[Seminar] [Verja aftan tæki: Mobile Umsókn Öryggi]
 [Chris Wysopal] [Harvard University]
 [Þetta er CS50.] [CS50.TV]
 

Góðan dag. Mitt nafn er Chris Wysopal.
 Ég er yfirmaður tæknimála og co-stofnandi Veracode.
 Veracode er forrit öryggi fyrirtæki.
 Við prófa allar tegundir af mismunandi forritum,
 og það sem ég ætla að tala um í dag er hreyfanlegur umsókn öryggi.
 Bakgrunnur minn er að ég hef verið að gera öryggi rannsóknir
 í mjög langan tíma, líklega um eins lengi og neinn.
 Ég byrjaði um miðjan 90s,
 og það var tími sem var frekar áhugavert vegna
 við höfðum fyrirmynd breyting í miðjum 90s.
 Allt um tölvuna Skyndileg allra var boginn upp við internetið,
 og þá urðum við upphaf vefur umsókn,
 og það er það sem ég áherslu á a einhver fjöldi þá.
 Það er áhugavert.
 Nú höfum við annað fyrirmynd breyting gerast með tölvumál,
 sem er breyting til hreyfanlegur umsókn.
 

Mér finnst það er góður af svipuðum tíma þá var það í lok 90s
 þegar við vorum að rannsaka vefur umsókn og finna galla eins
 fundur stjórnun villur og SQL innspýting
 sem í raun var ekki til staðar áður, og allt í einu að þeir voru alls staðar
 í vefur umsókn, og nú mikið af þeim tíma sem ég eyða
 er að horfa á hreyfanlegur umsókn og horfa á það sem er að gerast þarna úti í náttúrunni.
 Hreyfanlegur umsókn eru í raun að fara að vera ríkjandi computing pallur,
 þannig að við þurfum virkilega að eyða miklum tíma ef þú ert í öryggismálum iðnaður
 áherslu á vefur umsókn.
 Það voru 29 milljarðar hreyfanlegur apps niður í 2.011.
 Það er spáð að vera 76 milljarðar forrit eftir 2014.
 Það er 686.000.000 tæki sem eru að fara að kaupa á þessu ári,
 svo er þetta þar sem fólk er að fara að vera að gera
  meirihluti viðskiptavinur tölvumál þeirra fara fram.
 

Ég var að tala við yfirmaður hjá Fidelity Investments
 nokkra mánuði síðan, og hann sagði að þeir sáu bara meiri umferð
 gera fjárhagslegar færslur frá grunn viðskiptavina sinna
 á hreyfanlegur umsókn sína en á heimasíðu þeirra,
 svo algengar fyrir netið í fortíðinni hefur verið
 stöðva vitna lager þinn, stjórna eigu þinni,
 og við erum í raun að sjá að í 2012 skipta yfir
 að vera meira ríkjandi á hreyfanlegur pallur.
 Vissulega ef það er að fara að vera allir glæpastarfsemi,
 allir illgjarn athafnasemi, það er að fara að byrja að einbeita sér hreyfanlegur pallur
 tímanum sem fólk skipta yfir í það.
 Ef þú horfir á the hreyfanlegur pallur,
 að líta á áhættuna á vettvang það er gagnlegt til að brjóta hann niður í mismunandi lögum,
 bara eins og þú myndir gera það á a skrifborð tölva,
 og þú hugsa um mismunandi lög, hugbúnaður, stýrikerfi,
 net lag, vélbúnaður lag, og að sjálfsögðu, það er veikleika á öllum þeim lögum.
 

Það sama gerist á farsíma.
 En farsíma, virðist það að sumir af þeim lögum eru verr.
 Fyrir einn, the net lag er meira vandamál á farsíma
 vegna þess að mikið af fólki hefur í starfi sínu eða heima
 hlerunarbúnað tengingar eða þeir hafa öruggar Wi-Fi tengsl,
 og með fullt af hreyfanlegur tæki sem þú ert augljóslega utan heimilis
 eða utan skrifstofu mikið, og ef þú ert að nota Wi-Fi þarna
 þú gætir verið að nota óörugg Wi-Fi tengsl,
 eitthvað sem er opinber Wi-Fi tengsl,
 svo þegar við hugsum um hreyfanlegur apps við verðum að taka tillit til
 að net umhverfi er áhættusamari fyrir þessar umsóknir
 þegar Wi-Fi er í notkun.
 Og þegar ég kem inn fleiri af the hreyfanlegur áhættu umsókn
 þú munt sjá hvers vegna það er mikilvægara.
 Það eru hættur á vélbúnaði stigi í farsímum.
 Þetta er svæði af áframhaldandi rannsókna.
 Fólk kalla þessar breiðband árásir eða baseband árásir
 þar sem þú ert að ráðast vélbúnaðar sem er að hlusta á útvarpið.
 

Þetta eru virkilega ógnvekjandi árásir vegna
 notandinn þarf ekki að gera neitt.
 Þú getur ýtt fullt af tækjum innan RF svið
 í einu, og það virðist eins og þegar þessar rannsóknir kúla upp
 það fljótt fær flokkuð þar
 fólk swoop í kring og segja: "Hér skaltu segja okkur um það, og vinsamlegast hætta að tala um það."
 There 'sumir rannsóknir gerast í breiðband svæði,
 en það virðist vera mjög uss uss.
 Ég held að það er meira af þjóðríki tegund rannsókna sem er að gerast.
 Svæði virka rannsóknir, þó er stýrikerfi lag,
 og aftur, þetta er öðruvísi en í skrifborð computing heiminum
 vegna þess að í farsíma rúm þú hefur þessar teymi fólks sem kallast Jailbreakers,
 og Jailbreakers eru öðruvísi en venjulegar varnarleysi vísindamenn.
 Þeir eru að reyna að finna veikleika í stýrikerfinu,
 en ástæðan sem þeir eru að reyna að finna veikleika er ekki til
 brjótast inn í tölvuna einhvers annars og málamiðlun það.
 Það er að brjótast inn í eigin tölvu.
 

Þeir vilja að brjótast inn í eigin farsíma þeirra, breyta stýrikerfi eigin farsíma þeirra er
 svo að þeir geti keyrt forrit að eigin vali
 og breyta hlutum með fulla stjórn leyfi,
 og þeir vilja ekki að segja seljanda um þetta. Þeir eru ekki eins og öryggi vísindamaður sem er hvítur hattur öryggi rannsóknir
 sem er að fara að gera ábyrga miðlun og segja seljanda um það.
 Þeir vilja til að gera þessa rannsókn, og þeir vilja til raunverulega birta hana
 í að nýta eða rót eða Flótti númer,
 og þeir vilja til að gera það beitt, eins og rétt eftir
 seljandi skip nýja stýrikerfinu.
 Þú hefur þetta andstæðinga samband
 með OS-stigi veikleikum á farsíma,
 sem ég held að sé alveg áhugavert, og einn staður við sjáum það
 er það sem gerir það svo að það er gott út nýta númerið þarna úti
 fyrir kjarna-stigi veikleikum,
 og við höfum séð þá raunverulega vera notaður við malware rithöfunda.
 Það er svolítið öðruvísi en PC heiminum.
 Og þá er það sem kemur síðas lag efst lag, umsókn lag.
 Það er það sem ég ætla að tala um í dag.
 

Önnur lög eru til, og öðrum lögum spila inn í það,
 en ég er mest að fara að tala um hvað er að gerast á notkunarstað lag
 þar númerið er í gangi í sandkassa.
 Það hefur ekki stjórn forréttindi.
 Það hefur að nota API búnaðarins,
 en samt, fullt af illgjarn athafnasemi og mikið af áhættu getur gerst á þeim lag
 því það er lag þar sem allar upplýsingar er.
 Apps geta nálgast allar upplýsingar um tækið
 ef þeir hafa heimildir,
 og þeir hafa aðgang að mismunandi skynjara á tækinu,
 GPS skynjara, hljóðnema, myndavél, hvað hefur þú.
 Jafnvel þó að við erum aðeins að tala um á notkunarstað lag
 við höfum mikla hættu þar.
 The annar hlutur sem er öðruvísi um farsíma umhverfi
 er öll stýrikerfi leikmenn, að það BlackBerry eða Android
 eða iOS eða Windows Mobile, hafa þeir allir fínt lökkuðum leyfi líkan,
 og þetta er eitt af þeim leiðum sem þeir reistu í stýrikerfi
 Sú hugmynd að það er ekki eins áhættusamt eins og þú heldur.
 Jafnvel þótt þú hafir alla tengiliði þína á það, öllum persónulegum upplýsingum,
 þú hefur myndir þínar, þú staðsetningu þína á það,
 þú ætlar að geyma banka pinna Fyrir Auto innskráningu á það, það er óhætt vegna þess að
 forrit verða að hafa ákveðnar heimildir til að fá á ákveðnum hlutum
 af þeim upplýsingum í tækinu, og notandinn þarf að koma fram með
 Þessar heimildir og segja allt í lagi.
 

Vandinn við það er notandinn alltaf segir allt í lagi.
 Sem öryggi manneskja, ég veit að þú getur hvetja notandann,
 segja eitthvað virkilega slæmt er að fara að gerast, þú vilt það til að gerast?
 Og ef þeir eru á hraðferð eða það er eitthvað virkilega tæla handan þess,
 eins og leikurinn er að fara að vera uppsett að þeir hafa verið að bíða eftir,
 þeir eru að fara að smella í lagi.
 Þess vegna segi ég á mynd minni hér bara láta mig kast fugla á svín þegar,
 og þú getur séð á mynd hér að það er dæmi um BlackBerry leyfi kassi.
 Það segir "Vinsamlegast stilla BlackBerry Travel umsókn leyfi
 eftir að smella á hnappinn hér fyrir neðan, "og í rauninni notandinn er bara að fara að segja
 setja heimildir og spara.
 Hér er Android hvetja þar sem það sýnir það,
 og það setur í raun eitthvað sem næstum líkist viðvörun.
 Það fékk einhverskonar ávöxtun skilti þar að segja net samskipta, símtals,
 en notandi er að fara að smella setja upp, ekki satt?
 Og þá er Apple eitt alveg innocuous.
 Það gefur ekki neina viðvörun.
 Það er bara Apple vildi eins og til nota núverandi staðsetningu þína.
 Auðvitað þú ert að fara að smella í lagi.
 

Það er þetta Fínmalaður leyfi líkan,
 og forrit verða að hafa farmskrá skrá þar sem þeir lýsa
 heimildir sem þeir þurfa, og það mun fá birtar notendum,
 og notandinn verður að segja að ég veita þessar heimildir.
 En við skulum vera heiðarlegur.
 Notendur eru bara að fara að alltaf að segja allt í lagi.
 Skulum taka fljótur líta á heimildir að þessi forrit eru að biðja um
 og sumir af the leyfi sem eru þar.
 Þetta fyrirtæki Praetorian gerði könnun á síðasta ári
 af 53.000 umsóknir greind í Android Market og 3. aðila mörkuðum,
 svo er þetta allt Android.
 Og meðal app óskað 3 leyfi.
 Sum forrit óskað 117 heimildir,
 svo augljóslega eru þetta mjög fínn grained og alltof flókið fyrir notendur að skilja
 ef þeir eru sett fram í þessu forriti sem þarf þessar 117 heimildir.
 Það er eins og the endir notandi leyfisveitandi samkomulag sem er 45 blaðsíður að lengd.
 Kannski fljótlega þeir hafa valkost þar sem það er eins og
 prenta heimildir og senda mér tölvupóst.
 

En ef þú líta á sumir af the toppur áhugaverðum leyfi
 24% af the apps sem þeir sækja úr 53.000
 óskað GPS upplýsingar úr tækinu.
 8% lesa tengiliði.
 4% sendi SMS, og 3% fengu SMS.
 2% hljóðupptökum.
 1% unnin úthringingar.
 Ég veit ekki.
 Ég held ekki 4% af apps í App Store raunverulega þörf til að senda SMS-skilaboðum,
 þannig að ég held að það er vísbending um að eitthvað untoward er að gerast.
 8% af the apps þarf að lesa listann. Það er líklega ekki nauðsynlegt.
 Einn af öðrum áhugaverðum hlutum um leyfi er
 ef þú hlekkur í sameiginlegum bókasöfnum inn umsókn þína
 þeir erfa heimildum forritsins,
 þannig að ef app þarf tengiliðalista eða þarf GPS staðsetningu til að virka
 og þú hlekkur í auglýsingu bókasafn, til dæmis,
 að auglýsingin bókasafn mun einnig vera fær til aðgangur the tengiliði
 og einnig að vera fær um að fá aðgang að GPS staðsetning,
 og the verktaki af the app veit ekkert um númer sem er í gangi í safni.
 Þeir eru bara að tengja það í því að þeir vilja til að monetize app þeirra.
 

Þetta er þar-og ég mun tala um nokkur dæmi um þetta með
 forrit sem heitir Pandora þar sem umsókn verktaki
 gæti unwittingly verið að leka upplýsingum
 frá notendum þeirra vegna bókasöfnum þeir hafa tengd inn
 Landmælingar landslag þarna úti, horfa á allar mismunandi apps
 sem greint hefur verið í fréttum sem illgjarn eða gera notendum eitthvað vildi ekki
 og þá eftirlitsmaður mikið af apps-við gerum mikið af truflanir tvöfaldur greiningu á hreyfanlegur apps,
 þannig að við höfum skoðað þá og horfði á kóða sig-
 við komum upp með það sem við köllum okkar topp 10 lista yfir áhættusöm hegðun í forritum.
 Og það er skipt niður í 2 köflum, illgjarn merkjamál,
 svo þetta eru slæmir hlutir að forrit gæti verið að gera það
 eru líklegri til að vera eitthvað að illgjarn einstaklingur
 hefur sérstaklega sett í umsókn, en það er svolítið loðinn.
 Það gæti verið eitthvað sem verktaki hugsar er fínn,
 en það endar að vera hugsun af eins illgjarn sem notandi.
 

Og þá er seinni hluti það sem við köllum erfðaskrá veikleika,
 og þetta eru hlutir þar sem verktaki í grundvallaratriðum er að gera mistök
 eða bara skilur ekki hvernig á að skrifa app á öruggan hátt,
  og það er að setja app notanda í hættu.
 Ég ætla að fara í gegnum þessa í smáatriðum og gefa nokkur dæmi.
 Til viðmiðunar, ég vildi að setja upp OWASP farsíma topp 10 listanum.
 Þetta eru 10 atriði sem hópur í OWASP,
 Open Web Umsókn Öryggi Project, hafa þeir vinnuhóp
 vinna á farsíma topp 10 listanum.
 Þeir hafa mjög frægur vefur topp 10 listanum, sem eru á topp 10
 riskiest hlutir sem þú getur haft í a vefur umsókn.
 Þeir eru að gera það sama fyrir farsíma,
 og listi þeirra er svolítið öðruvísi en okkar.
 6 út af 10 eru þau sömu.
 Þeir hafa 4 sem eru öðruvísi.
 Ég held að þeir hafa a lítill hluti af a mismunandi taka á
 hætta í hreyfanlegur apps þar sem mikið af málefnum þeirra
 eru í raun hvernig forritið er í samskiptum við bak-endir framreiðslumaður
 eða hvað er að gerast á bak-endir framreiðslumaður,
 ekki svo mikið forrit sem hafa áhættusöm hegðun sem eru bara einföld forrit viðskiptavinur.
 

Þeir í rauðu hér eru munurinn á milli 2 listum.
 Og sumir rannsókn lið mitt hefur í raun stuðlað að þessu verkefni,
 þannig að við munum sjá hvað gerist með tímanum, en ég held að takeaway hér er
 við í raun ekki vita hvað topp 10 listanum er í hreyfanlegur apps því
 þeir hafa í raun aðeins verið í kring fyrir 2 eða 3 árum síðan,
 og það hefur ekki verið nægur tími til að virkilega kanna stýrikerfum
 og hvað þeir eru færir um, og það hefur ekki verið nægur tími
 fyrir skaðlegum samfélag, ef þú vilt, að hafa varið nægan tíma
 reyna að ráðast á notendur í gegnum farsíma apps, svo ég ætlast þessir listar til að breyta svolítið.
 En nú eru þessir Top 10 Things að hafa áhyggjur óður í.
 Þú gætir furða á þráðlausa hlið Hvaðan illgjarn farsíma númer-
 hvernig virkar það fá á tækinu?
 North Carolina State hefur verkefni sem kallast Mobile Malware Þjóðarmorð Project
 þar sem þeir eru að safna eins mikið hreyfanlegur malware eins og þeir geta og greina það,
 og þeir hafa brotið niður innspýting vektor sem gsm malware notar,
 og 86% nota tækni sem nefnist breytinga,
 og þetta er aðeins á the Android pallur
 getur þú virkilega þessa breytinga.
 

Ástæðan er Android kóða er byggð með
 Java bæti merkjamál heitir Dalvik sem er auðvelt decompilable.
 Hvað slæmur strákur getur gert er
 taka Android umsókn, bakþýða það,
 setja illgjarn merkjamál þeirra, laun það,
 og þá setja það upp í App Store þykjast vera ný útgáfa þeirrar umsóknar,
 eða bara kannski breyta nafni forritsins.
 Ef það var einhvers konar leik, breyta nafninu örlítið,
 og svo er þetta umpökkun hvernig 86% af hreyfanlegur malware fær úthlutað.
 Það er annar tækni sem kallast endurnýja sem er
 mjög svipað breytinga, en þú í raun ekki setja illgjarn merkjamál inn
 Það sem þú gera er að setja í litlu endurnýja kerfi.
 Þú bakþýða, settu þér í uppfærslu kerfi, og þú laun það,
 og þá þegar app er í gangi það draga niður malware á tækinu.
 

Langflestir eru þessir 2 aðferðir.
 Það er í raun ekki mikið niðurhal ökuferð-bys eða keyra-við niðurhal á farsíma,
 sem gæti verið eins og phishing árás.
 Hey, skrá sig út this raunverulega kaldur vefsíðu,
 eða þú þarft að fara á þessa vefsíðu og fylla út þetta eyðublað
 að halda áfram að gera eitthvað. Þeir eru phishing árás.
 Það sama getur gerst á hreyfanlegur pallur þar sem þeir
 benda til a hreyfanlegur app til að hlaða niður, segja "Hæ, þetta er Bank of America."
 "Við sjáum að þú ert að nota þetta forrit."
 "Þú ættir að sækja þetta önnur forrit."
 Fræðilega, það gæti heppnast.
 Kannski það bara er ekki verið að nota nóg til að ákvarða hvort það er vel eða ekki,
 en fundu að minna en 1% af þeim tíma sem tækni er notuð.
 Meirihluti af the tími það er eiginlega bara endurhannað kóða.
 

Það er annar flokkur sem heitir standalone
 þar sem einhver byggir bara a vörumerki-nýr umsókn.
 Þeir byggja upp forrit sem þykist vera eitthvað.
 Það er ekki umpökkun um eitthvað annað, og það hefur the illgjarn merkjamál.
 Sem er notað 14% af tímanum.
 Nú vil ég að tala um hvað er illgjarn merkjamál gera?
 Eitt af fyrstu malware þarna úti
 þú gætir íhuga a spyware.
 Það njósnara í grundvallaratriðum á notanda.
 Það safnar tölvupóst, SMS skilaboð.
 Það kemur í ljós á hljóðnemanum.
 Það ávextinum þeim samskiptaupplýsingum bók, og það sendir það burt til einhver annar.
 Þessi tegund af spyware er á tölvunni,
 svo það skapar meistarann ​​vit fyrir fólk að reyna að gera þetta á farsímum.
 

Eitt af fyrstu dæmum um þetta var forrit sem heitir Secret SMS Replicator.
 Það var í the Android Marketplace a par af ár síðan,
 og hugmyndin var, ef þú hefðir aðgang að Android símann einhvers
 að þú vildir njósna um, svo kannski er það maki þinn
 eða Maki og þú vilt að njósna um texti skilaboð þeirra þinn,
 þú gætir sótt þetta APP og setja það upp og stilla það
 að senda SMS-skilaboð til þín með eintak
 af hverju SMS textaskilaboð sem þeir fengu.
 Þetta er augljóslega í brotum á app geyma skilmálar af þjónusta,
 og þetta var úr Android Marketplace innan 18 klukkustunda það að vera þarna,
 svo mjög lítill fjöldi fólks voru í hættu vegna þessa.
 Nú held ég ef forritið hét eitthvað kannski aðeins minna ögrandi
 eins Secret SMS Replicator það myndi sennilega hafa unnið mikið betur.
 En það var eins konar augljós.
 

Eitt af því sem við getum gert til að ákvarða hvort forrit hafa þessa hegðun sem við viljum ekki
 er að skoða kóðann.
 Þetta er reyndar mjög auðvelt að gera á Android vegna þess að við getum bakþýða apps.
 Á IOS þú getur notað disassembler eins IDA Pro
 að líta á það sem Apis app er að hringja og hvað það er að gera.
 Við skrifaði eigin tvöfaldur okkar truflanir þætti fyrir kóðann okkar
 og við gerum þetta, og svo hvað þú gætir gert er að þú gætir sagt
 er tækið að gera neitt sem er í grundvallaratriðum að njósna um mig eða mælingar mig?
 Og ég hef nokkur dæmi hér á iPhone.
 Þetta fyrsta dæmi er hvernig á að fá aðgang að UUID á símanum.
 Þetta er í raun eitthvað sem Apple hefur bara bannað fyrir nýjar umsóknir,
 en gamla forrit sem þú gætir hafa í gangi á símanum geta enn gert þetta,
 og þannig að einstakt heiti er hægt að nota til að fylgjast með á
 á mörgum mismunandi forritum.
 

Á Android, ég dæmi hér til að fá staðsetningu tækisins.
 Þú getur séð það ef að API símtalið er það sem app er rekja,
 og þú getur séð hvort það er að fá fína stað eða gróft staðsetningu.
 Og þá á the botn hér hef ég dæmi um hvernig á BlackBerry
 umsókn gæti opna póst í pósthólfið.
 Þetta eru eins konar hlutir sem þú getur athugað að sjá
 ef app er að gera þá hluti.
 Annað stór flokkur af illgjarn hegðun, og þetta er líklega stærsta flokki núna,
 Óheimilt er hringing, óleyfilega aukagjald SMS textaskilaboð
 eða óviðkomandi greiðslur.
 Annar hlutur sem er sérstakt við símann
 er tækið er boginn á símreikninginn,
 og þegar starfsemi gerast á símanum
 það getur búið gjöldum.
 Þú getur keypt það í gegnum síma,
 og þegar þú sendir iðgjald SMS skeyti sem þú ert í raun að gefa peninga
 til reikningseiganda í símanúmerið á hinni hliðinni.
 Þetta var sett upp til að fá hlutabréfa eða fá Daily Horoscope eða aðra hluti,
 en þeir geta verið sett upp til að panta vöru með því að senda SMS.
 Fólk gefa peninga til Rauða krossins með því að senda textaskilaboð.
 Þú getur gefið $ 10 þannig.
 

The árásarmaður, hvað þeir hafa gert er að þeir setja upp
 reikninga í erlendum löndum, og þeir embed in í the malware
 að síminn mun senda iðgjald SMS skilaboð,
 segja, nokkrum sinnum á dag, og í lok mánaðarins þú grein fyrir að þú hefur eytt
 tugir eða jafnvel hundruð dollara, og þeir ganga í burtu með peningana.
 Þetta var svo slæmt að þetta var mjög fyrstur hlutur sem Android
 Markaðstorg eða Google staðurinn-það var Android Marketplace á þeim tíma,
 og það er nú Google Play-það fyrsta sem Google byrjaði að haka við.
 Þegar Google byrjaði að dreifa Android Apps í app verslun sinni
 þeir sögðu að þeir voru ekki að fara að athuga fyrir neitt.
 Við munum draga apps þegar við höfum verið tilkynnt að hann hefur brotið skilmála okkar þjónustu,
 en við erum ekki að fara að athuga fyrir neitt. Jæja, um ári síðan það var svo slæmt við þetta aukagjald SMS skilaboð malware
 að þetta er mjög fyrstur hlutur þau byrjuðu að haka við.
 Ef app er hægt að senda SMS-skilaboðum
 þeir gaumgæfa frekar handvirkt þessi forrit.
 Þeir leita að API sem kalla þetta,
 og nú síðan Google hefur stækkað,
 en þetta var það fyrsta sem að þeir byrjuðu að leita að.
 

Sum önnur forrit sem gerði nokkrar SMS textaskilaboð,
 þetta Android Qicsomos, held ég að það er kallað.
 Það var núverandi atburði á farsíma þar sem þetta CarrierIQ kom út
 eins og spyware setja á tækinu við burðarefni,
 þannig að fólk vildi vita hvort síminn þeirra var í hættu vegna þessa,
 og þetta var ókeypis app sem prófað það.
 Jæja, auðvitað, hvað þetta app gerði var það sent iðgjald SMS skilaboðum,
 svo með því að prófa að sjá hvort þú ert sýkt af spyware
 þú hlaðið malware á tækinu.
 Við sáum það sama gerast á síðustu Super Bowl.
 Það var svikinn útgáfa af Madden fótboltaleik
 sem sendi aukagjald SMS skilaboðum.
 Það reyndi í raun að búa til láni net of á tækinu.
 Hér er ég með nokkur dæmi.
 Athyglisvert nóg, Apple var nokkuð klár,
 og þeir leyfa ekki forrit til að senda SMS skilaboð á alla.
 Engin app getur gert það.
 Þetta er frábær leið til að losna af öllum bekknum af varnarleysi,
 en á Android þú getur gert það, og að sjálfsögðu, á BlackBerry þú getur gert það líka.
 Það er athyglisvert að á BlackBerry allt sem þú þarft er Internet heimildir
 að senda SMS-skilaboð.
 

The annar hlutur í raun að við erum að leita
 þegar við erum að leita að sjá hvort eitthvað er illgjarn er bara hvers konar
 leyfisleysi net athafnasemi, eins líta á net athafnasemi
 The app er ætlað að hafa til að hafa virkni þess,
 og líta á þetta öðrum net athafnasemi.
 Kannski app til að vinna, þarf að fá gögn yfir HTTP,
 en ef það er að gera hlutina í tölvupósti eða SMS eða Bluetooth eða eitthvað svoleiðis
 Nú þegar app gæti hugsanlega verið illgjarn, þannig að þetta er annar hlutur sem þú getur athugað fyrir.
 Og á þessum mynd hér er ég með dæmi um það.
 Annar áhugaverður hlutur sem við sáum með malware gerðist aftur árið 2009,
 og það gerðist í a stór vegur.
 Ég veit ekki hvort það hefur gerst svo mikið síðan þá, en það var app
 að herma eftir öðru forriti.
 Það var sett af apps, og það var kallaður 09Droid árás,
 og einhver ákvað að það voru fullt af litlum, svæðisbundnum, miðskips banka
 sem ekki hafa forrit á netinu bankaþjónustu,
 Svo það sem þeir gerðu var að þeir byggt um 50 forrit á netinu bankastarfsemi
 að allt sem þeir gerðu var að taka inn notandanafn og lykilorð
 og sent þig til the website.
 Og svo þeir setja þetta allt upp í Google Marketplace,
 í Android Markaður, og þegar einhver leitaði að sjá hvort bankinn þeirra
 hafði forrit sem þeir myndu finna svikinn umsókn,
 sem safnað persónuskilríki sín og þá vísað þeim til þeirra website.
 Leiðin að þetta raunverulega gerðist-apps voru þarna upp fyrir nokkrum vikum,
 og það voru þúsundir og þúsundir niðurhal.
 

Leiðin þetta kom í ljós var einhver var having a vandamál
 með einn af the umsókn og þeir kallast bankanum sínum,
 og kölluðu þeir þjónustudeild lína bankanum sínum og sagði,
 "Ég er having a vandamál með hreyfanlegur bankastarfsemi umsókn þína."
 "Getur þú hjálpað mér?"
 Og þeir sögðu: "Við gerum ekki hafa a hreyfanlegur bankastarfsemi umsókn."
 Sem hófst rannsókn.
 Að bankinn heitir Google, og þá Google leit og sagði:
 "Vá, sama höfundur hefur skrifað 50 banka umsóknir," og tók þá alla niður.
 En vissulega gæti það gerst aftur.
 Þarna er listi yfir allar mismunandi bönkum hér
 sem voru hluti af þessu óþekktarangi.
 The annar hlutur sem app getur gert er til staðar HÍ öðru forriti.
 Meðan það er í gangi það gæti skjóta upp kollinum á Facebook HÍ.
 Það segir að þú þarft að setja inn notandanafn þitt og lykilorð til að halda áfram
 eða setja upp allir notandanafn og lykilorð UI fyrir a website
 að ef til vill notandinn notar bara til að reyna að plata notandann
 í að setja persónuskilríki þeirra inn
 Þetta er í raun beint samhliða af email phishing árás
 þar sem einhver sendir þér tölvupóst
 og gefur þér grundvallaratriðum a falsa UI fyrir a website
 sem þú hefur aðgang að.
 

The annar hlutur sem við að leita í illgjarn merkjamál er kerfi breytingar.
 Þú geta leita að öllum API símtöl sem krefjast rót forréttindi
 að framkvæma á réttan hátt.
 Breyting Web Proxy tækisins væri eitthvað að umsókn
 ætti ekki að vera fær um að gera.
 En ef umsókn hefur kóða í það til að gera það
 þú veist að það er líklega illgjarn umsókn
 eða mjög mjög líklegt til að vera illgjarn umsókn,
 og svo hvað myndi gerast er að app hefði einhverja leið vaxandi forréttindi.
 Það hefði einhver forréttindi stigvaxandi hetjudáð
 í umsókn, og svo þegar það stigmagna forréttindi
 það myndi gera þessi kerfi breytingar. Þú getur fundið malware sem hefur forréttindi stigvaxandi
 í það jafnvel án þess að vita hvernig forréttindi stigvaxandi
 hetjudáð er að fara að gerast, og það er gott, auðveld leið
 að leita að malware.
 DroidDream var líklega frægasta stykki af Android malware.
 Ég held að það áhrif um 250.000 notendur á nokkrum dögum
 áður en það var tekið eftir.
 Þeir endurhannað 50 svikinn forrit,
 setja þá í the Android app geyma,
 og í raun það er notað Android Flótti kóða til stigmagna forréttindi
 og síðan setja upp stjórn og eftirlit og snúa öll fórnarlömb
 í láni net, en þú gætir hafa fundist þetta
 ef þú varst að skönnun forrit og bara að leita að
 API símtöl sem þarf rót leyfi til að framkvæma á réttan hátt.
 

Og það er dæmi hér er ég sem er að breytast í umboð,
 og þetta í raun er aðeins í boði á Android.
 Þú sérð að ég ætla að gefa þér mikið af dæmum um Android
 því þetta er þar sem mest malware vistkerfi er
 því það er mjög auðvelt fyrir árásarmaður að fá illgjarn merkjamál
 í Android Markaður.
 Það er ekki svo auðvelt að gera það í Apple App Store
 vegna þess að Apple þarf verktaki að skilgreina sig
 og undirrita kóðann.
 Þeir athuga raun hver þú ert, og Apple er í raun scrutinizing forrit.
 Við sjáum ekki mikið af sönnum malware þar sem tækið er að fá í hættu.
 Ég mun tala um nokkur dæmi þar sem það er mjög næði sem er að fá léleg,
 og það er það sem er raunverulega að gerast á Apple tæki.
 Annar hlutur til að leita skaðlegum kóða, áhættusamt kóða í tæki
 er rökfræði eða tímasprengjur, og tímasprengjur eru líklega
 miklu auðveldara að leita en rökfræði sprengjur.
 En með tímasprengjur, hvað þú getur gert er að þú getur leitað
 stöðum í kóðanum þar sem tíminn er prófað eða hreinum tíma er litið fyrir
 Áður vissum virkni í forritinu gerist.
 Og þetta gæti verið gert til að fela starfsemina frá notanda,
 svo það er að gerast seint á kvöldin.
 DroidDream gerði allt starfsemi sína 11:00-08:00 að íslenskum tíma
 að reyna að gera það á meðan notandinn gæti ekki verið að nota tæki þeirra.
 

Önnur ástæða til að gera þetta er ef fólk er að nota atferlis forrits
 keyra app í sandkassa að sjá hvað hegðun forritsins er,
 þeir geta notað tíma-byggðar rökfræði á verkefnið
 þegar app er ekki í sandkassa.
 Til dæmis, sem app geyma eins og Apple
 keyrir forritið, en þeir sennilega keyri ekki hvert forrit fyrir, segjum, 30 daga
 áður samþykkt það, svo þú getur sett
 rökfræði í umsókn þína sem sagði, allt í lagi, bara að gera slæmur hlutur
 eftir 30 daga hefur farið við eða eftir 30 daga eftir birta dagsetningu umsóknar,
 og að geta hjálpað The illgjarn merkjamál fela frá fólki eftirlitsmaður fyrir það.
 Ef andstæðingur-veira fyrirtæki eru í gangi hlutina í sandboxes
 eða app verslunum sjálfir eru þetta getur hjálpað
 fela það frá þeirri skoðun.
 Nú, the bakhlið þess er að það er auðvelt að finna með truflanir greiningu,
 svo reyndar eftirlitsmaður kóðann sem þú getur leita að öllum þeim stöðum
 þar sem umsóknin prófar tímann og skoða þannig.
 Og hér er ég með nokkur dæmi um þessa 3 mismunandi kerfum
 hvernig tíminn getur verið merkt á um app framleiðandi
 svo þú veist hvað ég á að leita ef þú ert að eftirlitsmaður app statically.
 

Ég fór bara í gegnum allt fullt af mismunandi illgjarn athafnasemi
 sem við höfum séð í náttúrunni, en hver þau eru algengust?
 Það sama rannsókn frá North Carolina State Mobile Þjóðarmorð Project
 birt nokkrar upplýsingar, og það voru í raun 4 svæði
 að þeir sáu þar var margt á dagskrá.
 37% af the apps gerði forréttindi stigvaxandi,
 þannig að þeir höfðu einhvers konar Flótti kóða í það
 þar sem þeir reyndu að stigmagna forréttindi svo að þeir gætu
 gera API skipanir í gangi sem stýrikerfi.
 45% af the apps þarna úti gerði textaskeyti með aukagjaldi,
 svo er það a gríðarstór prósenta sem er að reyna að beint monetize.
 93% gerðu fjarstýringu, svo þeir reyndu að setja upp láni net, farsíma láni net.
 Og 45% uppskorið finna upplýsingar
 eins símanúmerum, UUIDs, GPS staðsetningu, notandanöfn,
 og þetta bætir upp til fleiri en 100 vegna þess að flestir malware reynir að gera nokkrar af þessum hlutum.
 

Ég ætla að skipta yfir í síðari hálfleik og tala um kóðann veikleika.
 Þetta er seinni hluti áhættusöm starfsemi.
 Þetta er þar í meginatriðum að verktaki er að gera villur.
 A lögmætur verktaki skrifa lögmæt app
 er að gera villur eða er ókunnugt um áhættu af the hreyfanlegur pallur.
 Þeir bara veit ekki hvernig á að gera örugga farsíma app,
 eða stundum framkvæmdaraðila er ekki sama um að setja notanda í hættu.
 Stundum hluti af viðskiptalíkani þeirra gæti verið
 uppskera persónulegar upplýsingar notanda.
 Það er tegund af öðrum flokki, og það er hvers vegna sumir af þessi illgjarn
 móti lögmætum byrjar að blæða yfir því að það er munur á skoðunum
 milli þess sem notandinn vill og hvað notandinn telur áhættusamt
 og hvað umsókn verktaki telur áhættusamt. Auðvitað, það er ekki gögn sem umsókn verktaki í flestum tilvikum.
 

Og svo að lokum, önnur leið þetta gerist er verktaki gæti tengja á
 sameiginlegt bókasafn sem hefur veikleika eða áhættusöm hegðun í það
 unbeknownst þeim.
 Fyrsti flokkur er viðkvæm gögn leka,
 og þetta er þegar app safnar upplýsingar
 eins og staðsetning, heimilisfang bók upplýsingar, eigandi upplýsingar
 og sendir það að slökkva á tækinu.
 Og þegar það er slökkt á tækinu, við vitum ekki hvað er að gerast með þær upplýsingar.
 Það gæti verið geymd insecurely af umsókn verktaki.
 Við höfum séð umsókn verktaki fá málamiðlun,
 og gögn sem þeir eru að geyma fær tekin.
 Þetta gerðist fyrir nokkrum mánuðum síðan að verktaki niður í Flórída
 þar sem gríðarlegur fjöldi af-það var iPad UUIDs og tæki nöfn
 voru leki vegna þess að einhver, held ég að það væri nafnlaus,
 krafa að gera þetta, braust inn netþjónum Þessi verktaki er
 og stal milljónir iPad UUIDs
 og nöfn tölva.
 Ekki mest áhættusamt upplýsingar,
 en hvað ef það væri geymslu notendanöfn og lykilorð
 og heimilisföng?
 Það er hellingur af forritum sem geyma svona upplýsingar.
 Hættan er þar.
 

The annar hlutur sem getur gerst er ef verktaki ekki að sjá
 að tryggja að gögn rás, og það er annar stór varnarleysi ég ætla að tala um,
 að gögn eru send í tær.
 Ef notandinn er á opinberum Wi-Fi net
 eða einhver er að sjúga upp í nefið á internetinu einhverstaðar
 götunni að gögn eru óvarinn.
 Einn mjög frægur tilvik af þessu leka upplýsingum gerðist með Panda,
 og þetta er eitthvað sem við rannsakað á Veracode.
 Við heyrðum að það var-ég held að það var Federal Trade Commission
 rannsókn að fara á með Panda.
 Við sögðum, "Hvað er að gerast þarna? Byrjum grafa í Panda umsókn."
 Og hvað við ákveðin var Pandora forritið safnað
 kyn og aldur þinn,
 og það nálgast einnig GPS staðsetningu þína, og Panda forritið
 gerði þetta fyrir það sem þeir sögðu var lögmætar ástæður.
 Tónlistin sem þeir voru að spila-Panda er tónlist á app-
 tónlistin sem þeir voru að spila var aðeins leyfi í Bandaríkjunum,
 svo þeir þurftu að stöðva til að fara með leyfi samninga þeirra sem þeir höfðu
 fyrir tónlist sem notandinn var í Bandaríkjunum.
 Þeir vildu einnig að fara með foreldra ráðgjöf
 um fullorðnum tungumál í tónlist,
 og svo er það frjálst program, en þeir vildu fara með það
 og ekki spilað skýr lyrics börnum 13 ára og yngri.
 

Þeir höfðu lögmætar ástæður fyrir að safna þessum gögnum.
 App þeirra hafði heimildir til að gera það.
 Notendur hélt að þetta væri lögmæt. En hvað gerðist?
 Þeir tengdir í 3 eða 4 mismunandi bókasöfnum auglýsingu.
 Nú allt í einu öll þessi auglýsinga bókasöfnum
 eru að fá aðgang að þessum sömu upplýsingum.
 Auglýsingin bókasöfnum, ef þú líta á kóðann í auglýsingunni bókasöfnum
 það sem þeir gera er sérhver auglýsing bókasafn segir
 "Er app minn leyfi til að fá GPS staðsetning?"
 "Ó, það er? Jæja, segðu mér GPS staðsetningu."
 Hver einasta auglýsing bókasafn gerir það,
 og ef app er ekki með GPS leyfi
 það mun ekki vera fær um að fá það, en ef það gerist, mun það fá það.
 Þetta er þar sem viðskipti líkan af auglýsingu bókasöfnum
 er öfugt við einkalíf notandans.
 Og það er verið rannsóknir þarna úti sem vilja segja ef þú veist aldri
 á mann og þú veist staðsetningu þeirra
 þar sem þeir sofa á nóttunni, því þú ert með GPS hnit þeirra
 meðan þeir kannski eru sofandi, þú veist nákvæmlega hver þessi manneskja er
 vegna þess að þú getur séð hvaða meðlimur þess heimilinu er þessi manneskja.
 Raunverulega er þetta greina að auglýsendur
 nákvæmlega hver þú ert, og það lítur út eins og það var lögmætur.
 Ég vil bara á tónlist mína, og þetta er eina leiðin til að fá það.
 

Jæja, verða við þetta.
 Við skrifuðum þetta upp í nokkrum bloggfærslum,
 og það kom í ljós að einhver frá Rolling Stone tímaritinu
 lesa eina af bloggfærslum okkar og skrifaði eigin bloggsíðu þeirra í Rolling Stone um það,
 og strax næsta dag Pandora hélt að það væri góð hugmynd
 að fjarlægja auglýsinguna bókasöfnum frá beitingu þeirra.
 Eins og langt eins og ég veit að þeir eru eini-þeir eiga hrós skilið.
 Ég held að þeir séu eina freemium tegund af app sem hefur gert þetta.
 Allar aðrar freemium apps hafa þetta sama hegðun,
 svo þú hefur fengið að hugsa um hvers konar gögn þú ert að gefa
 þessi freemium forrit því það er allt að fara til auglýsenda.
 Praetorian gerði einnig rannsókn um sameiginlegra bókasöfnum og sagði,
 "Við skulum líta á það sem hluti bókasöfn eru efst hluti bókasafna," og þetta var gögnin.
 

Þeir greind 53.000 apps,
 og númer 1 hluti bókasafn var AdMob.
 Það var reyndar í 38% umsókna þarna úti,
 svo 38% af þeim forritum sem þú ert að nota
 eru líklega uppskera persónuupplýsingar þínar
 og senda það til the net auglýsingu. Apache og Android voru 8% og 6%,
 og þá eru þessir hinna niður í botn, Google auglýsingar gustur,
 Mob City og Millennial Media,
 þetta eru allt auglýsingin fyrirtæki, og þá, Athyglisvert nóg,
 4% tengd í Facebook bókasafninu
 sennilega til að gera sannvottun í gegnum Facebook
 svo app gæti staðfesta Facebook.
 En það þýðir einnig fyrirtæki Facebook stjórna merkjamál
 sem er í gangi í 4% af Android hreyfanlegur apps þarna úti,
 og þeir hafa aðgang að öllum þeim gögnum sem þessi app hefur heimild til að sækja á.
 Facebook reynir fyrst og fremst að selja auglýsingar pláss.
 Það er viðskiptamódel þeirra.
 

Ef þú horfir á þetta allt vistkerfi með þessar heimildir
 og hluti bókasafna þú byrjar að sjá að
 þú hafa a einhver fjöldi af áhættu í því er talið er lögmætur umsókn.
 Sama svipað sem gerðist með Pandora
 gerðist með forrit sem heitir Path,
 og Path taldi sig vera hjálpsamur, vingjarnlegur verktaki.
 Þeir voru bara að reyna að gefa þér mikla reynslu notenda,
 og það kom í ljós að án skjótleiki notanda eða segja að notandinn eitthvað-
 og þetta gerðist á iPhone og á Android,
 á Pandora app var á iPhone og Android-
 að leiðin umsókn var grabbing alla netfangalistann þinn
 og senda það til Path bara þegar þú setja í embætti og ran the umsókn,
 og þeir vildu ekki segja þér frá þessu.
 Þeir héldu að það væri mjög gagnlegt fyrir þig
 að vera fær um að deila með öllum í símaskránni
 að þú ert að nota Path umsókn.
 

Jæja, augljóslega Path fannst þetta frábært fyrir fyrirtæki þeirra.
 Ekki svo mikill að notandanum.
 Þú verður að hugsa að það er eitt ef til vill unglingur
 er að nota þetta forrit og heilmikið þeirra af vinum eru þarna,
 en hvað ef það er forstjóri fyrirtækisins sem setur Path
 og þá er allt í einu þeirra allan netfangalistann þarna uppi?
 Þú ert að fara að fá fullt af hugsanlega dýrmætur upplýsingar um tengiliði
 fyrir fullt af fólki.
 A blaðamaður frá New York Times, þú might vera fær til fá símanúmer
 fyrir fyrrverandi forseta frá netfangalistann þeirra,
 svo augljóslega mikið af viðkvæmum upplýsingum verður flutt með eitthvað eins og this.
 Það var svo stór blakt um þetta sem Path afsökunar.
 Þeir breyta app þeirra, og það hafði áhrif á jafnvel Apple.
 Apple sagði, "Við erum að fara að neyða app seljendur til að hvetja notendur
 ef hann ætlar að safna allt heimilisfang bók sína. "
 

Það lítur út eins hvað er að gerast hér er
 þegar það er einn stór næði brot og það gerir fjölmiðla
 við sjá breytingar þarna úti.
 En auðvitað, það er annar hlutur út there.
 The LinkedIn umsókn ávextinum dagbókaratriði,
 en Apple er ekki að gera notandanum vera beðin um það.
 Dagbókaratriði geta haft viðkvæmar upplýsingar í þeim líka.
 Hvar ert þú að fara að draga línuna?
 Þetta er í raun eins konar An þróun staður
 þar er í raun ekki gott staðall þarna úti
 fyrir notendur að skilja þegar upplýsingar þeirra er að fara að vera í hættu
 og þegar þau eru að fara að vita að það er verið að taka.
 Við skrifaði app á Veracode heitir Adios,
 og í raun það leyfa þér að benda á app á iTunes möppuna
 og líta á öll forrit sem voru Uppskera fulla netfangalistann þinn.
 Og eins og þú getur séð á þessum lista hér, Angry Birds,
 AIM, AroundMe.
 Hvers vegna hjartarskinn Angry Birds þurfa netfangalistann þinn?
 Ég veit ekki, en það gerir einhvern veginn.
 

Þetta er eitthvað sem margir, margir forrit gera.
 Þú getur athugað kóðann fyrir þetta.
 Það er vel skilgreind API fyrir iPhone, Android og BlackBerry
 að fá á símaskránni.
 Þú getur mjög auðveldlega skoða fyrir þetta, og þetta er það sem við gerðum í adios umsókn okkar.
 Í næsta flokki, óörugg Næmur Gögn Geymsla,
 er eitthvað þar sem verktaki taka eitthvað eins og pinna eða reikningsnúmer
 eða lykilorð og geyma það í ljóst á tækinu.
 Jafnvel verra, þeir gætu geymt það á svæði á símanum
 sem er á heimsvísu aðgengilegt, eins og SD kort.
 Þú sérð þetta oftar á Android því Android gerir ráð fyrir SD kort.
 IPhone tæki ekki.
 En við sáum jafnvel þetta gerast í Citigroup umsókn.
 Heimabanka umsókn þeirra geymd reikningsnúmer insecurely,
 bara í ljóst, þannig að ef þú misst tækið,
 í raun að þú misst af bankareikningnum þínum.
 Þetta er ástæða þess að ég persónulega ekki gera bankastarfsemi á iPhone minn.
 Ég held að það er of áhættusamt núna að gera þessar tegundir af starfsemi.
 

Skype gerði það sama.
 Skype, auðvitað, hefur viðskiptajöfnuð, notandanafn og lykilorð
 að aðgangur að jafnvægi.
 Þeir voru að geyma allar þær upplýsingar í ljóst á farsímanum.
 Ég hef nokkur dæmi hér um að búa til skrár
 sem ekki hafa heimildir eða skrifa til diskur
 og hafa ekki allir dulkóðun gerast fyrir það.
 Þessi næsta svæði, óörugg Næmur Gagnaflutningsþjónusta,
 Ég hef einu kennd við þetta nokkrum sinnum, og vegna opinberra Wi-Fi
 þetta er eitthvað sem apps algerlega þarft að gera,
 og þetta er líklega það sem við sjáum bila mest. Ég myndi segja-Reyndar held ég að ég hef í raun gögn,
 en það er nærri helmingur hreyfanlegur umsókn
 skrúfa upp að gera SSL.
 Þeir bara ekki nota API rétt.
 Ég meina, allt sem þú hefur fengið að gera er að fylgja leiðbeiningunum og nota API,
 en þeir gera hlutina eins ekki athuga hvort það er ógilt vottorð á öðrum enda,
 ekki að athuga hvort hinn endinn er að reyna að gera siðareglur lækkunar árás.
 

The verktaki, þeir vilja fá kassann þeirra, ekki satt?
 Krafa þeirra er að nota þetta til að selja. Þeir hafa notað þetta til að selja.
 Krafan er ekki að nota þetta til að selja á öruggan hátt,
 og svo er þetta ástæðan fyrir öllum forritum sem nota SSL til að tryggja gögn
 eins og það er verið að senda burt tækið raunverulega þörf til að skoða
 til að tryggja sem var hrint í framkvæmd á réttan hátt.
 Og hér er ég með nokkur dæmi þar sem þú getur sjá umsóknareyðublað
 gæti verið að nota HTTP í stað HTTPS.
 Í sumum tilfellum apps vilja falla aftur til HTTP
 ef HTTPS er ekki að virka.
 Ég hef annað símtal hér á Android þar sem þeir hafa slökkt á vottorði,
 svo maður-í-the-miðja árás getur gerst.
 Ógild vottorð verði samþykkt.
 Þetta eru allt mál þar árásarmaður eru að fara að vera fær um að fá á
 sama Wi-Fi tengingu sem notanda og fengið aðgang að öllum gögnum
 sem er verið að senda í gegnum netið.
 

Og að lokum, síðasta flokkur sem ég hef hér er hardcoded lykilorð og lykla.
 Við sjáum reyndar mikið af forriturum að nota sömu kóðun stíl
 að þeir gerðu þegar þeir voru að byggja vefur framreiðslumaður umsókn,
 svo þeir eru að byggja upp Java miðlara forrit, og þeir eru hardcoding lykilinn.
 Jæja, þegar þú ert að byggja upp miðlari umsókn, já,
 hardcoding lykilinn er ekki góð hugmynd.
 Það gerir það erfitt að breyta.
 En það er ekki svo slæmt á miðlara megin því hver hefur aðgang að framreiðslumaður hlið?
 Aðeins kerfisstjórar.
 En ef þú tekur sömu kóða og þú hellti yfir til a hreyfanlegur umsókn
 nú allir sem hafa að hreyfanlegur umsókn hefur aðgang að hardcoded lykill,
 og við sjáum reyndar þetta mikið af sinnum, og ég hef nokkrar tölfræði
 á því hversu oft við sjáum þetta gerast.
 Það var reyndar í dæmi kóða sem MasterCard birt
 um hvernig á að nota þjónustu þeirra.
 Dæmið kóða sýndi hvernig þú myndir bara taka lykilorðið
 og setja það í hardcoded band þarna,
 og við vitum hvernig verktaki elska að afrita og líma kóðabútana
 þegar þeir eru að reyna að gera eitthvað, svo að afrita og líma kóðann
 sem þeir gáfu sem dæmi kóðann, og þú ert óörugg forrit.
 

Og hér höfum við nokkur dæmi.
 Þetta fyrsta er eitt sem við sjáum mikið þar sem þeir hardcode
 gögnin rétt í slóð sem fær send.
 Stundum sjáum við band Lykilorð = lykilorð.
 Það er nokkuð auðvelt að greina, eða band lykilorð á BlackBerry og Android.
 Það er reyndar mjög auðvelt að stöðva fyrir vegna þess að næstum alltaf
 framkvæmdaraðilinn nöfn breytan sem er að halda lykilorð
 sumir tilbrigði af lykilorð.
 Ég nefndi að við gerum truflanir greiningu á Veracode,
 þannig að við höfum greind nokkur hundruð Android og IOS forrit.
 Við höfum byggt fullt líkan af þeim, og við erum fær um að skanna þær
 fyrir mismunandi veikleika, sérstaklega varnarleysi Ég var að tala um,
 og ég hef nokkur gögn hér.
 68,5% af Android apps við skoðuðum
 hafði brotið dulmáls númer,
 sem fyrir okkur, getum við ekki uppgötva ef þú gert eigin dulritunarstjórneiningunni venja,
 ekki að það er góð hugmynd, en þetta er í raun að nota birt API
 sem eru á vettvang en að gera þá á þann hátt
 að dulritunarstjórneiningunni væri viðkvæmt, 68.5.
 Og þetta er fyrir fólk sem eru að senda okkur umsóknir þeirra í raun vegna þess að
 þeir hugsa það er góð hugmynd að gera öryggi prófa.
 Þetta eru þegar fólk sem eru sennilega að hugsa á öruggan hátt,
 svo það er sennilega enn verra.
 

Ég talaði ekki um stjórn lína fæða inndælingu.
 Það er eitthvað sem við stöðva fyrir, en það er ekki það áhættusamt mál.
 Upplýsingar leka, þetta er þar sem viðkvæm gögn eru send á tækinu.
 Við teljum að í 40% á umsóknum.
 Tími og ástand, eru þeir kapp ástand tegund málefni, yfirleitt frekar erfitt að nýta,
 svo ég þurfti ekki að tala um þetta, en við skoðuðum það.
 23% höfðu SQL innspýting málefni.
 A einhver fjöldi af fólk veit ekki að mikið af forritum
 nota a lítill lítill SQL gagnagrunn á bak endir þeirra til að geyma gögn.
 Jæja, ef þau gögn sem þú ert að grabbing yfir netið
 hefur SQL innspýting árás strengi í það
 einhver geta stofnað tækið í gegnum það,
 og svo ég held að við finnum um 40% af vefur umsókn hefur þetta vandamál,
 sem er a gríðarstór faraldur vandamál.
 Við finnum það 23% af þeim tíma á hreyfanlegur apps
 og það er líklega vegna þess að margir fleiri vefur umsókn nota SQL en farsíma.
 

Og þá sjáum enn nokkur kross-staður forskriftarþarfir, heimild málefni,
 og þá persónuskilríki stjórnun, það er þar sem þú hefur hardcoded lykilorðinu þínu.
 Í 5% umsókna sjáum við að.
 Og þá höfum við nokkur gögn á IOS.
 81% höfðu villu meðhöndlun málefni. Þetta er meira af kóða gæði vandamál,
 en 67% höfðu dulmáls málefni, svo ekki alveg eins slæm og Android.
 Kannski API eru svolítið auðveldara, sem dæmi númerin svolítið betur á IOS.
 En samt mjög hátt hlutfall.
 Við höfðum 54% með leka upplýsingum,
 um það bil 30% með stuðpúða stjórnun villur.
 Það er staður þar sem það gæti hugsanlega verið minni spilling málefni.
 Það kemur í ljós að það er ekki eins mikið vandamál fyrir hagnýtingu
 á IOS því allur kóðinn þarf að vera undirritað,
 þannig að það er erfitt fyrir árásarmaður að framkvæma handahófskennt kóðann á IOS.
 Kóða gæði, skrá traversal, en þá persónuskilríki stjórnun hér á 14,6%,
 svo verri en á Android.
 Við höfum fólk ekki meðhöndlun lykilorð rétt.
 Og þá tölugildi villur og biðminni flæða,
 þeir eru meira að fara að vera númer gæðamál á IOS.
 

Það var það fyrir kynningu mína. Ég veit ekki hvort við erum út á tíma eða ekki.
 Ég veit ekki hvort það er einhverjar spurningar.
 [Karlkyns] A fljótur spurning um sundrungu og Android markaði.
 Apple amk á pjatla.
 Þeir gera gott starf við að fá það út there en minna svo í Android rúm.
 Þú þarft næstum að Flótti símann til að halda núverandi
 með núverandi útgáfu af Android.
 Já, það er a gríðarstór vandamál og svo ef þér finnst um-
 [Karlkyns] Hvers vegna er ekki hægt að endurtaka það?
 

Ó, hægri, svo spurningin var hvað um sundrungu
 af stýrikerfi á the Android pallur?
 Hvernig virkar þessi áhrif á riskiness af þeim tækjum?
 Og það er í raun stórt vandamál vegna þess að það sem gerist er
 eldri tæki, þegar einhver kemur upp með jailbreak fyrir þessi tæki,
 raun er það forréttindi stigvaxandi, og þar sem stýrikerfið er uppfært
 einhver malware getur þá notað þessi varnarleysi að algerlega málamiðlun tækið,
 og hvað við erum að sjá á the Android er í því skyni að fá nýtt stýrikerfi
 Google hefur að setja út stýrikerfi, og þá Vélbúnaður framleiðandi
 þarf að aðlaga það og þá þarf flytjandinn að aðlaga það og bera það.
 Þú hefur í rauninni 3 hreyfanlega hluti hér,
 og það er beygja út að flugrekendur ekki sama,
 og vélbúnaður framleiðendur ekki sama, og Google er ekki danglaði þeim nóg
 að gera neitt, þannig að í raun meira en helmingur allra tæki þarna úti
 hafa stýrikerfi sem hafa þessir forréttindi stigvaxandi veikleika í þeim,
 og svo ef þú færð malware á Android tækinu þínu það er miklu meira vandamál.
 

Jæja, þakka þér kærlega.
 [Lófaklapp]
 [CS50.TV]