallaratriðum á notanda. 277 00:18:27,620 --> 00:18:30,470 Það safnar tölvupóst, SMS skilaboð. 278 00:18:30,470 --> 00:18:32,340 Það kemur í ljós á hljóðnemanum. 279 00:18:32,340 --> 00:18:37,330 Það ávextinum þeim samskiptaupplýsingum bók, og það sendir það burt til einhver annar. 280 00:18:37,330 --> 00:18:40,870 Þessi tegund af spyware er á tölvunni, 281 00:18:40,870 --> 00:18:46,200 svo það skapar meistarann ​​vit fyrir fólk að reyna að gera þetta á farsímum. 282 00:18:46,200 --> 00:18:53,230 >> Eitt af fyrstu dæmum um þetta var forrit sem heitir Secret SMS Replicator. 283 00:18:53,230 --> 00:18:56,250 Það var í the Android Marketplace a par af ár síðan, 284 00:18:56,250 --> 00:18:59,960 og hugmyndin var, ef þú hefðir aðgang að Android símann einhvers 285 00:18:59,960 --> 00:19:03,450 að þú vildir njósna um, svo kannski er það maki þinn 286 00:19:03,450 --> 00:19:07,600 eða Maki og þú vilt að njósna um texti skilaboð þeirra þinn, 287 00:19:07,600 --> 00:19:11,200 þú gætir sótt þetta APP og setja það upp og stilla það 288 00:19:11,200 --> 00:19:16,540 að senda SMS-skilaboð til þín með eintak 289 00:19:16,540 --> 00:19:21,710 af hverju SMS textaskilaboð sem þeir fengu. 290 00:19:21,710 --> 00:19:27,220 Þetta er augljóslega í brotum á app geyma skilmálar af þjónusta, 291 00:19:27,220 --> 00:19:32,040 og þetta var úr Android Marketplace innan 18 klukkustunda það að vera þarna, 292 00:19:32,040 --> 00:19:36,760 svo mjög lítill fjöldi fólks voru í hættu vegna þessa. 293 00:19:36,760 --> 00:19:42,510 Nú held ég ef forritið hét eitthvað kannski aðeins minna ögrandi 294 00:19:42,510 --> 00:19:48,690 eins Secret SMS Replicator það myndi sennilega hafa unnið mikið betur. 295 00:19:48,690 --> 00:19:52,870 En það var eins konar augljós. 296 00:19:52,870 --> 00:19:58,680 >> Eitt af því sem við getum gert til að ákvarða hvort forrit hafa þessa hegðun sem við viljum ekki 297 00:19:58,680 --> 00:20:01,410 er að skoða kóðann. 298 00:20:01,410 --> 00:20:06,250 Þetta er reyndar mjög auðvelt að gera á Android vegna þess að við getum bakþýða apps. 299 00:20:06,250 --> 00:20:11,050 Á IOS þú getur notað disassembler eins IDA Pro 300 00:20:11,050 --> 00:20:17,190 að líta á það sem Apis app er að hringja og hvað það er að gera. 301 00:20:17,190 --> 00:20:20,680 Við skrifaði eigin tvöfaldur okkar truflanir þætti fyrir kóðann okkar 302 00:20:20,680 --> 00:20:24,940 og við gerum þetta, og svo hvað þú gætir gert er að þú gætir sagt 303 00:20:24,940 --> 00:20:30,490 er tækið að gera neitt sem er í grundvallaratriðum að njósna um mig eða mælingar mig? 304 00:20:30,490 --> 00:20:33,360 Og ég hef nokkur dæmi hér á iPhone. 305 00:20:33,360 --> 00:20:41,440 Þetta fyrsta dæmi er hvernig á að fá aðgang að UUID á símanum. 306 00:20:41,440 --> 00:20:47,060 Þetta er í raun eitthvað sem Apple hefur bara bannað fyrir nýjar umsóknir, 307 00:20:47,060 --> 00:20:52,540 en gamla forrit sem þú gætir hafa í gangi á símanum geta enn gert þetta, 308 00:20:52,540 --> 00:20:56,500 og þannig að einstakt heiti er hægt að nota til að fylgjast með á 309 00:20:56,500 --> 00:21:00,440 á mörgum mismunandi forritum. 310 00:21:00,440 --> 00:21:07,180 >> Á Android, ég dæmi hér til að fá staðsetningu tækisins. 311 00:21:07,180 --> 00:21:10,310 Þú getur séð það ef að API símtalið er það sem app er rekja, 312 00:21:10,310 --> 00:21:15,000 og þú getur séð hvort það er að fá fína stað eða gróft staðsetningu. 313 00:21:15,000 --> 00:21:18,860 Og þá á the botn hér hef ég dæmi um hvernig á BlackBerry 314 00:21:18,860 --> 00:21:25,130 umsókn gæti opna póst í pósthólfið. 315 00:21:25,130 --> 00:21:27,660 Þetta eru eins konar hlutir sem þú getur athugað að sjá 316 00:21:27,660 --> 00:21:32,360 ef app er að gera þá hluti. 317 00:21:32,360 --> 00:21:38,320 Annað stór flokkur af illgjarn hegðun, og þetta er líklega stærsta flokki núna, 318 00:21:38,320 --> 00:21:43,950 Óheimilt er hringing, óleyfilega aukagjald SMS textaskilaboð 319 00:21:43,950 --> 00:21:46,080 eða óviðkomandi greiðslur. 320 00:21:46,080 --> 00:21:48,930 Annar hlutur sem er sérstakt við símann 321 00:21:48,930 --> 00:21:52,700 er tækið er boginn á símreikninginn, 322 00:21:52,700 --> 00:21:55,960 og þegar starfsemi gerast á símanum 323 00:21:55,960 --> 00:21:58,510 það getur búið gjöldum. 324 00:21:58,510 --> 00:22:00,700 Þú getur keypt það í gegnum síma, 325 00:22:00,700 --> 00:22:04,390 og þegar þú sendir iðgjald SMS skeyti sem þú ert í raun að gefa peninga 326 00:22:04,390 --> 00:22:11,590 til reikningseiganda í símanúmerið á hinni hliðinni. 327 00:22:11,590 --> 00:22:17,420 Þetta var sett upp til að fá hlutabréfa eða fá Daily Horoscope eða aðra hluti, 328 00:22:17,420 --> 00:22:21,680 en þeir geta verið sett upp til að panta vöru með því að senda SMS. 329 00:22:21,680 --> 00:22:26,970 Fólk gefa peninga til Rauða krossins með því að senda textaskilaboð. 330 00:22:26,970 --> 00:22:30,650 Þú getur gefið $ 10 þannig. 331 00:22:30,650 --> 00:22:34,190 >> The árásarmaður, hvað þeir hafa gert er að þeir setja upp 332 00:22:34,190 --> 00:22:38,750 reikninga í erlendum löndum, og þeir embed in í the malware 333 00:22:38,750 --> 00:22:42,840 að síminn mun senda iðgjald SMS skilaboð, 334 00:22:42,840 --> 00:22:47,700 segja, nokkrum sinnum á dag, og í lok mánaðarins þú grein fyrir að þú hefur eytt 335 00:22:47,700 --> 00:22:52,090 tugir eða jafnvel hundruð dollara, og þeir ganga í burtu með peningana. 336 00:22:52,090 --> 00:22:57,280 Þetta var svo slæmt að þetta var mjög fyrstur hlutur sem Android 337 00:22:57,280 --> 00:23:00,760 Markaðstorg eða Google staðurinn-það var Android Marketplace á þeim tíma, 338 00:23:00,760 --> 00:23:04,430 og það er nú Google Play-það fyrsta sem Google byrjaði að haka við. 339 00:23:04,430 --> 00:23:08,700 Þegar Google byrjaði að dreifa Android Apps í app verslun sinni 340 00:23:08,700 --> 00:23:11,350 þeir sögðu að þeir voru ekki að fara að athuga fyrir neitt. 341 00:23:11,350 --> 00:23:15,630 Við munum draga apps þegar við höfum verið tilkynnt að hann hefur brotið skilmála okkar þjónustu, 342 00:23:15,630 --> 00:23:17,520 en við erum ekki að fara að athuga fyrir neitt. 343 00:23:17,520 --> 00:23:24,350 Jæja, um ári síðan það var svo slæmt við þetta aukagjald SMS skilaboð malware 344 00:23:24,350 --> 00:23:28,030 að þetta er mjög fyrstur hlutur þau byrjuðu að haka við. 345 00:23:28,030 --> 00:23:31,770 Ef app er hægt að senda SMS-skilaboðum 346 00:23:31,770 --> 00:23:34,750 þeir gaumgæfa frekar handvirkt þessi forrit. 347 00:23:34,750 --> 00:23:38,770 Þeir leita að API sem kalla þetta, 348 00:23:38,770 --> 00:23:40,580 og nú síðan Google hefur stækkað, 349 00:23:40,580 --> 00:23:46,900 en þetta var það fyrsta sem að þeir byrjuðu að leita að. 350 00:23:46,900 --> 00:23:50,690 >> Sum önnur forrit sem gerði nokkrar SMS textaskilaboð, 351 00:23:50,690 --> 00:23:56,980 þetta Android Qicsomos, held ég að það er kallað. 352 00:23:56,980 --> 00:24:02,670 Það var núverandi atburði á farsíma þar sem þetta CarrierIQ kom út 353 00:24:02,670 --> 00:24:07,720 eins og spyware setja á tækinu við burðarefni, 354 00:24:07,720 --> 00:24:10,820 þannig að fólk vildi vita hvort síminn þeirra var í hættu vegna þessa, 355 00:24:10,820 --> 00:24:13,890 og þetta var ókeypis app sem prófað það. 356 00:24:13,890 --> 00:24:17,520 Jæja, auðvitað, hvað þetta app gerði var það sent iðgjald SMS skilaboðum, 357 00:24:17,520 --> 00:24:20,090 svo með því að prófa að sjá hvort þú ert sýkt af spyware 358 00:24:20,090 --> 00:24:24,930 þú hlaðið malware á tækinu. 359 00:24:24,930 --> 00:24:27,310 Við sáum það sama gerast á síðustu Super Bowl. 360 00:24:27,310 --> 00:24:33,180 Það var svikinn útgáfa af Madden fótboltaleik 361 00:24:33,180 --> 00:24:38,320 sem sendi aukagjald SMS skilaboðum. 362 00:24:38,320 --> 00:24:45,750 Það reyndi í raun að búa til láni net of á tækinu. 363 00:24:45,750 --> 00:24:48,090 Hér er ég með nokkur dæmi. 364 00:24:48,090 --> 00:24:52,640 Athyglisvert nóg, Apple var nokkuð klár, 365 00:24:52,640 --> 00:24:58,470 og þeir leyfa ekki forrit til að senda SMS skilaboð á alla. 366 00:24:58,470 --> 00:25:00,350 Engin app getur gert það. 367 00:25:00,350 --> 00:25:03,530 Þetta er frábær leið til að losna af öllum bekknum af varnarleysi, 368 00:25:03,530 --> 00:25:09,040 en á Android þú getur gert það, og að sjálfsögðu, á BlackBerry þú getur gert það líka. 369 00:25:09,040 --> 00:25:13,060 Það er athyglisvert að á BlackBerry allt sem þú þarft er Internet heimildir 370 00:25:13,060 --> 00:25:18,370 að senda SMS-skilaboð. 371 00:25:18,370 --> 00:25:21,580 >> The annar hlutur í raun að við erum að leita 372 00:25:21,580 --> 00:25:24,780 þegar við erum að leita að sjá hvort eitthvað er illgjarn er bara hvers konar 373 00:25:24,780 --> 00:25:28,100 leyfisleysi net athafnasemi, eins líta á net athafnasemi 374 00:25:28,100 --> 00:25:31,570 The app er ætlað að hafa til að hafa virkni þess, 375 00:25:31,570 --> 00:25:35,380 og líta á þetta öðrum net athafnasemi. 376 00:25:35,380 --> 00:25:43,380 Kannski app til að vinna, þarf að fá gögn yfir HTTP, 377 00:25:43,380 --> 00:25:47,500 en ef það er að gera hlutina í tölvupósti eða SMS eða Bluetooth eða eitthvað svoleiðis 378 00:25:47,500 --> 00:25:52,890 Nú þegar app gæti hugsanlega verið illgjarn, þannig að þetta er annar hlutur sem þú getur athugað fyrir. 379 00:25:52,890 --> 00:26:00,430 Og á þessum mynd hér er ég með dæmi um það. 380 00:26:00,430 --> 00:26:05,950 Annar áhugaverður hlutur sem við sáum með malware gerðist aftur árið 2009, 381 00:26:05,950 --> 00:26:07,600 og það gerðist í a stór vegur. 382 00:26:07,600 --> 00:26:11,390 Ég veit ekki hvort það hefur gerst svo mikið síðan þá, en það var app 383 00:26:11,390 --> 00:26:15,140 að herma eftir öðru forriti. 384 00:26:15,140 --> 00:26:21,700 Það var sett af apps, og það var kallaður 09Droid árás, 385 00:26:21,700 --> 00:26:29,770 og einhver ákvað að það voru fullt af litlum, svæðisbundnum, miðskips banka 386 00:26:29,770 --> 00:26:32,260 sem ekki hafa forrit á netinu bankaþjónustu, 387 00:26:32,260 --> 00:26:36,870 Svo það sem þeir gerðu var að þeir byggt um 50 forrit á netinu bankastarfsemi 388 00:26:36,870 --> 00:26:39,410 að allt sem þeir gerðu var að taka inn notandanafn og lykilorð 389 00:26:39,410 --> 00:26:42,190 og sent þig til the website. 390 00:26:42,190 --> 00:26:47,470 Og svo þeir setja þetta allt upp í Google Marketplace, 391 00:26:47,470 --> 00:26:51,530 í Android Markaður, og þegar einhver leitaði að sjá hvort bankinn þeirra 392 00:26:51,530 --> 00:26:56,000 hafði forrit sem þeir myndu finna svikinn umsókn, 393 00:26:56,000 --> 00:27:01,230 sem safnað persónuskilríki sín og þá vísað þeim til þeirra website. 394 00:27:01,230 --> 00:27:06,640 Leiðin að þetta raunverulega gerðist-apps voru þarna upp fyrir nokkrum vikum, 395 00:27:06,640 --> 00:27:09,050 og það voru þúsundir og þúsundir niðurhal. 396 00:27:09,050 --> 00:27:12,910 >> Leiðin þetta kom í ljós var einhver var having a vandamál 397 00:27:12,910 --> 00:27:15,740 með einn af the umsókn og þeir kallast bankanum sínum, 398 00:27:15,740 --> 00:27:18,390 og kölluðu þeir þjónustudeild lína bankanum sínum og sagði, 399 00:27:18,390 --> 00:27:21,180 "Ég er having a vandamál með hreyfanlegur bankastarfsemi umsókn þína." 400 00:27:21,180 --> 00:27:23,460 "Getur þú hjálpað mér?" 401 00:27:23,460 --> 00:27:26,540 Og þeir sögðu: "Við gerum ekki hafa a hreyfanlegur bankastarfsemi umsókn." 402 00:27:26,540 --> 00:27:28,120 Sem hófst rannsókn. 403 00:27:28,120 --> 00:27:31,200 Að bankinn heitir Google, og þá Google leit og sagði: 404 00:27:31,200 --> 00:27:37,220 "Vá, sama höfundur hefur skrifað 50 banka umsóknir," og tók þá alla niður. 405 00:27:37,220 --> 00:27:43,410 En vissulega gæti það gerst aftur. 406 00:27:43,410 --> 00:27:51,790 Þarna er listi yfir allar mismunandi bönkum hér 407 00:27:51,790 --> 00:27:55,870 sem voru hluti af þessu óþekktarangi. 408 00:27:55,870 --> 00:28:02,050 The annar hlutur sem app getur gert er til staðar HÍ öðru forriti. 409 00:28:02,050 --> 00:28:06,430 Meðan það er í gangi það gæti skjóta upp kollinum á Facebook HÍ. 410 00:28:06,430 --> 00:28:09,540 Það segir að þú þarft að setja inn notandanafn þitt og lykilorð til að halda áfram 411 00:28:09,540 --> 00:28:15,090 eða setja upp allir notandanafn og lykilorð UI fyrir a website 412 00:28:15,090 --> 00:28:18,420 að ef til vill notandinn notar bara til að reyna að plata notandann 413 00:28:18,420 --> 00:28:21,340 í að setja persónuskilríki þeirra inn 414 00:28:21,340 --> 00:28:25,590 Þetta er í raun beint samhliða af email phishing árás 415 00:28:25,590 --> 00:28:28,210 þar sem einhver sendir þér tölvupóst 416 00:28:28,210 --> 00:28:33,050 og gefur þér grundvallaratriðum a falsa UI fyrir a website 417 00:28:33,050 --> 00:28:37,320 sem þú hefur aðgang að. 418 00:28:37,320 --> 00:28:41,590 >> The annar hlutur sem við að leita í illgjarn merkjamál er kerfi breytingar. 419 00:28:41,590 --> 00:28:48,160 Þú geta leita að öllum API símtöl sem krefjast rót forréttindi 420 00:28:48,160 --> 00:28:50,870 að framkvæma á réttan hátt. 421 00:28:50,870 --> 00:28:56,160 Breyting Web Proxy tækisins væri eitthvað að umsókn 422 00:28:56,160 --> 00:28:59,530 ætti ekki að vera fær um að gera. 423 00:28:59,530 --> 00:29:03,030 En ef umsókn hefur kóða í það til að gera það 424 00:29:03,030 --> 00:29:05,960 þú veist að það er líklega illgjarn umsókn 425 00:29:05,960 --> 00:29:09,620 eða mjög mjög líklegt til að vera illgjarn umsókn, 426 00:29:09,620 --> 00:29:13,910 og svo hvað myndi gerast er að app hefði einhverja leið vaxandi forréttindi. 427 00:29:13,910 --> 00:29:17,200 Það hefði einhver forréttindi stigvaxandi hetjudáð 428 00:29:17,200 --> 00:29:20,730 í umsókn, og svo þegar það stigmagna forréttindi 429 00:29:20,730 --> 00:29:23,800 það myndi gera þessi kerfi breytingar. 430 00:29:23,800 --> 00:29:28,010 Þú getur fundið malware sem hefur forréttindi stigvaxandi 431 00:29:28,010 --> 00:29:32,550 í það jafnvel án þess að vita hvernig forréttindi stigvaxandi 432 00:29:32,550 --> 00:29:37,960 hetjudáð er að fara að gerast, og það er gott, auðveld leið 433 00:29:37,960 --> 00:29:41,220 að leita að malware. 434 00:29:41,220 --> 00:29:46,030 DroidDream var líklega frægasta stykki af Android malware. 435 00:29:46,030 --> 00:29:50,530 Ég held að það áhrif um 250.000 notendur á nokkrum dögum 436 00:29:50,530 --> 00:29:52,810 áður en það var tekið eftir. 437 00:29:52,810 --> 00:29:56,890 Þeir endurhannað 50 svikinn forrit, 438 00:29:56,890 --> 00:30:00,370 setja þá í the Android app geyma, 439 00:30:00,370 --> 00:30:10,940 og í raun það er notað Android Flótti kóða til stigmagna forréttindi 440 00:30:10,940 --> 00:30:16,380 og síðan setja upp stjórn og eftirlit og snúa öll fórnarlömb 441 00:30:16,380 --> 00:30:20,690 í láni net, en þú gætir hafa fundist þetta 442 00:30:20,690 --> 00:30:24,170 ef þú varst að skönnun forrit og bara að leita að 443 00:30:24,170 --> 00:30:32,230 API símtöl sem þarf rót leyfi til að framkvæma á réttan hátt. 444 00:30:32,230 --> 00:30:40,150 >> Og það er dæmi hér er ég sem er að breytast í umboð, 445 00:30:40,150 --> 00:30:46,380 og þetta í raun er aðeins í boði á Android. 446 00:30:46,380 --> 00:30:49,070 Þú sérð að ég ætla að gefa þér mikið af dæmum um Android 447 00:30:49,070 --> 00:30:53,990 því þetta er þar sem mest malware vistkerfi er 448 00:30:53,990 --> 00:30:58,690 því það er mjög auðvelt fyrir árásarmaður að fá illgjarn merkjamál 449 00:30:58,690 --> 00:31:01,470 í Android Markaður. 450 00:31:01,470 --> 00:31:06,480 Það er ekki svo auðvelt að gera það í Apple App Store 451 00:31:06,480 --> 00:31:10,250 vegna þess að Apple þarf verktaki að skilgreina sig 452 00:31:10,250 --> 00:31:12,790 og undirrita kóðann. 453 00:31:12,790 --> 00:31:20,340 Þeir athuga raun hver þú ert, og Apple er í raun scrutinizing forrit. 454 00:31:20,340 --> 00:31:27,450 Við sjáum ekki mikið af sönnum malware þar sem tækið er að fá í hættu. 455 00:31:27,450 --> 00:31:32,250 Ég mun tala um nokkur dæmi þar sem það er mjög næði sem er að fá léleg, 456 00:31:32,250 --> 00:31:38,460 og það er það sem er raunverulega að gerast á Apple tæki. 457 00:31:38,460 --> 00:31:44,090 Annar hlutur til að leita skaðlegum kóða, áhættusamt kóða í tæki 458 00:31:44,090 --> 00:31:50,300 er rökfræði eða tímasprengjur, og tímasprengjur eru líklega 459 00:31:50,300 --> 00:31:53,370 miklu auðveldara að leita en rökfræði sprengjur. 460 00:31:53,370 --> 00:31:57,030 En með tímasprengjur, hvað þú getur gert er að þú getur leitað 461 00:31:57,030 --> 00:32:04,760 stöðum í kóðanum þar sem tíminn er prófað eða hreinum tíma er litið fyrir 462 00:32:04,760 --> 00:32:08,190 Áður vissum virkni í forritinu gerist. 463 00:32:08,190 --> 00:32:14,200 Og þetta gæti verið gert til að fela starfsemina frá notanda, 464 00:32:14,200 --> 00:32:17,510 svo það er að gerast seint á kvöldin. 465 00:32:17,510 --> 00:32:24,350 DroidDream gerði allt starfsemi sína 11:00-08:00 að íslenskum tíma 466 00:32:24,350 --> 00:32:30,650 að reyna að gera það á meðan notandinn gæti ekki verið að nota tæki þeirra. 467 00:32:30,650 --> 00:32:38,680 >> Önnur ástæða til að gera þetta er ef fólk er að nota atferlis forrits 468 00:32:38,680 --> 00:32:43,430 keyra app í sandkassa að sjá hvað hegðun forritsins er, 469 00:32:43,430 --> 00:32:51,090 þeir geta notað tíma-byggðar rökfræði á verkefnið 470 00:32:51,090 --> 00:32:54,640 þegar app er ekki í sandkassa. 471 00:32:54,640 --> 00:33:01,520 Til dæmis, sem app geyma eins og Apple 472 00:33:01,520 --> 00:33:07,940 keyrir forritið, en þeir sennilega keyri ekki hvert forrit fyrir, segjum, 30 daga 473 00:33:07,940 --> 00:33:10,550 áður samþykkt það, svo þú getur sett 474 00:33:10,550 --> 00:33:14,120 rökfræði í umsókn þína sem sagði, allt í lagi, bara að gera slæmur hlutur 475 00:33:14,120 --> 00:33:20,490 eftir 30 daga hefur farið við eða eftir 30 daga eftir birta dagsetningu umsóknar, 476 00:33:20,490 --> 00:33:27,020 og að geta hjálpað The illgjarn merkjamál fela frá fólki eftirlitsmaður fyrir það. 477 00:33:27,020 --> 00:33:30,050 Ef andstæðingur-veira fyrirtæki eru í gangi hlutina í sandboxes 478 00:33:30,050 --> 00:33:36,370 eða app verslunum sjálfir eru þetta getur hjálpað 479 00:33:36,370 --> 00:33:39,260 fela það frá þeirri skoðun. 480 00:33:39,260 --> 00:33:43,020 Nú, the bakhlið þess er að það er auðvelt að finna með truflanir greiningu, 481 00:33:43,020 --> 00:33:46,170 svo reyndar eftirlitsmaður kóðann sem þú getur leita að öllum þeim stöðum 482 00:33:46,170 --> 00:33:54,010 þar sem umsóknin prófar tímann og skoða þannig. 483 00:33:54,010 --> 00:33:58,850 Og hér er ég með nokkur dæmi um þessa 3 mismunandi kerfum 484 00:33:58,850 --> 00:34:05,640 hvernig tíminn getur verið merkt á um app framleiðandi 485 00:34:05,640 --> 00:34:10,520 svo þú veist hvað ég á að leita ef þú ert að eftirlitsmaður app statically. 486 00:34:10,520 --> 00:34:14,570 >> Ég fór bara í gegnum allt fullt af mismunandi illgjarn athafnasemi 487 00:34:14,570 --> 00:34:18,969 sem við höfum séð í náttúrunni, en hver þau eru algengust? 488 00:34:18,969 --> 00:34:23,940 Það sama rannsókn frá North Carolina State Mobile Þjóðarmorð Project 489 00:34:23,940 --> 00:34:28,560 birt nokkrar upplýsingar, og það voru í raun 4 svæði 490 00:34:28,560 --> 00:34:32,850 að þeir sáu þar var margt á dagskrá. 491 00:34:32,850 --> 00:34:35,370 37% af the apps gerði forréttindi stigvaxandi, 492 00:34:35,370 --> 00:34:38,429 þannig að þeir höfðu einhvers konar Flótti kóða í það 493 00:34:38,429 --> 00:34:42,070 þar sem þeir reyndu að stigmagna forréttindi svo að þeir gætu 494 00:34:42,070 --> 00:34:48,360 gera API skipanir í gangi sem stýrikerfi. 495 00:34:48,360 --> 00:34:52,520 45% af the apps þarna úti gerði textaskeyti með aukagjaldi, 496 00:34:52,520 --> 00:34:57,260 svo er það a gríðarstór prósenta sem er að reyna að beint monetize. 497 00:34:57,260 --> 00:35:02,640 93% gerðu fjarstýringu, svo þeir reyndu að setja upp láni net, farsíma láni net. 498 00:35:02,640 --> 00:35:08,990 Og 45% uppskorið finna upplýsingar 499 00:35:08,990 --> 00:35:16,230 eins símanúmerum, UUIDs, GPS staðsetningu, notandanöfn, 500 00:35:16,230 --> 00:35:22,870 og þetta bætir upp til fleiri en 100 vegna þess að flestir malware reynir að gera nokkrar af þessum hlutum. 501 00:35:22,870 --> 00:35:27,070 >> Ég ætla að skipta yfir í síðari hálfleik og tala um kóðann veikleika. 502 00:35:27,070 --> 00:35:29,480 Þetta er seinni hluti áhættusöm starfsemi. 503 00:35:29,480 --> 00:35:33,450 Þetta er þar í meginatriðum að verktaki er að gera villur. 504 00:35:33,450 --> 00:35:37,210 A lögmætur verktaki skrifa lögmæt app 505 00:35:37,210 --> 00:35:41,830 er að gera villur eða er ókunnugt um áhættu af the hreyfanlegur pallur. 506 00:35:41,830 --> 00:35:44,780 Þeir bara veit ekki hvernig á að gera örugga farsíma app, 507 00:35:44,780 --> 00:35:47,700 eða stundum framkvæmdaraðila er ekki sama um að setja notanda í hættu. 508 00:35:47,700 --> 00:35:50,850 Stundum hluti af viðskiptalíkani þeirra gæti verið 509 00:35:50,850 --> 00:35:54,610 uppskera persónulegar upplýsingar notanda. 510 00:35:54,610 --> 00:35:58,090 Það er tegund af öðrum flokki, og það er hvers vegna sumir af þessi illgjarn 511 00:35:58,090 --> 00:36:03,200 móti lögmætum byrjar að blæða yfir því að það er munur á skoðunum 512 00:36:03,200 --> 00:36:10,440 milli þess sem notandinn vill og hvað notandinn telur áhættusamt 513 00:36:10,440 --> 00:36:13,050 og hvað umsókn verktaki telur áhættusamt. 514 00:36:13,050 --> 00:36:18,380 Auðvitað, það er ekki gögn sem umsókn verktaki í flestum tilvikum. 515 00:36:18,380 --> 00:36:22,030 >> Og svo að lokum, önnur leið þetta gerist er verktaki gæti tengja á 516 00:36:22,030 --> 00:36:28,600 sameiginlegt bókasafn sem hefur veikleika eða áhættusöm hegðun í það 517 00:36:28,600 --> 00:36:32,480 unbeknownst þeim. 518 00:36:32,480 --> 00:36:37,060 Fyrsti flokkur er viðkvæm gögn leka, 519 00:36:37,060 --> 00:36:40,030 og þetta er þegar app safnar upplýsingar 520 00:36:40,030 --> 00:36:44,980 eins og staðsetning, heimilisfang bók upplýsingar, eigandi upplýsingar 521 00:36:44,980 --> 00:36:48,000 og sendir það að slökkva á tækinu. 522 00:36:48,000 --> 00:36:53,050 Og þegar það er slökkt á tækinu, við vitum ekki hvað er að gerast með þær upplýsingar. 523 00:36:53,050 --> 00:36:57,170 Það gæti verið geymd insecurely af umsókn verktaki. 524 00:36:57,170 --> 00:37:02,070 Við höfum séð umsókn verktaki fá málamiðlun, 525 00:37:02,070 --> 00:37:05,820 og gögn sem þeir eru að geyma fær tekin. 526 00:37:05,820 --> 00:37:10,970 Þetta gerðist fyrir nokkrum mánuðum síðan að verktaki niður í Flórída 527 00:37:10,970 --> 00:37:21,660 þar sem gríðarlegur fjöldi af-það var iPad UUIDs og tæki nöfn 528 00:37:21,660 --> 00:37:25,270 voru leki vegna þess að einhver, held ég að það væri nafnlaus, 529 00:37:25,270 --> 00:37:29,460 krafa að gera þetta, braust inn netþjónum Þessi verktaki er 530 00:37:29,460 --> 00:37:34,920 og stal milljónir iPad UUIDs 531 00:37:34,920 --> 00:37:37,390 og nöfn tölva. 532 00:37:37,390 --> 00:37:40,260 Ekki mest áhættusamt upplýsingar, 533 00:37:40,260 --> 00:37:46,820 en hvað ef það væri geymslu notendanöfn og lykilorð 534 00:37:46,820 --> 00:37:48,170 og heimilisföng? 535 00:37:48,170 --> 00:37:51,100 Það er hellingur af forritum sem geyma svona upplýsingar. 536 00:37:51,100 --> 00:37:53,230 Hættan er þar. 537 00:37:53,230 --> 00:37:56,620 >> The annar hlutur sem getur gerst er ef verktaki ekki að sjá 538 00:37:56,620 --> 00:38:01,370 að tryggja að gögn rás, og það er annar stór varnarleysi ég ætla að tala um, 539 00:38:01,370 --> 00:38:05,160 að gögn eru send í tær. 540 00:38:05,160 --> 00:38:09,040 Ef notandinn er á opinberum Wi-Fi net 541 00:38:09,040 --> 00:38:12,330 eða einhver er að sjúga upp í nefið á internetinu einhverstaðar 542 00:38:12,330 --> 00:38:19,260 götunni að gögn eru óvarinn. 543 00:38:19,260 --> 00:38:23,790 Einn mjög frægur tilvik af þessu leka upplýsingum gerðist með Panda, 544 00:38:23,790 --> 00:38:27,250 og þetta er eitthvað sem við rannsakað á Veracode. 545 00:38:27,250 --> 00:38:33,200 Við heyrðum að það var-ég held að það var Federal Trade Commission 546 00:38:33,200 --> 00:38:35,310 rannsókn að fara á með Panda. 547 00:38:35,310 --> 00:38:39,830 Við sögðum, "Hvað er að gerast þarna? Byrjum grafa í Panda umsókn." 548 00:38:39,830 --> 00:38:46,690 Og hvað við ákveðin var Pandora forritið safnað 549 00:38:46,690 --> 00:38:51,270 kyn og aldur þinn, 550 00:38:51,270 --> 00:38:56,660 og það nálgast einnig GPS staðsetningu þína, og Panda forritið 551 00:38:56,660 --> 00:39:00,200 gerði þetta fyrir það sem þeir sögðu var lögmætar ástæður. 552 00:39:00,200 --> 00:39:05,360 Tónlistin sem þeir voru að spila-Panda er tónlist á app- 553 00:39:05,360 --> 00:39:07,530 tónlistin sem þeir voru að spila var aðeins leyfi í Bandaríkjunum, 554 00:39:07,530 --> 00:39:13,020 svo þeir þurftu að stöðva til að fara með leyfi samninga þeirra sem þeir höfðu 555 00:39:13,020 --> 00:39:17,240 fyrir tónlist sem notandinn var í Bandaríkjunum. 556 00:39:17,240 --> 00:39:25,070 Þeir vildu einnig að fara með foreldra ráðgjöf 557 00:39:25,070 --> 00:39:33,790 um fullorðnum tungumál í tónlist, 558 00:39:33,790 --> 00:39:37,500 og svo er það frjálst program, en þeir vildu fara með það 559 00:39:37,500 --> 00:39:43,010 og ekki spilað skýr lyrics börnum 13 ára og yngri. 560 00:39:43,010 --> 00:39:46,280 >> Þeir höfðu lögmætar ástæður fyrir að safna þessum gögnum. 561 00:39:46,280 --> 00:39:49,160 App þeirra hafði heimildir til að gera það. 562 00:39:49,160 --> 00:39:52,000 Notendur hélt að þetta væri lögmæt. En hvað gerðist? 563 00:39:52,000 --> 00:39:55,810 Þeir tengdir í 3 eða 4 mismunandi bókasöfnum auglýsingu. 564 00:39:55,810 --> 00:39:59,140 Nú allt í einu öll þessi auglýsinga bókasöfnum 565 00:39:59,140 --> 00:40:02,970 eru að fá aðgang að þessum sömu upplýsingum. 566 00:40:02,970 --> 00:40:05,830 Auglýsingin bókasöfnum, ef þú líta á kóðann í auglýsingunni bókasöfnum 567 00:40:05,830 --> 00:40:08,430 það sem þeir gera er sérhver auglýsing bókasafn segir 568 00:40:08,430 --> 00:40:11,340 "Er app minn leyfi til að fá GPS staðsetning?" 569 00:40:11,340 --> 00:40:14,890 "Ó, það er? Jæja, segðu mér GPS staðsetningu." 570 00:40:14,890 --> 00:40:16,620 Hver einasta auglýsing bókasafn gerir það, 571 00:40:16,620 --> 00:40:19,740 og ef app er ekki með GPS leyfi 572 00:40:19,740 --> 00:40:23,460 það mun ekki vera fær um að fá það, en ef það gerist, mun það fá það. 573 00:40:23,460 --> 00:40:26,240 Þetta er þar sem viðskipti líkan af auglýsingu bókasöfnum 574 00:40:26,240 --> 00:40:31,160 er öfugt við einkalíf notandans. 575 00:40:31,160 --> 00:40:34,980 Og það er verið rannsóknir þarna úti sem vilja segja ef þú veist aldri 576 00:40:34,980 --> 00:40:38,430 á mann og þú veist staðsetningu þeirra 577 00:40:38,430 --> 00:40:42,530 þar sem þeir sofa á nóttunni, því þú ert með GPS hnit þeirra 578 00:40:42,530 --> 00:40:46,030 meðan þeir kannski eru sofandi, þú veist nákvæmlega hver þessi manneskja er 579 00:40:46,030 --> 00:40:50,230 vegna þess að þú getur séð hvaða meðlimur þess heimilinu er þessi manneskja. 580 00:40:50,230 --> 00:40:54,780 Raunverulega er þetta greina að auglýsendur 581 00:40:54,780 --> 00:40:59,530 nákvæmlega hver þú ert, og það lítur út eins og það var lögmætur. 582 00:40:59,530 --> 00:41:02,800 Ég vil bara á tónlist mína, og þetta er eina leiðin til að fá það. 583 00:41:02,800 --> 00:41:05,370 >> Jæja, verða við þetta. 584 00:41:05,370 --> 00:41:08,030 Við skrifuðum þetta upp í nokkrum bloggfærslum, 585 00:41:08,030 --> 00:41:13,280 og það kom í ljós að einhver frá Rolling Stone tímaritinu 586 00:41:13,280 --> 00:41:18,810 lesa eina af bloggfærslum okkar og skrifaði eigin bloggsíðu þeirra í Rolling Stone um það, 587 00:41:18,810 --> 00:41:22,120 og strax næsta dag Pandora hélt að það væri góð hugmynd 588 00:41:22,120 --> 00:41:27,600 að fjarlægja auglýsinguna bókasöfnum frá beitingu þeirra. 589 00:41:27,600 --> 00:41:31,270 Eins og langt eins og ég veit að þeir eru eini-þeir eiga hrós skilið. 590 00:41:31,270 --> 00:41:35,770 Ég held að þeir séu eina freemium tegund af app sem hefur gert þetta. 591 00:41:35,770 --> 00:41:38,660 Allar aðrar freemium apps hafa þetta sama hegðun, 592 00:41:38,660 --> 00:41:41,780 svo þú hefur fengið að hugsa um hvers konar gögn þú ert að gefa 593 00:41:41,780 --> 00:41:48,330 þessi freemium forrit því það er allt að fara til auglýsenda. 594 00:41:48,330 --> 00:41:53,390 Praetorian gerði einnig rannsókn um sameiginlegra bókasöfnum og sagði, 595 00:41:53,390 --> 00:41:57,100 "Við skulum líta á það sem hluti bókasöfn eru efst hluti bókasafna," og þetta var gögnin. 596 00:41:57,100 --> 00:41:59,420 >> Þeir greind 53.000 apps, 597 00:41:59,420 --> 00:42:01,900 og númer 1 hluti bókasafn var AdMob. 598 00:42:01,900 --> 00:42:06,060 Það var reyndar í 38% umsókna þarna úti, 599 00:42:06,060 --> 00:42:08,800 svo 38% af þeim forritum sem þú ert að nota 600 00:42:08,800 --> 00:42:11,250 eru líklega uppskera persónuupplýsingar þínar 601 00:42:11,250 --> 00:42:16,650 og senda það til the net auglýsingu. 602 00:42:16,650 --> 00:42:19,350 Apache og Android voru 8% og 6%, 603 00:42:19,350 --> 00:42:22,960 og þá eru þessir hinna niður í botn, Google auglýsingar gustur, 604 00:42:22,960 --> 00:42:26,600 Mob City og Millennial Media, 605 00:42:26,600 --> 00:42:30,500 þetta eru allt auglýsingin fyrirtæki, og þá, Athyglisvert nóg, 606 00:42:30,500 --> 00:42:33,500 4% tengd í Facebook bókasafninu 607 00:42:33,500 --> 00:42:38,870 sennilega til að gera sannvottun í gegnum Facebook 608 00:42:38,870 --> 00:42:40,810 svo app gæti staðfesta Facebook. 609 00:42:40,810 --> 00:42:44,660 En það þýðir einnig fyrirtæki Facebook stjórna merkjamál 610 00:42:44,660 --> 00:42:49,010 sem er í gangi í 4% af Android hreyfanlegur apps þarna úti, 611 00:42:49,010 --> 00:42:53,490 og þeir hafa aðgang að öllum þeim gögnum sem þessi app hefur heimild til að sækja á. 612 00:42:53,490 --> 00:42:57,170 Facebook reynir fyrst og fremst að selja auglýsingar pláss. 613 00:42:57,170 --> 00:43:00,120 Það er viðskiptamódel þeirra. 614 00:43:00,120 --> 00:43:02,920 >> Ef þú horfir á þetta allt vistkerfi með þessar heimildir 615 00:43:02,920 --> 00:43:07,740 og hluti bókasafna þú byrjar að sjá að 616 00:43:07,740 --> 00:43:13,850 þú hafa a einhver fjöldi af áhættu í því er talið er lögmætur umsókn. 617 00:43:13,850 --> 00:43:19,360 Sama svipað sem gerðist með Pandora 618 00:43:19,360 --> 00:43:22,340 gerðist með forrit sem heitir Path, 619 00:43:22,340 --> 00:43:27,660 og Path taldi sig vera hjálpsamur, vingjarnlegur verktaki. 620 00:43:27,660 --> 00:43:32,160 Þeir voru bara að reyna að gefa þér mikla reynslu notenda, 621 00:43:32,160 --> 00:43:37,810 og það kom í ljós að án skjótleiki notanda eða segja að notandinn eitthvað- 622 00:43:37,810 --> 00:43:40,400 og þetta gerðist á iPhone og á Android, 623 00:43:40,400 --> 00:43:44,420 á Pandora app var á iPhone og Android- 624 00:43:44,420 --> 00:43:48,890 að leiðin umsókn var grabbing alla netfangalistann þinn 625 00:43:48,890 --> 00:43:52,830 og senda það til Path bara þegar þú setja í embætti og ran the umsókn, 626 00:43:52,830 --> 00:43:55,840 og þeir vildu ekki segja þér frá þessu. 627 00:43:55,840 --> 00:43:58,750 Þeir héldu að það væri mjög gagnlegt fyrir þig 628 00:43:58,750 --> 00:44:04,040 að vera fær um að deila með öllum í símaskránni 629 00:44:04,040 --> 00:44:06,920 að þú ert að nota Path umsókn. 630 00:44:06,920 --> 00:44:09,490 >> Jæja, augljóslega Path fannst þetta frábært fyrir fyrirtæki þeirra. 631 00:44:09,490 --> 00:44:13,510 Ekki svo mikill að notandanum. 632 00:44:13,510 --> 00:44:19,020 Þú verður að hugsa að það er eitt ef til vill unglingur 633 00:44:19,020 --> 00:44:23,700 er að nota þetta forrit og heilmikið þeirra af vinum eru þarna, 634 00:44:23,700 --> 00:44:29,360 en hvað ef það er forstjóri fyrirtækisins sem setur Path 635 00:44:29,360 --> 00:44:33,170 og þá er allt í einu þeirra allan netfangalistann þarna uppi? 636 00:44:33,170 --> 00:44:38,310 Þú ert að fara að fá fullt af hugsanlega dýrmætur upplýsingar um tengiliði 637 00:44:38,310 --> 00:44:40,920 fyrir fullt af fólki. 638 00:44:40,920 --> 00:44:44,500 A blaðamaður frá New York Times, þú might vera fær til fá símanúmer 639 00:44:44,500 --> 00:44:47,380 fyrir fyrrverandi forseta frá netfangalistann þeirra, 640 00:44:47,380 --> 00:44:54,780 svo augljóslega mikið af viðkvæmum upplýsingum verður flutt með eitthvað eins og this. 641 00:44:54,780 --> 00:44:58,090 Það var svo stór blakt um þetta sem Path afsökunar. 642 00:44:58,090 --> 00:45:01,610 Þeir breyta app þeirra, og það hafði áhrif á jafnvel Apple. 643 00:45:01,610 --> 00:45:06,950 Apple sagði, "Við erum að fara að neyða app seljendur til að hvetja notendur 644 00:45:06,950 --> 00:45:12,650 ef hann ætlar að safna allt heimilisfang bók sína. " 645 00:45:12,650 --> 00:45:15,360 >> Það lítur út eins hvað er að gerast hér er 646 00:45:15,360 --> 00:45:19,430 þegar það er einn stór næði brot og það gerir fjölmiðla 647 00:45:19,430 --> 00:45:21,680 við sjá breytingar þarna úti. 648 00:45:21,680 --> 00:45:23,230 En auðvitað, það er annar hlutur út there. 649 00:45:23,230 --> 00:45:27,440 The LinkedIn umsókn ávextinum dagbókaratriði, 650 00:45:27,440 --> 00:45:34,530 en Apple er ekki að gera notandanum vera beðin um það. 651 00:45:34,530 --> 00:45:38,030 Dagbókaratriði geta haft viðkvæmar upplýsingar í þeim líka. 652 00:45:38,030 --> 00:45:40,000 Hvar ert þú að fara að draga línuna? 653 00:45:40,000 --> 00:45:43,960 Þetta er í raun eins konar An þróun staður 654 00:45:43,960 --> 00:45:47,640 þar er í raun ekki gott staðall þarna úti 655 00:45:47,640 --> 00:45:51,990 fyrir notendur að skilja þegar upplýsingar þeirra er að fara að vera í hættu 656 00:45:51,990 --> 00:45:57,820 og þegar þau eru að fara að vita að það er verið að taka. 657 00:45:57,820 --> 00:46:03,040 Við skrifaði app á Veracode heitir Adios, 658 00:46:03,040 --> 00:46:08,350 og í raun það leyfa þér að benda á app á iTunes möppuna 659 00:46:08,350 --> 00:46:12,550 og líta á öll forrit sem voru Uppskera fulla netfangalistann þinn. 660 00:46:12,550 --> 00:46:19,760 Og eins og þú getur séð á þessum lista hér, Angry Birds, 661 00:46:19,760 --> 00:46:21,590 AIM, AroundMe. 662 00:46:21,590 --> 00:46:24,050 Hvers vegna hjartarskinn Angry Birds þurfa netfangalistann þinn? 663 00:46:24,050 --> 00:46:29,160 Ég veit ekki, en það gerir einhvern veginn. 664 00:46:29,160 --> 00:46:32,310 >> Þetta er eitthvað sem margir, margir forrit gera. 665 00:46:32,310 --> 00:46:34,780 Þú getur athugað kóðann fyrir þetta. 666 00:46:34,780 --> 00:46:38,660 Það er vel skilgreind API fyrir iPhone, Android og BlackBerry 667 00:46:38,660 --> 00:46:42,120 að fá á símaskránni. 668 00:46:42,120 --> 00:46:48,520 Þú getur mjög auðveldlega skoða fyrir þetta, og þetta er það sem við gerðum í adios umsókn okkar. 669 00:46:48,520 --> 00:46:52,320 Í næsta flokki, óörugg Næmur Gögn Geymsla, 670 00:46:52,320 --> 00:46:55,670 er eitthvað þar sem verktaki taka eitthvað eins og pinna eða reikningsnúmer 671 00:46:55,670 --> 00:46:58,530 eða lykilorð og geyma það í ljóst á tækinu. 672 00:46:58,530 --> 00:47:02,310 Jafnvel verra, þeir gætu geymt það á svæði á símanum 673 00:47:02,310 --> 00:47:06,820 sem er á heimsvísu aðgengilegt, eins og SD kort. 674 00:47:06,820 --> 00:47:11,320 Þú sérð þetta oftar á Android því Android gerir ráð fyrir SD kort. 675 00:47:11,320 --> 00:47:13,200 IPhone tæki ekki. 676 00:47:13,200 --> 00:47:17,900 En við sáum jafnvel þetta gerast í Citigroup umsókn. 677 00:47:17,900 --> 00:47:25,450 Heimabanka umsókn þeirra geymd reikningsnúmer insecurely, 678 00:47:25,450 --> 00:47:28,120 bara í ljóst, þannig að ef þú misst tækið, 679 00:47:28,120 --> 00:47:30,670 í raun að þú misst af bankareikningnum þínum. 680 00:47:30,670 --> 00:47:36,000 Þetta er ástæða þess að ég persónulega ekki gera bankastarfsemi á iPhone minn. 681 00:47:36,000 --> 00:47:43,710 Ég held að það er of áhættusamt núna að gera þessar tegundir af starfsemi. 682 00:47:43,710 --> 00:47:45,950 >> Skype gerði það sama. 683 00:47:45,950 --> 00:47:49,870 Skype, auðvitað, hefur viðskiptajöfnuð, notandanafn og lykilorð 684 00:47:49,870 --> 00:47:51,030 að aðgangur að jafnvægi. 685 00:47:51,030 --> 00:48:00,080 Þeir voru að geyma allar þær upplýsingar í ljóst á farsímanum. 686 00:48:00,080 --> 00:48:05,760 Ég hef nokkur dæmi hér um að búa til skrár 687 00:48:05,760 --> 00:48:10,310 sem ekki hafa heimildir eða skrifa til diskur 688 00:48:10,310 --> 00:48:17,260 og hafa ekki allir dulkóðun gerast fyrir það. 689 00:48:17,260 --> 00:48:20,190 Þessi næsta svæði, óörugg Næmur Gagnaflutningsþjónusta, 690 00:48:20,190 --> 00:48:24,450 Ég hef einu kennd við þetta nokkrum sinnum, og vegna opinberra Wi-Fi 691 00:48:24,450 --> 00:48:27,770 þetta er eitthvað sem apps algerlega þarft að gera, 692 00:48:27,770 --> 00:48:31,250 og þetta er líklega það sem við sjáum bila mest. 693 00:48:31,250 --> 00:48:34,920 Ég myndi segja-Reyndar held ég að ég hef í raun gögn, 694 00:48:34,920 --> 00:48:38,120 en það er nærri helmingur hreyfanlegur umsókn 695 00:48:38,120 --> 00:48:41,780 skrúfa upp að gera SSL. 696 00:48:41,780 --> 00:48:43,910 Þeir bara ekki nota API rétt. 697 00:48:43,910 --> 00:48:47,970 Ég meina, allt sem þú hefur fengið að gera er að fylgja leiðbeiningunum og nota API, 698 00:48:47,970 --> 00:48:54,720 en þeir gera hlutina eins ekki athuga hvort það er ógilt vottorð á öðrum enda, 699 00:48:54,720 --> 00:49:02,120 ekki að athuga hvort hinn endinn er að reyna að gera siðareglur lækkunar árás. 700 00:49:02,120 --> 00:49:07,200 >> The verktaki, þeir vilja fá kassann þeirra, ekki satt? 701 00:49:07,200 --> 00:49:11,910 Krafa þeirra er að nota þetta til að selja. Þeir hafa notað þetta til að selja. 702 00:49:11,910 --> 00:49:14,800 Krafan er ekki að nota þetta til að selja á öruggan hátt, 703 00:49:14,800 --> 00:49:19,680 og svo er þetta ástæðan fyrir öllum forritum sem nota SSL til að tryggja gögn 704 00:49:19,680 --> 00:49:23,470 eins og það er verið að senda burt tækið raunverulega þörf til að skoða 705 00:49:23,470 --> 00:49:28,950 til að tryggja sem var hrint í framkvæmd á réttan hátt. 706 00:49:28,950 --> 00:49:32,850 Og hér er ég með nokkur dæmi þar sem þú getur sjá umsóknareyðublað 707 00:49:32,850 --> 00:49:37,400 gæti verið að nota HTTP í stað HTTPS. 708 00:49:37,400 --> 00:49:40,510 Í sumum tilfellum apps vilja falla aftur til HTTP 709 00:49:40,510 --> 00:49:44,250 ef HTTPS er ekki að virka. 710 00:49:44,250 --> 00:49:49,070 Ég hef annað símtal hér á Android þar sem þeir hafa slökkt á vottorði, 711 00:49:49,070 --> 00:49:51,700 svo maður-í-the-miðja árás getur gerst. 712 00:49:51,700 --> 00:49:56,370 Ógild vottorð verði samþykkt. 713 00:49:56,370 --> 00:50:01,920 Þetta eru allt mál þar árásarmaður eru að fara að vera fær um að fá á 714 00:50:01,920 --> 00:50:07,150 sama Wi-Fi tengingu sem notanda og fengið aðgang að öllum gögnum 715 00:50:07,150 --> 00:50:11,650 sem er verið að senda í gegnum netið. 716 00:50:11,650 --> 00:50:15,970 >> Og að lokum, síðasta flokkur sem ég hef hér er hardcoded lykilorð og lykla. 717 00:50:15,970 --> 00:50:21,470 Við sjáum reyndar mikið af forriturum að nota sömu kóðun stíl 718 00:50:21,470 --> 00:50:25,900 að þeir gerðu þegar þeir voru að byggja vefur framreiðslumaður umsókn, 719 00:50:25,900 --> 00:50:29,700 svo þeir eru að byggja upp Java miðlara forrit, og þeir eru hardcoding lykilinn. 720 00:50:29,700 --> 00:50:31,940 Jæja, þegar þú ert að byggja upp miðlari umsókn, já, 721 00:50:31,940 --> 00:50:34,240 hardcoding lykilinn er ekki góð hugmynd. 722 00:50:34,240 --> 00:50:36,290 Það gerir það erfitt að breyta. 723 00:50:36,290 --> 00:50:40,700 En það er ekki svo slæmt á miðlara megin því hver hefur aðgang að framreiðslumaður hlið? 724 00:50:40,700 --> 00:50:43,140 Aðeins kerfisstjórar. 725 00:50:43,140 --> 00:50:48,100 En ef þú tekur sömu kóða og þú hellti yfir til a hreyfanlegur umsókn 726 00:50:48,100 --> 00:50:52,550 nú allir sem hafa að hreyfanlegur umsókn hefur aðgang að hardcoded lykill, 727 00:50:52,550 --> 00:50:56,380 og við sjáum reyndar þetta mikið af sinnum, og ég hef nokkrar tölfræði 728 00:50:56,380 --> 00:51:00,920 á því hversu oft við sjáum þetta gerast. 729 00:51:00,920 --> 00:51:04,940 Það var reyndar í dæmi kóða sem MasterCard birt 730 00:51:04,940 --> 00:51:06,850 um hvernig á að nota þjónustu þeirra. 731 00:51:06,850 --> 00:51:11,860 Dæmið kóða sýndi hvernig þú myndir bara taka lykilorðið 732 00:51:11,860 --> 00:51:14,850 og setja það í hardcoded band þarna, 733 00:51:14,850 --> 00:51:19,380 og við vitum hvernig verktaki elska að afrita og líma kóðabútana 734 00:51:19,380 --> 00:51:22,360 þegar þeir eru að reyna að gera eitthvað, svo að afrita og líma kóðann 735 00:51:22,360 --> 00:51:28,450 sem þeir gáfu sem dæmi kóðann, og þú ert óörugg forrit. 736 00:51:28,450 --> 00:51:31,490 >> Og hér höfum við nokkur dæmi. 737 00:51:31,490 --> 00:51:35,840 Þetta fyrsta er eitt sem við sjáum mikið þar sem þeir hardcode 738 00:51:35,840 --> 00:51:40,510 gögnin rétt í slóð sem fær send. 739 00:51:40,510 --> 00:51:45,120 Stundum sjáum við band Lykilorð = lykilorð. 740 00:51:45,120 --> 00:51:49,060 Það er nokkuð auðvelt að greina, eða band lykilorð á BlackBerry og Android. 741 00:51:49,060 --> 00:51:53,680 Það er reyndar mjög auðvelt að stöðva fyrir vegna þess að næstum alltaf 742 00:51:53,680 --> 00:51:57,030 framkvæmdaraðilinn nöfn breytan sem er að halda lykilorð 743 00:51:57,030 --> 00:52:02,290 sumir tilbrigði af lykilorð. 744 00:52:02,290 --> 00:52:05,200 Ég nefndi að við gerum truflanir greiningu á Veracode, 745 00:52:05,200 --> 00:52:11,790 þannig að við höfum greind nokkur hundruð Android og IOS forrit. 746 00:52:11,790 --> 00:52:15,160 Við höfum byggt fullt líkan af þeim, og við erum fær um að skanna þær 747 00:52:15,160 --> 00:52:19,280 fyrir mismunandi veikleika, sérstaklega varnarleysi Ég var að tala um, 748 00:52:19,280 --> 00:52:21,050 og ég hef nokkur gögn hér. 749 00:52:21,050 --> 00:52:24,320 68,5% af Android apps við skoðuðum 750 00:52:24,320 --> 00:52:28,590 hafði brotið dulmáls númer, 751 00:52:28,590 --> 00:52:33,240 sem fyrir okkur, getum við ekki uppgötva ef þú gert eigin dulritunarstjórneiningunni venja, 752 00:52:33,240 --> 00:52:38,980 ekki að það er góð hugmynd, en þetta er í raun að nota birt API 753 00:52:38,980 --> 00:52:42,530 sem eru á vettvang en að gera þá á þann hátt 754 00:52:42,530 --> 00:52:46,680 að dulritunarstjórneiningunni væri viðkvæmt, 68.5. 755 00:52:46,680 --> 00:52:49,870 Og þetta er fyrir fólk sem eru að senda okkur umsóknir þeirra í raun vegna þess að 756 00:52:49,870 --> 00:52:53,730 þeir hugsa það er góð hugmynd að gera öryggi prófa. 757 00:52:53,730 --> 00:52:56,960 Þetta eru þegar fólk sem eru sennilega að hugsa á öruggan hátt, 758 00:52:56,960 --> 00:52:59,540 svo það er sennilega enn verra. 759 00:52:59,540 --> 00:53:02,690 >> Ég talaði ekki um stjórn lína fæða inndælingu. 760 00:53:02,690 --> 00:53:07,640 Það er eitthvað sem við stöðva fyrir, en það er ekki það áhættusamt mál. 761 00:53:07,640 --> 00:53:15,390 Upplýsingar leka, þetta er þar sem viðkvæm gögn eru send á tækinu. 762 00:53:15,390 --> 00:53:19,270 Við teljum að í 40% á umsóknum. 763 00:53:19,270 --> 00:53:23,540 Tími og ástand, eru þeir kapp ástand tegund málefni, yfirleitt frekar erfitt að nýta, 764 00:53:23,540 --> 00:53:26,170 svo ég þurfti ekki að tala um þetta, en við skoðuðum það. 765 00:53:26,170 --> 00:53:28,750 23% höfðu SQL innspýting málefni. 766 00:53:28,750 --> 00:53:32,020 A einhver fjöldi af fólk veit ekki að mikið af forritum 767 00:53:32,020 --> 00:53:35,880 nota a lítill lítill SQL gagnagrunn á bak endir þeirra til að geyma gögn. 768 00:53:35,880 --> 00:53:40,430 Jæja, ef þau gögn sem þú ert að grabbing yfir netið 769 00:53:40,430 --> 00:53:43,800 hefur SQL innspýting árás strengi í það 770 00:53:43,800 --> 00:53:45,970 einhver geta stofnað tækið í gegnum það, 771 00:53:45,970 --> 00:53:49,800 og svo ég held að við finnum um 40% af vefur umsókn hefur þetta vandamál, 772 00:53:49,800 --> 00:53:52,840 sem er a gríðarstór faraldur vandamál. 773 00:53:52,840 --> 00:53:55,740 Við finnum það 23% af þeim tíma á hreyfanlegur apps 774 00:53:55,740 --> 00:54:02,030 og það er líklega vegna þess að margir fleiri vefur umsókn nota SQL en farsíma. 775 00:54:02,030 --> 00:54:05,580 >> Og þá sjáum enn nokkur kross-staður forskriftarþarfir, heimild málefni, 776 00:54:05,580 --> 00:54:09,400 og þá persónuskilríki stjórnun, það er þar sem þú hefur hardcoded lykilorðinu þínu. 777 00:54:09,400 --> 00:54:14,540 Í 5% umsókna sjáum við að. 778 00:54:14,540 --> 00:54:17,970 Og þá höfum við nokkur gögn á IOS. 779 00:54:17,970 --> 00:54:20,180 81% höfðu villu meðhöndlun málefni. 780 00:54:20,180 --> 00:54:23,130 Þetta er meira af kóða gæði vandamál, 781 00:54:23,130 --> 00:54:28,010 en 67% höfðu dulmáls málefni, svo ekki alveg eins slæm og Android. 782 00:54:28,010 --> 00:54:32,440 Kannski API eru svolítið auðveldara, sem dæmi númerin svolítið betur á IOS. 783 00:54:32,440 --> 00:54:35,420 En samt mjög hátt hlutfall. 784 00:54:35,420 --> 00:54:39,040 Við höfðum 54% með leka upplýsingum, 785 00:54:39,040 --> 00:54:42,080 um það bil 30% með stuðpúða stjórnun villur. 786 00:54:42,080 --> 00:54:45,930 Það er staður þar sem það gæti hugsanlega verið minni spilling málefni. 787 00:54:45,930 --> 00:54:50,350 Það kemur í ljós að það er ekki eins mikið vandamál fyrir hagnýtingu 788 00:54:50,350 --> 00:54:56,450 á IOS því allur kóðinn þarf að vera undirritað, 789 00:54:56,450 --> 00:55:02,210 þannig að það er erfitt fyrir árásarmaður að framkvæma handahófskennt kóðann á IOS. 790 00:55:02,210 --> 00:55:07,880 Kóða gæði, skrá traversal, en þá persónuskilríki stjórnun hér á 14,6%, 791 00:55:07,880 --> 00:55:09,250 svo verri en á Android. 792 00:55:09,250 --> 00:55:13,240 Við höfum fólk ekki meðhöndlun lykilorð rétt. 793 00:55:13,240 --> 00:55:15,790 Og þá tölugildi villur og biðminni flæða, 794 00:55:15,790 --> 00:55:22,680 þeir eru meira að fara að vera númer gæðamál á IOS. 795 00:55:22,680 --> 00:55:26,110 >> Það var það fyrir kynningu mína. Ég veit ekki hvort við erum út á tíma eða ekki. 796 00:55:26,110 --> 00:55:29,540 Ég veit ekki hvort það er einhverjar spurningar. 797 00:55:29,540 --> 00:55:33,220 [Karlkyns] A fljótur spurning um sundrungu og Android markaði. 798 00:55:33,220 --> 00:55:36,240 Apple amk á pjatla. 799 00:55:36,240 --> 00:55:40,780 Þeir gera gott starf við að fá það út there en minna svo í Android rúm. 800 00:55:40,780 --> 00:55:44,280 Þú þarft næstum að Flótti símann til að halda núverandi 801 00:55:44,280 --> 00:55:46,660 með núverandi útgáfu af Android. 802 00:55:46,660 --> 00:55:50,960 Já, það er a gríðarstór vandamál og svo ef þér finnst um- 803 00:55:50,960 --> 00:55:52,280 [Karlkyns] Hvers vegna er ekki hægt að endurtaka það? 804 00:55:52,280 --> 00:55:55,610 >> Ó, hægri, svo spurningin var hvað um sundrungu 805 00:55:55,610 --> 00:56:00,410 af stýrikerfi á the Android pallur? 806 00:56:00,410 --> 00:56:05,890 Hvernig virkar þessi áhrif á riskiness af þeim tækjum? 807 00:56:05,890 --> 00:56:09,700 Og það er í raun stórt vandamál vegna þess að það sem gerist er 808 00:56:09,700 --> 00:56:15,110 eldri tæki, þegar einhver kemur upp með jailbreak fyrir þessi tæki, 809 00:56:15,110 --> 00:56:19,960 raun er það forréttindi stigvaxandi, og þar sem stýrikerfið er uppfært 810 00:56:19,960 --> 00:56:25,350 einhver malware getur þá notað þessi varnarleysi að algerlega málamiðlun tækið, 811 00:56:25,350 --> 00:56:30,200 og hvað við erum að sjá á the Android er í því skyni að fá nýtt stýrikerfi 812 00:56:30,200 --> 00:56:34,690 Google hefur að setja út stýrikerfi, og þá Vélbúnaður framleiðandi 813 00:56:34,690 --> 00:56:39,390 þarf að aðlaga það og þá þarf flytjandinn að aðlaga það og bera það. 814 00:56:39,390 --> 00:56:43,070 Þú hefur í rauninni 3 hreyfanlega hluti hér, 815 00:56:43,070 --> 00:56:47,210 og það er beygja út að flugrekendur ekki sama, 816 00:56:47,210 --> 00:56:50,400 og vélbúnaður framleiðendur ekki sama, og Google er ekki danglaði þeim nóg 817 00:56:50,400 --> 00:56:54,430 að gera neitt, þannig að í raun meira en helmingur allra tæki þarna úti 818 00:56:54,430 --> 00:57:00,590 hafa stýrikerfi sem hafa þessir forréttindi stigvaxandi veikleika í þeim, 819 00:57:00,590 --> 00:57:08,440 og svo ef þú færð malware á Android tækinu þínu það er miklu meira vandamál. 820 00:57:08,440 --> 00:57:10,350 >> Jæja, þakka þér kærlega. 821 00:57:10,350 --> 00:57:12,310 [Lófaklapp] 822 00:57:12,310 --> 00:57:14,310 [CS50.TV]