[セミナー] [デバイスの背後にディフェンディング：モバイルアプリケーションセキュリティ]
 [クリスWysopal] [ハーバード大学]
 [これはCS50である。] [CS50.TV]
 >>こんにちは。私の名前はクリスWysopalです。
 私は、CTOおよびVeracodeの共同創設者です。
 Veracodeは、アプリケーションセキュリティ会社です。
 私たちは、異なるアプリケーションのすべての種類をテストし、
 そして私は、今日の話をするつもりは、モバイルアプリケーションのセキュリティです。
 私の背景は私がセキュリティの研究を行ってきている
 非常に長い時間のために、おそらく限り誰約。
 私は90年代半ばに始まった、
 そしてそれはかなり面白かった時間だったので、
 私たちは、90年代半ばのパラダイムの変化がありました。
 突然すべての人のコンピュータのすべてがインターネットにフックアップされた、
 そして、我々は、Webアプリケーションの始まりを持っていた、
 そしてそれは私がそれから多くに​​焦点を当てたものです。
 それは興味深いです。
 今、私たちは、コンピューティングで何が起こっ別のパラダイム変化が
 どのモバイルアプリケーションへのシフトである。
 >>私はそれはそれは90年代後半にあった同じような時間のようなものだと感じ
 我々は、Webアプリケーションを調査し、同様の欠陥を発見したところ
 セッション管理のエラーおよびSQLインジェクション
 これは本当に前には存在しなかった、と突然のすべては、彼らはどこにでもあった
 Webアプリケーションでは、今、私が過ごす多くの時間
 モバイルアプリケーションを見て、野生でそこに何が起こっているかを見ている。
 モバイルアプリケーションは、実際に支配的なコンピューティング·プラットフォームになるだろうしている、
 あなたはセキュリティ業界にいるのであれば私たちは本当に多くの時間を費やす必要があり
 Webアプリケーションに焦点を当てた。
 2011年にダウンロードされた290億モバイルアプリがありました。
 これは、2014年までに760億のアプリであることが予測さだ。
 今年購入されようとしている6.86億デバイスがあります、
 人々がやっているとしているところこれがある
  彼らのクライアントコンピューティングの大部分は今後。
 >>私は、フィデリティ·インベストメンツの副社長に話していた
 数ヶ月前、彼は彼らはより多くのトラフィックを見て言った
 彼らの顧客基盤からの金融取引をしている
 彼らのウェブサイト上でより彼らのモバイルアプリケーションでは、
 その過去にWeb用の一般的な使用法は、されている
 、あなたの株価をチェックし、あなたのポートフォリオを管理し、
 そして我々は、実際にかけて2012スイッチにそれを見ている
 モバイルプラットフォーム上でより支配的であるために。
 確かにあらゆる犯罪行為があるように起こっている場合、
 任意の悪意のある活動は、それがモバイルプラットフォームに集中するために開始する予定だ
 時間をかけて、人々はそれに切り替えるように。
 あなたがモバイルプラットフォームを見てみると、
 プラットフォームのリスクを見て、それは異なる層にそれを打破するために便利です、
 あなたは、デスクトップコンピュータ上でそれを行うだろうと同じように、
 あなたは、異なる層、ソフトウェア、オペレーティングシステム、考える
 ネットワーク層、ハードウェア層、もちろんが、これらすべての層上に脆弱性があります。
 >>同じことがモバイル上で行われます。
 しかし、モバイル、それはこれらの層の一部がオフに悪化しているようだ。
 一つは、ネットワーク層は、携帯電話でより問題である
 多くの人々は彼らのオフィスや自宅に持っているので、
 接続は有線でも、彼らは、安全のWi-Fi接続を持っている、
 およびモバイルデバイスの多くでは、家の外で明らかにしている
 またはロット、オフィスの外に、そしてあなたは、Wi-Fiを使用している場合がある
 あなたが安全でないWi-Fi接続を使用している場合があり、
 公共のWi-Fi接続のもの、
 我々はモバイルアプリについて考えるとき私たちは考慮に入れる必要が
 ネットワーク環境では、これらのアプリケーションのためのリスクが高いであること
 Wi-Fiが使用されている場合。
 そして、私は、モバイルアプリケーションのリスクの詳細に入るとき
 それがより重要である理由あなたが表示されます。
 モバイルデバイス上のハードウェアレベルでのリスクがあります。
 これは現在進行中の研究分野である。
 人々は、これらのブロードバンド攻撃やベースバンドの攻撃を呼び出す
 どこでラジオを聴くのファームウェアを攻撃しています。
 >>これらは本当に怖い攻撃ですので、
 ユーザーは何もする必要はありません。
 あなたは、RF範囲内のデバイスの多くを打つことができる
 一度、それはこの研究はバブルアップするたびのように思える
 それはすぐにどこに分類されます
 人々は周りの急降下と言って​​、「ここでは、そのことについて教えて、それについて話して中止してください。 "
 ブロードバンド地域で起こっていくつかの研究があります、
 それは非常にハッシュハッシュのようです。
 私はそれが起こっている研究の国民国家の種類の詳細だと思う。
 活発な研究の領域は、しかし、オペレーティング·システム層であり、
 そして再び、これは、デスクトップコンピューティングの世界では異なる
 モバイル分野では、jailbreakersと呼ばれる人々のこれらのチームを持っている、ので、
 そしてjailbreakersは、通常の脆弱性の研究者とは異なります。
 彼らは、オペレーティングシステムの脆弱性を発見しようとしている
 しかし、彼らは脆弱性を見つけようとしている理由はことではない
 誰か他の人のマシンに分割し、それを危険にさらす。
 それは、自分のコンピュータに侵入しよう。
 彼らは自分の携帯電話に侵入したい>>、自分の携帯電話のオペレーティングシステムを変更する
 彼らは自分の好きなアプリケーションを実行できるように、
 そして、完全な管理権限を持つ状況を変える、
 彼らはこのことについて、ベンダーに伝えたくない。 彼らは、白い帽子のセキュリティ研究者であるセキュリティ研究者が苦手な方
 責任ある開示をして、それについて、ベンダーを教えしようとしている。
 彼らはこの研究をやってみたい、と彼らは実際にそれを公開したい
 不正利用やルートキットや脱獄コードでは、
 そして彼らは、右の後のように、戦略的にそれをやってみたい
 ベンダー出荷の新しいオペレーティングシステム。
 この敵対関係を持つ
 モバイル上のOSレベルの脆弱性と、
 私は非常に興味深いものであると思うし、一つの場所、我々はそれを参照してくださいどの
 良いエクスプロイト公開さコードがそこにありますように、それはそれなりさ
 カーネルレベルの脆弱性のため、
 私たちは、実際にマルウェア作成者によって使用されたものを見てきました。
 これは、PCの世界よりも少し違います。
 次いで最終層は、上部層、アプリケーション層である。
 それは私が今日について話をするつもりなのです。
 >>、他の層が存在し、他の層はその中にプレー
 しかし、私は主に、アプリケーション層で何が起こっているのかについて話をするつもりだ
 コー​​ドはサンドボックス内で実行されている。
 これは、管理者権限を持っていません。
 これは、デバイスのAPIを使用しなければならない
 それでも、悪意ある活動の多くは、リスクの多くは、その層で発生する可能性があります
 つまり、すべての情報がある層だから。
 アプリは、デバイス上のすべての情報にアクセスすることができます
 彼らが正しい権限を持っている場合は、
 彼らは、デバイス上の異なるセンサーにアクセスすることができ、
 GPSセンサ、マイク、カメラ、あなたが持っているもの。
 我々は、アプリケーション層での話をしているにもかかわらず、
 我々はそこに危険がたくさんある。
 モバイル環境についての違う他の事
 すべてのオペレーティングシステムの選手であり、それは、BlackBerryやAndroidも
 またはIOSまたはWindows Mobileは、それらはすべて、きめの細かいパーミッション·モデルを持っている
 これは、それらがオペレーティングシステムに組み込ま方法の一つである
 それはあなたが考えるほど危険ではないという考え。
 あなたがそこにすべての連絡先を持っているにもかかわらず、すべての個人情報は、
 あなたはそこにあなたの場所を持っている、あなたの写真を持って、
 あなたがそこに自動ログインのためのあなたの銀行ピンを保存している、それは安全だから
 アプリが特定の部分に取得する一定の権限を持っている必要があります
 デバイスの詳細については、使用者の提示する必要があります
 これらの権限と大丈夫と言う。
 >>それに伴う問題は、常にユーザーです大丈夫と言います。
 セキュリティ担当者として、私はあなたがユーザーにプロンプ​​トを表示することができます知っている、
 本当に悪い何かが起こるだろうと言う、あなたはそれを実現したいですか？
 そして、彼らは急いでいるか、それの反対側には本当に魅力的な何かがある場合には、
 ゲームのように、彼らが待ち望んでいたことがインストールされようとしている、
 彼らは大丈夫クリックするつもりだ。
 私はちょうど私がすでに豚に鳥を投げつけるましょうここに私のスライドに言うだからこそ、です
 あなたがここにブラックベリーの許可ボックスの例がありますスライドで見ることができる。
 それは、BlackBerry旅行アプリケーションのアクセス権を設定してください」と言う
 下のボタンをクリックした後、「基本的に、ユーザは単に言おうとしている
 アクセス権を設定して保存します。
 ここでは、物事を示しAndroidのプロンプトです、
 そしてそれは実際にはほとんどの警告のようなものを置きます。
 それは、そこに降伏記号と言って、ネットワーク通信、電話のようなものを持っている
 しかし、ユーザーが右、[インストール]をクリックしようとしている？
 して、アップルの1は完全に無害である。
 これは、警告の任意の種類を与えるものではありません。
 それはちょうどAppleがあなたの現在の場所を使用したいと思います。
 もちろん大丈夫クリックするつもりだ。
 >>このきめの細かいパーミッションモデルは、存在し
 そしてアプリは、彼らが宣言したマニフェストファイルを持っている必要があります
 彼らが必要とするアクセス権、およびそれがユーザに表示さを取得し、
 ユーザーは、私はこれらの権限を付与すると言う必要があります。
 しかし、ここでは正直言ってみましょう。
 ユーザーは単にいつも大丈夫言おうとしている。
 それでは、これらのアプリケーションが求めているの権限を簡単に見てみましょう
 とがある一部のアクセス権。
 この会社はプレトリアンは昨年の調査を行いました
 Androidの市場およびサードパーティの市場で分析53,000のアプリケーション、
 これは、すべてのAndroidです。
 平均アプリは3パーミッションを要求した。
 いくつかのアプリは、117のアクセス権を要求し、
 ので、明らかこれらはきめが非常に細かい、ユーザーが理解するための道は複雑すぎる
 彼らは、これらの117のアクセス権を必要とし、このアプリを提示している場合。
 これは、45ページの長さのエンドユーザー使用許諾契約書のようなものだ。
 多分すぐに彼らはそれがのようなものだオプションがあるでしょう
 アクセス権を印刷し、私にメールを送ってください。
 >>しかし、あなたはトップの興味深い一部のアクセス権を見れば
 彼らは53,000からダウンロードされたアプリの24％
 デバイスからのGPS情報を要求した。
 8％は連絡先をお読みください。
 4％がSMSを送信され、3％がSMSを受け取った。
 2％はオーディオを記録した。
 1％が発信コールを処理しました。
 知りません。
 私は、アプリケーションストア内のアプリの4％が実際にSMSテキストメッセージを送信する必要はないと思う
 私はそれが厄介な何かが起こっているというヒントだと思う。
 アプリの8％は、連絡先リストを読む必要がある。 それはおそらく必要はありません。
 権限に関するその他の興味深いことの一つは、
 あなたのアプリケーションに共有ライブラリにリンクする場合
 それらは、アプリケーションの権限を継承し、
 ので、あなたのアプリは、連絡先リストを必要とするか、機能するようにGPSの位置を必要とする場合
 あなたは、たとえば、広告ライブラリをリンク、
 その広告ライブラリには、連絡先にアクセスできるようになります
 また、GPSの場所にアクセスできるように
 アプリの開発者は、広告ライブラリで実行しているコードについて何も知らない。
 彼らは彼らのアプリを収益化したいので、彼らはちょうどそれを内にリンクしています。
 >>これはここで、私は、このいくつかの例について話します
 パンドラアプリケーション開発者と呼ばれるアプリケーション
 知らず知らずのうちに情報が漏洩する可能性があります
 そのユーザーからのため、彼らはインチリンクしたライブラリ
 すべての異なるアプリケーションを見て、そこに風景を調査
 ユーザーが望んでいない、悪意のある、またはやってものとしてニュースで報告されている
 してから、多くの検査のアプリを、私たちはモバイルアプリの静的バイナリ解析の多くを行う、
 私たちはそれらを検査し、コードを見てきました、それ自体、
 我々はアプリケーションで危険な行動の私たちのトップ10リストと呼んでいるものを思い付いた。
 そしてそれは、2節で、悪意のあるコードに分解さだ
 ので、これらのアプリがやっている可能性があることを悪いことであることを
 悪質な個々のものである可能性が高い
 特にアプリケーションに入れますが、それは少しあいまいですしています。
 それは、開発者が問題ありと考えているものになる可能性があり、
 それは、ユーザが悪意のあるとして考えられてしまう。
 >>その後、第2セクションでは、脆弱性をコーディング呼んで、
 これらは、開発者が基本的にミスをしているものです
 または単に安全にアプリケーションを作成する方法を理解していない、
  それはリスクのあるアプリのユーザーを入れている。
 私は詳細にこれらを通過し、いくつかの例を与えるつもりだ。
 参考までに、私は、OWASPモバイルのトップ10リストを設置したいと考えました。
 これらは、OWASPのグループ10の問題である
 オープンなWebアプリケーションのセキュリティプロジェクト、彼らはワーキンググループを持っている
 モバイルのトップ10リストに取り組んでいます。
 彼らはトップ10である非常に有名なウェブのトップ10リストを持っている
 最もリスクの高いものを使用すると、Webアプリケーションにすることができます。
 彼らは、モバイルのための同じことをやっている、
 とそのリストは我々のものとは若干異なっています。
 10点6は同じです。
 彼らは、異なる4を持っている。
 私は、彼らが別のテイクを少し持っていると思う
 モバイルアプリにおけるリスクどこ彼らの問題の多く
 アプリケーションがバックエンドサーバーに通信しているか実際にある
 または何がバックエンドサーバー上で起こっている、
 ただ簡単なクライアントアプリケーションである危険な行為がないほどのアプリ。
 こちら>>赤いものは2リスト間の相違である。
 そして、私の研究チームのいくつかは、実際には、このプロジェクトに貢献してきました、
 私たちは時間をかけて何が起こるかわかりますが、私はここでお持ち帰りだと思う
 私たちは本当にトップ10リストには、携帯アプリに何があるかわからないので、
 彼らは本当に今だけ2〜3年前から出回ってきた、
 本当にオペレーティングシステムを研究するのに十分な時間がなかった
 そして彼らがすることのできるだし、十分な時間がなかった
 言うなれば、悪質なコミュニティのために、十分な時間を費やしたのは
 モバイルアプリを使用してユーザーを攻撃しようとしているので、私はこれらのリストを少し変更することを期待しています。
 しかし、今のところ、これらは心配するトップ10の事柄である。
 あなたは、悪質なモバイルコードを行い、モバイル側に疑問に思うかもしれません
 どのようにデバイスに乗るのですか？
 ノースカロライナ州はモバイルマルウェアゲノムプロジェクトと呼ばれるプロジェクトがある
 ここで彼らは、彼らはできるだけ多くのモバイルマルウェアを収集し、それを分析している
 彼らは、モバイルマルウェアが使用する注入ベクトルを分解しました
 86％は、再パッケージと呼ばれる技術を使用
 これが唯一のAndroidプラットフォーム上にある
 あなたは本当にこの再パッケージを行うことができます。
 >>理由はAndroidのコードが使用して構築されている
 簡単decompilableあるのDalvikと呼ばれるJavaバイトコード。
 悪い男は何ができるのです。
 Androidアプリケーションを取る、それを逆コンパイル、
 彼らの悪質なコードを挿入し、それを再コンパイルし、
 して、そのアプリケーションの新しいバージョンであると主張するアプリケーションストアでそれを置く、
 あるいはもしかしたら、アプリケーションの名前を変更する。
 それは、ゲームのいくつかの並べ替えされた場合は、少し名前を変更、
 ので、この再パッケージングは​​、モバイルマルウェアの86％が分配されます方法です。
 あるアップデートと呼ばれる別の技術があります
 再パッケージと非常によく似ていますが、実際にインチ悪質なコードを入れないで
 何をすることで、小規模な更新のメカニズムに置かれます。
 、あなたが更新のメカニズムに入れ、逆コンパイル、そしてあなたはそれを再コンパイル
 して、このアプリは、デバイス上にマルウェアをプルダウンし実行しているとき。
 >>圧倒的に大多数は、それらの2技術である。
 携帯電話上で本当に多くのダウンロードドライブBYSまたはドライブバイダウンロードは、ありません
 フィッシング攻撃のようにすることができた。
 ねえ、これは本当にクールなウェブサイトをチェックアウト、
 または、このウェブサイトにアクセスして、このフォームに記入する必要があります
 何かを継続して維持する。 それらは、フィッシング攻撃している。
 同じことは、モバイルプラットフォーム上で発生する可能性がどこに
 ダウンロード言ってモバイル用アプリを指​​して「やあ、これはバンクオブアメリカです。 "
 "我々は、このアプリケーションを使用している参照してください。"
 "あなたは、このほかのアプリケーションをダウンロードする必要があります。"
 理論的には、それは仕事ができる。
 多分それはちょうど、それが成功だか否かを判定するのに十分な使用されていない
 これらは技術が使用される時間の1％未満であることを見出した。
 それは本当に、再パッケージ化されたコードの大部分の時間。
 >>スタンドアロンと呼ばれる別のカテゴリがあります
 誰かがちょうど真新しいアプリケーションを構築する場所。
 彼らは、何かあると主張しているアプリケーションをビルドします。
 それは何か他のものの再パッケージではありません、それは悪質なコードを持っています。
 その、時間の14％使われています。
 今私は、悪意のあるコードが何をしているかについて話をしたいですか？
 そこに最初のマルウェアの一つ
 あなたは、スパイウェアを検討可能性があります。
 それは基本的にユーザーにスパイ。
 それはメール、SMSメッセージを収集します。
 それは、マイクがオンになります。
 なお、アドレス帳を収穫する、それが他の誰かにそれを送る。
 スパイウェアのこのタイプは、PC上に存在し、
 人々は、モバイルデバイス上でこれを実行しようとするので、これは完璧な理にかなっています。
 >>これの最初の例の一つは秘密のSMSレプリケータというプログラムでした。
 それは、数年前にAndroidのマーケットプレースにあった
 あなたが誰かのAndroid携帯電話へのアクセスがあった場合にはアイデアがあった
 あなたはスパイするたかったので、多分それはあなたの配偶者のことを
 またはあなたの他の重要な、あなたは彼らのテキストメッセージをスパイしたい、
 あなたは、このアプリをダウンロードしてインストールして設定することもできます
 コピーとのあなたにSMSテキストメッセージを送信する
 彼らが得たすべてのSMSテキストメッセージの。
 これは明らかに、サービスのアプリケーションストア利用規約違反である
 これは、それがそこにあることの18時間以内にはAndroid Marketplaceから削除されました
 その人々の非常に小さな数は、このためリスクが高かった。
 プログラムが何かは多分少し挑発的と呼ばれていた場合には、今、私は思う
 秘密のSMSリプリケータのようにそれはおそらく、かなり良く働いているだろう。
 しかし、それは明らかのようなものだった。
 >>我々はアプリを我々はしたくないこの動作を持っているかどうかを判断するためにできることの一つ
 コー​​ドを検査することです。
 我々はアプリケーションを逆コンパイルすることができますので、これは実際にAndroid上で行うのは非常に簡単です。
 iOSの上では、IDA Proのような逆アセンブラを使用することができます
 アプリを呼び出していると、それが何をやっているAPIは何を見ている。
 我々は我々のコードのために私たち自身のバイナリの静的アナライザを書きました
 我々はこれを行うには、それで、あなたは何ができると、あなたが言うことができるである
 装置は、基本的に私をスパイか、私を追跡して何をするのでしょうか？
 そして、私はここに、iPhone上でいくつかの例があります。
 この最初の例では、電話機のUUIDをアクセスする方法である。
 これは、実際にAppleが単に新しいアプリケーションのために禁止されているものですが、
 しかし、あなたの携帯電話上で動作している可能性があります古いアプリケーションは、まだこれを行うことができ、
 となるように一意の識別子を使用を追跡するために使用することができる
 多くの異なるアプリケーション間で。
 

Androidでは、私はここでデバイスの位置を取得する例があります。
 あなたは、そのAPI呼び出しがある場合、そのアプリが追跡していることがわかります
 あなたはそれがうまく場所や粗い場所をなってきたかどうかを確認することができます。
 そして、ここ一番下に、私はどのようにBlackBerryでの例を持っている
 アプリケーションは、受信トレイ内の電子メールメッセージにアクセスする場合があります。
 これらはあなたが見て検査することができるものの一種である
 アプリはそれらの事をやっている場合。
 二大悪意のある動作のカテゴリ、これは現在、おそらく最大のカテゴリーであり、
 無許可のダイヤル、不正プレミアムSMSテキストメッセージがある
 または不正な支払い。
 電話のユニークだもう一つは
 デバイスは、課金アカウントにフックされている、
 や活動は電話で発生したとき
 それは料金を作成することができます。
 あなたが電話で物事を購入することができ、
 あなたはプレミアムSMSテキストメッセージを送信すると、あなたが実際にお金を与えている
 相手側の電話番号の口座名義人に。
 これらは、株価情報を取得したり、あなたの毎日の星占いや他のものを取得するように設定された、
 しかし、彼らはSMSテキストを送信することにより、製品を注文するように設定することができます。
 人々は、テキストメッセージを送信することにより、赤十字にお金を与える。
 あなたは10ドルをそのように与えることができます。
 >>彼らがやった攻撃者は、彼らが設定されている
 海外で占めており、彼らはマルウェアに埋め込む
 電話では、プレミアムSMSテキストメッセージを送信すること、
 と言う、日に数回、月の終わりにあなたが費やしてきた実感
 十または多分ドルの何百も、彼らはお金で離れて歩く。
 これはこれは非常に最初のものになるように、悪い得たことをアンドロイド
 市場やGoogleプレースでは、一度にアンドロイドマーケットプレースた
 それはGoogleのプレイ-Googleがチェック開始したことを、まず最初に、今だ。
 Googleは彼らのアプリケーションストアでAndroidアプリケーションを配布開始したとき
 彼らは、何をチェックするつもりはないと述べた。
 我々は、彼らがサービスの利用規約を破ってきた通知されたら、我々はアプリを引くでしょう、
 しかし、我々は何のためにチェックするつもりはない。 さて、約一年前には、このプレミアムSMSテキストメッセージのマルウェアに悪くなった
 これは、彼らがチェック始め、非常に最初のものだと。
 アプリは、SMSテキストメッセージを送信できる場合
 彼らはさらに、手動でそのアプリケーションを精査。
 彼らはこれを呼び出すAPIを探し、
 そして今、それ以来Googleは拡大している、
 しかし、これは彼らが探し始めた最初のものだった。
 >>いくつかのSMSテキストメッセージをしたいくつかの他のアプリ、
 このAndroidのQicsomos、私はそれが呼び出されたと思います。
 このCarrierIQが出てきた携帯からこの現在のイベントがありました
 スパイウェアなどの事業者がデバイス上に置く、
 その人は、自分の携帯電話は、これに脆弱だったかどうか知りたいと思った
 これはそれをテストし無料アプリだった。
 さて、もちろん、どのようなこのアプリがやったことは、それは、プレミアムSMSテキストメッセージを送った
 ので、あなたがスパイウェアに感染しているかどうかをテストして
 お使いのデバイスにマルウェアをロードしました。
 私たちは、同じことは、最後のスーパーボウルで発生を見た。
 マッデンフットボールの試合の偽のバージョンがありました
 それは、プレミアムSMSテキストメッセージを送った。
 これは、実際のデバイス上であまりにもボットネットワークを作成しようとしました。
 ここで私はいくつかの例があります。
 興味深いことに、Appleは、かなりスマートだった
 彼らは、アプリケーションがまったくのSMSテキストメッセージを送信することはできません。
 いいえアプリはそれを行うことはできません。
 つまり、脆弱性のクラス全体を取り除くのに最適な方法ですが、
 しかし、Android上であなたはそれを行うことができ、そしてもちろん、BlackBerryであなたもそれを行うことができます。
 これは、BlackBerryであなたが必要なのはインターネットのアクセス権であることは興味深い
 SMSテキストメッセージを送信します。
 >>他の事は本当に我々が求めていることを
 私たちは、何かに悪意があるかどうかを確認するために探しているときのただの一種である
 ネットワーク活動を見てのような不正なネットワーク活動、
 アプリは、その機能を有することがあると想定され、
 この他のネットワーク活動を見てください。
 おそらく動作するアプリは、HTTPを介してデータを取得する必要があり、
 それは、電子メールまたはSMSまたはBluetoothやそのような何かの上の事をやっている場合は、
 今ではアプリは、潜在的に悪意がなかったので、これはあなたが検査できる別のものである。
 そして、ここで、このスライドに、私はそれのいくつかの例があります。
 我々はマルウェアに見たもう一つの興味深い点は、2009年に戻って起こった
 そしてそれは大々的に起こった。
 それはそれ以来あまり起こったかどうかは知りませんが、アプリだった
 つまり、別のアプリケーションを偽装。
 そこにアプリのセットがあって、それが09Droid攻撃と呼ばれた、
 そして誰かが小さな地域、中規模銀行の多くがあったことを決定した
 オンラインバンキングアプリケーションを持っていなかったことを、
 それでは、彼らがしたことは、彼らが約50のオンラインバンキングアプリケーションを構築しました
 彼らがしたすべては、ユーザー名とパスワードを取るだったこと
 そしてウェブサイトにリダイレクトします。
 だから彼らは、Googleのマーケットプレースでこれらをすべて出す
 Androidのマーケットプレースでは、いつ、誰かが自分の銀行かどうかを確認するために検索さ
 彼らは偽のアプリケーションを見つけるだろう、アプリケーションを持っていた、
 自分の資格情報を収集して、自分のウェブサイトにそれらをリダイレクトした。
 これが実際にそのようになったが、アプリは、数週間までありました
 とダウンロードの何千もあった。
 >>これが明るみに出た道は、誰かが問題を抱えていたた
 アプリケーションの一つで、彼らは彼らの銀行と呼ばれる、
 そして彼らは、銀行の顧客サポート·ラインと呼ばれると、
 「私はあなたのモバイルバンキングアプリケーションに問題を抱えている。 "
 「あなたは私を助けることはできますか？ "
 そして彼らは「私たちは、モバイルバンキングアプリケーションを持っていない "と述べた。
 それは調査を開始した。
 そのバンクは、Googleと呼ばれ、Googleは見て、言った、
 「うわー、同じ著者は、50銀行のアプリケーションを書いている」と、それらをすべて降ろした。
 確かに、これは再び起こる可能性があります。
 すべての異なるバンクのリストがここにあります
 つまり、この詐欺の一部であった。
 アプリを実行できる他の事は、他のアプリケーションのUIを提示している。
 それは実行している間、それはFacebookのUIをポップアップ表示可能性があります。
 それはあなたが継続してユーザー名とパスワードに入れていると言う
 またはウェブサイトのための任意のユーザー名とパスワードのUIを立てる
 それ多分ユーザーは、ユーザーをだまししようとするだけで使用しています
 インチ資格情報を入れるに
 これは実際に電子メールのフィッシング攻撃のまっすぐ平行になる
 誰かがあなたの電子メールメッセージを送信場所
 そしてあなたのウェブサイトのため、基本的に偽のUIを提供します
 あなたがアクセス権を持っている。
 >>我々は悪意のあるコード内で探す他の事はシステム変更である。
 あなたは、root権限を必要とするすべてのAPI呼び出しを探すことができます
 正しく実行します。
 デバイスのWebプロキシを変更すると、アプリケーションがものになるだろう
 行うことができるべきではありません。
 しかし、アプリケーションはそれを行うためにそこにコードされている場合
 あなたはそれがおそらく悪質なアプリケーションのことを知っている
 悪意のあるアプリケーションであることも、非常に可能性が高い、
 そしてだから何が起こるかをアプリが特権をエスカレートする何らかの方法を持っているだろうということです。
 これは、いくつかの権限昇格を悪用しなければならない
 アプリケーション内の、そして、それが特権をエスカレートたら
 それは、これらのシステムの変更を行うだろう。 あなたが権限昇格を持つマルウェアを見つけることができます
 その中でもどのように権限昇格を知らなくても
 エクスプロイトは起こるだろう、それは素敵な、簡単な方法です
 マルウェアを探します。
 DroidDreamはおそらくAndroidのマルウェアの最も有名な作品だった。
 私はそれが数日かけて約250,000人のユーザーに影響を与えたと思います
 それが発見された前に。
 彼らは50偽のアプリケーションを再パッケージ化、
 Androidのアプリケーションストアに入れ、
 そして、基本的にそれが権限を昇格するためにAndroidの脱獄コードを使用
 してから、コマンドやコントロールをインストールし、すべての被害者を回す
 ボットネットに入れていますが、これを検出している可能性が
 あなたがアプリケーションをスキャンするだけ探している場合
 APIは、必要なルート権限が正しく実行することを呼び出します。
 >>私は、プロキシを変更している必要がここでの例あります、
 これは実際にAndroid上でのみ使用できます。
 あなたは、私はあなたにAndroid上での例をたくさん与えて見ることができます
 最もアクティブなマルウェアのエコシステムがどこにあるこれは、
 それは悪意のあるコードを取得するには、攻撃者のための非常に簡単なので
 Androidの市場に。
 これは、AppleのApp Storeにそれをすることは簡単ではありません
 Appleは自身を識別するために、開発者が必要なため、
 コー​​ドに署名する。
 彼らは実際にあなたが誰であるかを確認し、Appleは実際にアプリケーションを精査されている。
 我々は、デバイスが危険にさらさつつある真のマルウェアの多くが表示されません。
 私は、それが本当に危険にさらさばかりのプライバシーだいくつかの例についてお話します
 それは実際にAppleデバイス上で何が起こっているかです。
 悪質なコードを探すためにもう一つ、デバイス内の危険なコード
 ロジックや時間爆弾であり、時限爆弾は、おそらくです
 はるかに簡単に論理爆弾よりも探します。
 しかし、時限爆弾で、何を行うことができますことはあなたが見ることができるである
 時間がテストされたコードまたは絶対時間の場所が検索され
 アプリ内の特定の機能が起こる前に。
 これは、ユーザからその活動を隠すために行うことができる
 ので、夜遅く起こっている。
 DroidDreamは午後11時と午前8時現地時間のすべての活動を行いました
 ユーザーがデバイスを使用していない可能性がありながら、それをやろうとする。
 人々は、アプリケーションの動作分析を使用している場合は、>>これを行う別の理由は、
 アプリケーションの動作が何であるかを見るためにサンドボックスでアプリケーションを実行している、
 彼らは活動をする時間ベースのロジックを使用することができます
 アプリはサンドボックス内にないとき。
 Appleのようたとえば、アプリケーションストア
 アプリケーションを実行しますが、彼らはおそらく、30日、言う、のためのすべてのアプリケーションを実行しないでください
 それを承認する前に、ので、置くことができます
 さて、唯一の悪い事をすると言って、アプリケーションのロジック
 30日には、アプリケーションの公開日付から30日までに、または後になってから
 それはそれのために検査人から悪意のあるコードを非表示にすることができます。
 アンチウイルス企業は、サンドボックスで物事を実行している場合
 またはアプリストア自体はこれで解決することができている
 その検査からそれを非表示にします。
 今、それの裏返しは、それは静的解析で見つけるのは簡単だです
 そう、実際にあなたがすべての場所を探すことができ、コードを検査する
 アプリケーションは、時間をテストし、そのように検査場所。
 そして、ここで私は、これらの3つの異なるプラットフォーム上でいくつかの例があります
 時間は、アプリのメーカーで確認することができる方法
 だからあなたが静的にアプリケーションを検査している場合を探すために知っている。
 >>私はちょうど別の悪質な活動の全体の束を経て
 我々は、野生で見てきたが、どれが最も普及していることを？
 ノースカロライナ州立モバイルゲノムプロジェクトからの同じ研究
 いくつかのデータを公表し、4つの領域は基本的にありました
 多くのアクティビティがあったところ、彼らは見た。
 アプリの37％は、権限昇格を行いました
 ので、そこに脱獄コードの一部のタイプを持っていた
 彼らはことができるように権限を昇格しようとした場合、
 APIコマンドは、オペレーティングシステムとして動作してください。
 アプリの45％はそこに、プレミアムSMSをやった
 だから、直接収益化しようとしている巨大な割合です。
 93パーセントは、リモートコントロールをしたので、ボットネット、モバイルボットネットを設定しようとしました。
 そして45％が識別情報を採取
 電話番号、UUIDが、GPSの位置、ユーザアカウントのような、
 ほとんどのマルウェアはこれらの事のいくつかを試みるために、これは、100以上につながります。
 >>私は後半に切り替えて、コードの脆弱性について話をするつもりです。
 これは危険な活動の後半である。
 開発者がエラーをしている場合に、本質的である。
 正当なアプリケーションを書く正当な開発者
 エラーを作ったり、モバイルプラットフォームのリスクを知らないです。
 彼らはただ安全なモバイルアプリを作る方法がわからない、
 時には開発者が危険にユーザーを置くことを気にしない。
 時々、彼らのビジネスモデルの一部は次のようになります。
 ユーザーの個人情報を収集すること。
 つまり、他のカテゴリのようなものだし、だからこそ、この悪質な一部の
 意見の違いがあるので、正規の開始に対してオーバーブリード
 どのようなユーザーが望んでいるとどのようなユーザーが危険なと考えて間
 どのようなアプリケーション開発者は、危険なと考えています。 もちろん、ほとんどの場合、アプリケーション開発者のデータはない。
 >>そして最終的に、この問題が発生した別の方法を使用すると、開発者は、リンク可能性がある
 脆弱性を持っている共有ライブラリまたはその中に、この危険な行動
 彼らに知られずに。
 最初のカテゴリは、機密データの漏洩である、
 アプリの情報を収集するとき、これがある
 位置、アドレス帳情報、所有者情報等
 デバイスからそれを送信します。
 そして、それは、デバイスからのかつて、我々はその情報を使用して何が起こっているのか分からない。
 これは、アプリケーション開発者が安全でない記憶することができる。
 我々は、アプリケーション開発者が侵害を得る見てきました、
 そして、彼らは保存しているデータが取られます。
 これは、フロリダでダウン、開発者に、数ヶ月前に起こった
 の-IT膨大な数のiPadのUUIDとデバイス名だった場合、
 誰かが、私はそれが匿名だったと思うので、リークされた
 これを行うと主張し、この開発者のサーバーに侵入
 とiPadのUUID数百万を盗んだ
 とコンピュータ名。
 は、最も危険な情報、
 それは、ユーザー名とパスワードを保存した場合はどうすれば
 およびホームアドレス？
 情報のようなものを保存するアプリがたくさん出ている。
 危険性があります。
 >>開発者が世話をしていない場合に発生することができる他の事がある
 データチャネルを確保し、それは私が話をするつもりだもう一つの大きな脆弱性のために、
 そのデータは平文で送信されています。
 ユーザーは、パブリック·Wi-Fiネットワーク上にある場合
 または誰かがどこかでインターネットに盗聴されている
 データが露光されている経路に沿っ。
 この情報漏洩の一つ非常に有名なケースはパンドラで起こった
 これは我々がVeracodeで研究ものです。
 我々は、私はそれが連邦取引委員会だったと思いますがあったと聞いた
 パンドラで起こっ調査。
 私たちは、「何が起こっているの？のは、パンドラのアプリケーションに掘り始めましょう」と言った。
 そして我々が決定すると、収集されたパンドラのアプリケーションでした
 あなたの性別と年齢、
 そしてそれはまた、あなたのGPSの位置、およびパンドラのアプリケーションにアクセス
 彼らは正当な理由と述べた何のためにこれをした。
 彼らは、パンドラをしていた音楽は、音楽ストリーミングアプリ-IS
 彼らが遊んでいた音楽は唯一、米国で認可された、
 ので、彼らは彼らが持っていた彼らのライセンス契約を遵守することを確認しなければならなかった
 ユーザーが米国にあった音楽のため。
 彼らはまた、親の諮問に準拠したかった
 音楽の周りの大人の言語、
 そしてそれは自主的なプログラムですが、彼らはそれに準拠したかった
 と子供13歳以下に明示的な歌詞を果たしていない。
 >>彼らは、このデータを収集するための正当な理由があった。
 そのアプリは、それを行うための権限を持っていた。
 ユーザーは、これが正当だと思った。しかし、何が起こったのか？
 彼らは、3または4に別の広告ライブラリにリンクされた。
 今、突然すべてのこれらの広告ライブラリ
 この同じ情報へのアクセスを得ている。
 広告ライブラリには、広告ライブラリのコードを見れば
 彼らは何をやっていることはすべての広告ライブラリは言うです
 「私のアプリは、GPS位置を取得するための権限を持っていますか？ "
 「ああ、それは？さて、私のGPSの位置を教えていない。 "
 一つ一つの広告ライブラリはそれを行い、
 アプリは、GPSアクセス権がない場合
 それはそれを得ることができなくなりますが、それがない場合は、それを取得します。
 これは、広告ライブラリの場所のビジネスモデルである
 ユーザのプライバシーに対向している。
 そして、あなたは年齢を知っていれば言うだろうことをそこに研究が行われているの
 人のあなたがその場所を知っている
 あなたが彼らのGPS座標を持っているので、彼らは、夜寝る場所
 彼らはおそらく、寝ている間、あなたはその人が正確に誰が知っている
 あなたはその世帯のメンバーがその人であるかを決定することができるからです。
 本当にこれは、広告主に識別されている
 正確には、それが合法的だったように見えた人。
 私はちょうど私のストリーミング音楽をしたい、これはそれを得るための唯一の方法です。
 >>まあ、我々はこれを露呈した。
 我々は、いくつかのブログの記事でこれを書いている、
 それが判明し、そのローリング·ストーン誌の誰か
 私たちのブログの記事のいずれかを読んで、それについてローリングストーンで自分のブログを書きました、
 そして翌日Pandoraはそれは良いアイデアだと思った
 彼らのアプリケーションからの広告ライブラリを削除します。
 私の知る限りでは、彼らは、-彼らは賞賛されるべきだ。
 私は、彼らがこれを行っているアプリのみのフリーミアム型だと思う。
 他のすべてのフリーミアムのアプリは、これと同じ動作をし、
 だからあなたが与えているデータの種類について考えるようになってきました
 それはすべての広告主になるだろうので、これらのフリーミアムのアプリケーション。
 プレトリアンは、共有ライブラリについての研究を行なったし、言った、
 これは、データだった」のは、共有ライブラリが、一番上の共有ライブラリが何であるかを見てみましょう」。
 >>彼らは、53,000アプリを解析し、
 と数1の共有ライブラリがAdmob提供した。
 それは、そこにアプリケーションの38％で、実際にあった
 あなたが使用しているアプリケーションのため、38％
 おそらくあなたの個人情報を収集することしている
 と広告ネットワークに送信する。 ApacheとAndroidは8％、6％であった、
 そして、これらの他のものダウンボトム、Googleの広告、フラリーで、
 暴徒市と千年のメディア、
 これらは、その後、興味深いことにすべての広告会社であり、
 Facebookのライブラリにリンクされた4％
 おそらくFacebookから認証を行うには
 そのアプリはFacebookを利用して認証を行うことができます。
 しかし、それはまた、Facebookはコードを制御法人を意味し、
 つまり、そこにAndroidのモバイルアプリの4パーセントに実行している
 そして彼らはそのアプリがで取得する権限があることを、すべてのデータにアクセスすることができます。
 Facebookは、基本的に広告スペースを販売しようとします。
 つまり、彼らのビジネスモデルだ。
 >>あなたは、これらの権限を持つ、この生態系全体を見ると
 あなたはそれを見始めると共有ライブラリ
 あなたはおそらく正規のアプリケーションで、リスクがたくさんある。
 パンドラで起こっ同じ同じようなこと
 パスと呼ばれるアプリケーションで起こった、
 pathは、彼らは親切でフレンドリーな開発者がいると思っていた。
 彼らはただあなたに優れたユーザー体験を提供しようとしていた、
 それが判明し、そのユーザーに促すかをユーザーに知らせることなく、何でも - 
 これは、iPhone上とAndroidに起こった
 パンドラアプリは、iPhoneとAndroid、上にあっ​​た
 パスのアプリケーションは、アドレス帳全体をつかんでたこと
 そして、あなたがアプリケーションをインストールして実行したときだけパスにアップロード
 彼らはこのことについて教えてくれませんでした。
 彼らはそれがあなたのために本当に便利だと思った
 あなたのアドレス帳にあるすべての人々と共有できるように
 あなたはパスのアプリケーションを使用していること。
 >>まあ、明らかにパス、これは自分の会社のための素晴らしいと思った。
 ユーザーにそれほど大きくない。
 あなたは多分場合、それはティーンエイジャーの一つだと考えなければならない
 このアプリケーションを使用して、友人の彼らの数十がありますしているが、
 それはパスをインストールし、企業の最高経営責任者（CEO）だとしたらどう
 した後、突然彼らの全体のアドレス帳のすべてがそこにある？
 あなたが潜在的に価値のある連絡先情報の多くを取得するつもりだ
 多くの人々のために。
 ニューヨーク·タイムズ紙の記者は、電話番号を取得することができるかもしれません
 自分のアドレス帳からEX大統領のために、
 これは明らかに、機密情報の多くは、このようなもので転送されます。
 そのパスが謝罪し、これについてこのような大きなフラップがありました。
 彼らは、彼らのアプリケーションを変更し、と言っても、アップルに影響を与えた。
 Appleは我々ユーザーに要求するようにアプリケーションベンダーを強制するつもりだ」と述べた
 彼らは彼らの全体のアドレス帳を収集するつもりなら。 "
 >>それはここにある何が起きているかのように見えます
 そこに一つの大きなプライバシーの侵害です、それは、プレスを行うと
 我々はそこに変化を見る。
 しかし、もちろん、他のものはそこにあります。
 LinkedInのアプリケーションは、あなたのカレンダーエントリを収穫する、
 Appleは、ユーザーがそれについて求められることがありません。
 カレンダーエントリは、あまりにもその中に機密性の高い情報を持つことができます。
 どこで線を引くつもりですか？
 これは本当にちょっと進化場所です
 は良い標準はそこに実際にそこにいない場所
 自分の情報が危険にさらされてあることを行っているときに、ユーザーが理解するために
 彼らは知っているつもりだとき、それは取られています。
 我々は、アディオス呼ばVeracodeでアプリを書いた
 そして、基本的にそれはあなたのiTunesのディレクトリでアプリケーションを指すように許可
 そしてあなたの完全なアドレス帳を収穫されたすべてのアプリケーションを見てください。
 そして、あなたはここにこの一覧で見ることができるように、怒っている鳥、
 AIM、AroundMe。
 なぜ怒っている鳥は、あなたのアドレス帳が必要なのでしょうか？
 私は知らないが、それは何らかの形で行います。
 >>これは、多くの、多くのアプリケーションが行うものです。
 このためのコードを調べることができます。
 iPhone、AndroidとBlackBerryのための明確に定義されたAPIがあります
 アドレス帳で取得します。
 あなたは本当に簡単にこれを検査することができ、これは我々のアディオス·アプリケーションでやったことです。
 次のカテゴリ、安全でない機密データストレージ、
 開発者は、ピンまたは口座番号のようなものを取るものです
 またはパスワードとデバイス上で明確に保管してください。
 さらに悪いことに、彼らはそれが携帯電話上の領域に格納することが
 これは、SDカードのように、グローバルにアクセス可能です。
 AndroidはSDカードを可能にしているため、あなたは、Android上でより頻繁にこれを参照してください。
 IPhoneデバイスにはありません。
 しかし、私たちも、これはシティグループのアプリケーションで発生しました。
 安全でないアカウント番号を格納し、オンラインバンキングアプリケーション、
 ただ明確にあるので、あなたのデバイスを失った場合には、
 基本的に、あなたの銀行口座を失った。
 私は個人的に私のiPhone上で銀行をしないのはこのためです。
 私はそれがこのような活動を行うために、今あまりにも危険だと思います。
 

Skypeは、同じことをした。
 Skypeは、もちろん、ユーザー名とパスワードをアカウント残高を有している
 そのバランスにアクセスすること。
 彼らは、モバイルデバイス上で明確にすべての情報を格納した。
 私は、ファイルを作成するここではいくつかの例があります
 つまり、適切なアクセス権を持っているか、ディスクへの書き込みはありません
 あらゆる暗号化は、そのために起こる持っていない。
 この次の領域、安全でない機密データ伝送、
 私はこれを数回言及した、とあるため、公共のWi-Fiをしました
 これは絶対に行う必要があるアプリの何かである、
 これは我々が最もうまくいか見るものと考えられます。 私は言う、実際になり、私は、実際のデータを持っていると思う、
 それは半分のモバイルアプリケーションに近いです
 SSLをやって台無しに。
 彼らはただのAPIを正しく使用しないでください。
 私は意味、あなたがしなければ持っているすべてが、指示に従ってくださいとAPIを使用している
 しかし、彼らはのようなものは、もう一方の端の無効な証明書があるかどうかをチェックしない
 もう一方の端は、プロトコルダウングレード攻撃をしようとしているかどうかをチェックしない。
 >>開発者は、彼らは彼らのチェックボックスを取得したいですよね？
 彼らの要求は、販売するために、これを使用することです。彼らは販売するために、これを使用しました。
 要件は、安全に販売するためにこれを使用しない
 SSLを使用するすべてのアプリケーションは、データを保護するために、なぜので、これは
 それは、デバイスの電源を伝送されているとして、実際に検査する必要がある
 それが正しく実装されたことを確認する。
 そして、ここで私はあなたがアプリケーションを見ることができるいくつかの例があります
 HTTPではなくHTTPSを使用している可能性があります。
 場合によっては、アプリケーションは、HTTPにフォールバックします
 HTTPSは動作していない場合。
 私は、彼らが、証明書のチェックを無効にしたAndroid上で、ここで別のコールを持っている、
 そうman-in-the-middle攻撃が発生する可能性があります。
 無効な証明書が受け入れられます。
 これらは、攻撃者が乗ることができるようにしようとしているすべてのケースである
 すべてのデータのユーザーやアクセスと同じWi-Fi接続
 それは、インターネット経由で送信されています。
 >>そして最後に、私はここにある最後のカテゴリは、ハードコーディングされたパスワードとキーです。
 私たちは、実際に多くの開発者が同じコーディングスタイルを使用して参照してください。
 これらは、Webサーバーアプリケーションを構築したところ、彼らがしたこと、
 ので、Javaサーバアプリケーションを構築している、と彼らは鍵をハードコーディングしています。
 さて、あなたはサーバーアプリケーションを構築している際に、ええ、
 キーをハードコーディングすることはお勧めできません。
 それは困難で変化させることができる。
 誰がサーバ側へのアクセス権を持っているので、しかし、それはサーバ側で悪くありません？
 管理者だけです。
 しかし、あなたは同じコードを取り、あなたがモバイルアプリケーションにそれを注いている場合
 モバイルアプリケーションは、そのハードコーディングされたキーへのアクセス権を持っていることを持って、今誰もが、
 私たちは、実際に何度このロットを見て、私はいくつかの統計を持っている
 我々はこれが起こるを参照する頻度について。
 それは実際にマスターカードが公開サンプルコードにあった
 彼らのサービスを使用する方法について。
 サンプルコードでは、パスワードだけを取る方法を示しました
 そして右がハードコーディングされた文字列の中に入れ、
 そして我々は、開発者がコードスニペットをコピー＆ペーストするのが大好き方法を知っている
 彼らは何かをやろうとしているので、あなたは、コードスニペットをコピーして貼り付ける
 これらはサンプルコードとして与え、あなたが安全でないアプリケーションがある。
 >>そしてここで我々はいくつかの例があります。
 この最初の1は、我々は、彼らがハードコーディングたくさん見る1です
 送信されるURLにデータ権利。
 時々、私たちは、文字列のパスワード=パスワードを参照してください。
 それを検出するのは非常に簡単です、またはBlackBerryとAndroid上で文字列のパスワード]。
 それがために、ほとんどの場合のためにチェックして、実際には非常に簡単です
 開発者の名前がパスワードを保持している変数
 パスワードのいくつかのバリエーション。
 私たちはVeracodeで静的解析を行うことを述べ、
 私たちは、数百AndroidとiOSのアプリケーションを分析しました。
 我々は彼らの完全なモデルを構築してきたが、我々はそれらをスキャンすることができるしている
 別の脆弱性が、私が話していた、特に脆弱性のために
 そして私はここでいくつかのデータを持っている。
 我々は見てのAndroidアプリの68.5％
 暗号コードが壊れていた、
 独自の暗号化ルーチンを行った場合、私たちのために、我々は検出できない、
 それは良いアイデアですが、これは実際には公開済みのAPIを使用していないことが
 プラットフォーム上にあるが、そのような方法でそれらをやって
 暗号は、68.5脆弱であろうと。
 そして、これは実際に私達に彼らのアプリケーションを送っている人々のためのものですので、
 彼らはそれがセキュリティテストを行うには良いアイディアだと思う。
 これらは、おそらくすでにしっかりと考えている人々である
 ので、それはおそらく悪いです。
 >>私は、コントロールラインフィード注入について話しませんでした。
 それは我々が何かをチェックだが、それは問題で、その危険なではありません。
 情報漏洩は、これは機密データがデバイスをオフに送信されている場所です。
 私たちは、アプリケーションの40％にそれを発見した。
 時間と状態が、それらは、一般的に、利用することは非常に厳しいレースコンディション型の問題である
 私はそのことについて話をしなかったが、我々はそれを見た。
 23％は、SQLインジェクションの問題があった。
 多くの人が知らないことを多くのアプリケーション
 データを保存するために、そのバックエンドで小さな小さなSQLデータベースを使用しています。
 さて、もしあなたがネットワーク経由でつかんだデータ
 その中にSQLインジェクション攻撃の文字列を持っている
 誰かがそれを介してデバイスを危険にさらすことができ、
 そして私は、我々は、Webアプリケーションの約40％がこの問題を抱えて見つけると思う
 その巨大な流行の問題です。
 私たちは、モバイルアプリ内での時間の23％を発見
 より多くのWebアプリケーションはモバイルよりもSQLを使用しているので、それはおそらく。
 >>そして、我々はまだいくつかのクロスサイトスクリプティング、許可の問題を参照してください。
 あなたは、ハードコードパスワードを取得している場所と、その後資格情報管理は、それはです。
 アプリケーションの5パーセントに我々はそれを参照してください。
 そして、我々をiOS上のいくつかのデータを持っている。
 81％は、エラー処理の問題を有していた。 これは、コードの品質問題の詳細です、
 しかし、67％は、暗号化の問題があったので、Androidの場合ほど悪くない。
 多分APIはiOSでは、サンプルコードが少し良く少し容易になります。
 しかし、まだ非常に高い割合。
 私たちは、情報漏えいを54％持っていた、
 バッファ管理エラーの約30％。
 それは潜在的にメモリ破損の問題がある可能性の場所です。
 それはそれは搾取のための問題をできるだけ多くはないことが判明
 すべてのコードに署名する必要があるためiOSでは、
 ので、iOSの上で任意のコードを実行する攻撃者は難しい。
 コー​​ドの品質、ディレクトリトラバーサルが、ここでは14.6％で、その後の認証情報の管理、
 Android上でよりそう悪く。
 我々は、人々が正しくパスワードを処理していない持っている。
 して、数値のエラーとバッファオーバーフロー、
 それらはより多くのiOSでは、コードの品質上の問題であることを行っている。
 >>つまり、私のプレゼンテーションのためだった。我々は時間外かいないのであれば私は知らない。
 ご不明な点があるかどうかはわからない。
 [男性]断片化やAndroidマーケットの周りに簡単な質問を。
 Appleは、少なくともパッチ適用を所有しています。
 彼らは、Androidの空間でのに対して少ないので、そこにそれを得ることの良い仕事をする。
 あなたは、ほとんど現在の滞在するあなたの携帯電話を脱獄する必要があります
 Androidの現在のリリースで。
 あなたが約-思えばええ、それは大きな問題とそうだ
 [男性]なぜあなたはそれを繰り返すことができないのですか？
 >>右、ああ、そこで問題は、断片化の話って
 Androidプラットフォーム上のオペレーティングシステムの？
 どのようにそれは、それらのデバイスの危険性に影響しますか？
 何が起こるので、それは実際には大きな問題です
 古いデバイス、誰かがそのデバイスの脱獄を起動すると、
 本質的には、権限昇格だし、そのオペレーティングシステムが更新されるまで
 マルウェアは、その後、完全にデバイスを妥協するその脆弱性を使用することができます
 そして我々は、Android上で見ていると、新しいオペレーティングシステムを取得するためである
 Googleは、オペレーティングシステムを出していて、[ハードウェアの製造元
 それをカスタマイズすることがあり、その後、キャリアはそれをカスタマイズし、それを提供しなければならない。
 あなたは、基本的にこちら3可動部分を持っている
 それはキャリアが気にしないことを回すのは、
 およびハードウェアメーカーは気にしない、とGoogleは十分にそれらをつついていません
 そこに非常に本質的にデバイスの半分以上が、何もする
 それらの中にこれらの権限昇格の脆弱性を持っているオペレーティングシステムを持っている、
 あなたはあなたのAndroidデバイス上のマルウェアを取得する場合など、問題のはるかです。
 >>さて、どうもありがとうございました。
 [拍手]
 [CS50.TV]