[Seminārs] [Aizstāvot Aiz Device: Mobile Application Security]
 [Chris Wysopal] [Harvard University]
 [Tas ir CS50.] [CS50.TV]
 

Labdien. Mans vārds ir Chris Wysopal.
 Es esmu CTO un līdzdibinātājs Veracode.
 Veracode ir lietojumprogrammu drošības kompānija.
 Mēs pārbaudīt visas dažādu lietojumu veidu,
 un ko es esmu gatavojas runāt par šodien ir mobilo pieteikumu drošību.
 Mana pieredze ir Esmu bijis darot drošības pētniecību
 ļoti ilgu laiku, iespējams, ir apmēram tik ilgi, kamēr ikviens.
 Man sākās vidus 90s,
 un tas bija laiks, ka bija diezgan interesanti, jo
 mums bija paradigmas maiņu vidū 90s.
 Pēkšņi ikviena datora tika saliekts līdz ar internetu,
 un tad mums bija iesākums tīmekļa lietojumprogrammas,
 un tas, ko es vērsta uz daudz laika.
 Tas ir interesanti.
 Tagad mums ir vēl viens paradigmas izmaiņas notiek ar datoru,
 kas ir pāreja uz mobilo lietojumu.
 

Man šķiet, tas ir sava veida līdzīgu laiku, tad tas bija vēlu 90s
 kad mēs bijām izmeklējot tīmekļa lietojumprogrammas un atrast defektus, piemēram,
 sesija vadības kļūdas un SQL injekcijas
 kas patiešām nepastāvēja pirms, un pēkšņi viņi bija visur
 tīmekļa lietojumprogrammas, un tagad daudz laika pavadu
 meklē mobilo lietojumu, un meklē to, kas notiek, kas tur savvaļā.
 Mobile pieteikumi ir patiešām gatavojas būt dominējošā skaitļošanas platformu,
 tāpēc mums tiešām ir nepieciešams tērēt daudz laika, ja jūs šajā drošības nozarē
 koncentrējoties uz tīmekļa lietojumprogrammas.
 Tur bija 29 miljardi mobilo apps lejupielādētos 2011.
 Tas ir paredzams, ka 76 miljardiem apps 2014.
 Tur ir 686 miljoniem ierīču, kas gatavojas iegādāties šogad,
 tāpēc šī ir vieta, kur cilvēki gatavojas darīt
  lielākā daļa viņu klientu datoru, iet uz priekšu.
 

Es runāju ar viceprezidents Fidelity Investments
 Pirms pāris mēnešiem, un viņš teica, ka viņi vienkārši redzēja vairāk satiksmi
 veicot finanšu darījumus savu klientu bāzi
 par savu mobilo pieteikumu nekā uz viņu mājas lapā,
 tāpēc kopīga izmantošana Web pagātnē ir bijis
 pārbaudīt savu akciju cenas, pārvaldīt savu portfeli,
 un mēs patiešām redzam, ka 2012 pārslēgšanai
 būt dominējošā uz mobilo platformu.
 Protams, ja tur būs kāda noziedzīga darbība,
 jebkādu ļaunprātīgu darbību, tas notiek, lai sāktu koncentrējas uz mobilo platformu
 laika gaitā, jo cilvēki pārslēgties uz to.
 Ja paskatās uz mobilo platformu,
 apskatīt riskiem platformas tas ir lietderīgi sadalīt dažādos slāņos,
 tāpat kā jūs varētu darīt to uz galda datoru,
 un jūs domājat par dažādiem slāņiem, programmatūras, operētājsistēmas,
 tīkla slānis, aparatūras slānis, un, protams, tur ir ievainojamības uz visiem šiem slāņiem.
 

Tas pats notiek ar mobilo.
 Bet mobilo, šķiet, ka daži no šiem slāņiem ir sliktāk.
 Attiecībā uz vienu, tīkla slānis ir sarežģītāka par mobilo
 tāpēc, ka daudzi cilvēki ir viņu birojā vai mājās
 vadu savienojumus, vai arī tie ir droša Wi-Fi savienojumu,
 un ar daudz mobilo ierīču jūs acīmredzot ārpus mājas
 vai ārpus biroja daudz, un, ja jūs izmantojat Wi-Fi ir
 Jums varētu būt, izmantojot nedrošu Wi-Fi savienojumu,
 kaut kas ir publiskā Wi-Fi savienojumu,
 tad, kad mēs domājam par mobilo progr, mums ir jāņem vērā,
 ka tīkla vide ir riskantāka par šiem pieteikumiem,
 kad Wi-Fi tiek izmantots.
 Un, kad es nokļūt vairāk par mobilo lietojumprogrammu riskiem
 jūs redzēsiet, kāpēc tas ir vairāk svarīgi.
 Pastāv risks pie aparatūras līmenī mobilajās ierīcēs.
 Šī ir joma, par notiekošo izpēti.
 Cilvēki zvana šie platjoslas uzbrukumiem vai baseband uzbrukumiem
 kur jūs uzbrūk firmware, kas klausās radio.
 

Tie ir patiešām biedējošu uzbrukumiem, jo
 lietotājs nav darīt jebko.
 Jūs varat hit daudz ierīču robežās RF diapazonā
 uzreiz, un šķiet, piemēram, ja šis pētījums burbuļi augšu
 tas ātri kļūst sagrupētas
 cilvēki sagrābt apkārt un saka: "Lūk, pastāstīt mums par to, un, lūdzu, pārtraukt runāt par to."
 Ir daži pētījumi notiek platjoslas jomā,
 bet tas, šķiet, ir ļoti kuš kuš.
 Es domāju, ka tas ir vairāk par nacionālas valsts pētniecības veidiem, kas notiek tālāk.
 Platība aktīva izpēte, lai gan, ir operētājsistēma slāni,
 un atkal, tas ir atšķirīgs nekā desktop skaitļošanas pasaulē
 jo mobilo telpā esat šo cilvēku sauc par jailbreakers komandas,
 un jailbreakers ir savādāki nekā regulāri ievainojamību pētniekiem.
 Viņi mēģina atrast vājās vietas operētājsistēmu,
 bet iemesls, viņi cenšas atrast vājās nav
 ielauzties kāds cits mašīnu un apdraudēt to.
 Tas ir ielauzties savā datorā.
 

Viņi vēlas ielauzties savu mobilo, mainīt savu mobilā tālruņa operētājsistēma
 lai tās varētu darbināt pieteikumus pēc savas izvēles
 un mainīt lietas ar pilnu administratīvajām atļaujām,
 un viņi nevēlas pateikt pārdevējam par to. Viņi nav, piemēram, drošības pētnieks, kas ir balta cepure drošības pētnieks
 kas gatavojas darīt atbildīgu atklāšanu un pateikt pārdevējam par to.
 Viņi vēlas darīt šo pētījumu, un viņi vēlas, lai faktiski publicēt
 in izmantot vai rootkit vai jailbreak kods,
 un viņi vēlas to darīt stratēģiski, piemēram, uzreiz pēc
 pārdevējs kuģi jauno operētājsistēmu.
 Jums ir šī sacīkstes attiecības
 ar OS-līmeņa ievainojamības uz mobilo,
 kas, manuprāt, ir diezgan interesants, un viena vieta, mēs to redzam
 tas ir tā, ka tur ir laba publicēts izmanto kodu, kas tur
 par kodola līmeņa ievainojamības,
 un mēs esam redzējuši, kas faktiski izmanto malware rakstniekiem.
 Tas ir nedaudz atšķiras no PC pasaulē.
 Un tad gala slānis ir augšējā slāņa, pieteikums slāni.
 Tas ir tas, ko es esmu gatavojas runāt par šodien.
 

Citas slāņi pastāv, un citi slāņi spēlēt tajā,
 bet es esmu galvenokārt gatavojas runāt par to, kas notiek pie lietojumslānis
 ja kods darbojas sandbox.
 Tas nav jābūt administratora tiesībām.
 Tas ir izmantot API no ierīces,
 bet tomēr, ļaunprātīgu darbību, daudz un daudz risku var notikt šajā slānī
 jo tas ir slānis, kurā visa informācija.
 Lietojumprogrammas var piekļūt visu informāciju par ierīci
 ja viņiem ir vajadzīgās atļaujas,
 un viņi var piekļūt dažādām sensorus ierīcē,
 GPS sensors, mikrofons, kamera, ko jūs esat.
 Pat ja mēs tikai runājam par aplikācijas slāņa
 mums ir daudz risku tur.
 Otra lieta, kas ir atšķirīgs par mobilo sakaru vidē
 ir visi operētājsistēmas spēlētāji, tas būtu BlackBerry vai Android
 vai iOS un Windows Mobile, tie visi ir smalkgraudaina atļauju modeli,
 un tas ir viens no veidiem, ka tās iebūvētas operētājsistēmu
 ideja, ka tas nav tik riskanti kā jūs domājat.
 Pat ja jums ir visas jūsu kontaktus tur, visi jūsu personisko informāciju,
 Jums ir savas fotogrāfijas, jums ir jūsu atrašanās vietu tur,
 jūs uzglabātu jūsu bankas pin auto login uz tur, tas ir droši, jo
 progr ir jābūt noteiktas atļaujas nokļūt pie atsevišķām daļām
 informāciju par ierīci, un lietotājs ir jāiesniedz ar
 šīs atļaujas un teikt labi.
 

Problēma ar to, lietotājs vienmēr saka labi.
 Kā drošības persona, es zinu, jūs varat nekavējoties lietotājam,
 saka, kaut kas patiešām slikts notiks, jūs vēlaties, lai tas notiktu?
 Un, ja viņi ir steigā, vai tur ir kaut kas ļoti vilinošs, no otras puses, ka,
 piemēram, spēle būs jāuzstāda, ka tie esam gaidījuši,
 viņi gatavojas klikšķiniet labi.
 Tas ir iemesls, kāpēc es saku par manu slaidā šeit, tikai ļaujiet man mest putnus pa cūkām jau
 un jūs varat redzēt slaidā šeit tur ir piemēri, BlackBerry atļauju kastē.
 Tā saka: "Lūdzu noteikt BlackBerry Travel pieteikumu atļaujas
 noklikšķinot pogu zemāk, "un būtībā lietotājs ir tikai gatavojas teikt
 noteikt atļaujas un saglabāt.
 Lūk Android ātri, ja tas rāda lietas,
 un tas tiešām liek kaut ko, kas gandrīz izskatās kā brīdinājumu.
 Tas ir got veida ienesīguma zīmi tur sakot tīkla komunikāciju, telefona zvanu,
 bet lietotājs gatavojas klikšķi uzstādīt, vai ne?
 Un tad Apple viens ir pilnīgi nekaitīgs.
 Tas nedod nekādu brīdinājuma.
 Tas ir tikai Apple vēlētos izmantot savu pašreizējo atrašanās vietu.
 Protams, jūs gatavojas klikšķi labi.
 

Tur tas ir smalkgraudaina atļauja modelis,
 un progr ir jābūt acīmredzamu failu, kurā tie pasludināt
 atļaujas tie ir, un kas saņems rādīta lietotājiem,
 un lietotājam būs jāsaka, es piešķirt šīs atļaujas.
 Bet būsim godīgi.
 Lietotājiem ir tikai gatavojas vienmēr saku labi.
 Pieņemsim veikt ātri apskatīt atļaujām, ka šie progr ir lūdzot
 un daži no atļaujām, kas ir tur.
 Šis uzņēmums Praetorian darīja aptauju pagājušajā gadā
 no 53000 pieteikumiem analizēto Android Market un 3rd Party tirgos,
 tāpēc tas viss Android.
 Un vidējo app pieprasīja 3 atļaujas.
 Daži progr pieprasīja 117 atļaujas,
 tāpēc, protams, tie ir ļoti smalkgraudaina un pārāk sarežģīta, lai lietotājs varētu saprast
 ja viņi iepazīstināja ar šo app, kas vajadzīga šīs 117 atļaujas.
 Tas ir tāpat kā gala lietotāja licences līgumu, kas ir 45 lappuses garš.
 Varbūt drīz viņi būs iespēja, kur tas ir, piemēram,
 drukāt atļaujas un sūtīt man e-pastu.
 

Bet, ja jūs apskatīt dažas no top interesantu atļaujas
 24% no lietojumprogrammām, ka tie lejupielādēti no 53,000
 pieprasītā GPS informāciju no ierīces.
 8% lasīt kontaktus.
 4% nosūta SMS un 3% saņemto īsziņu.
 2% ierakstīti audio.
 1% apstrādāti izejošos zvanus.
 Es nezinu.
 Es nedomāju, ka 4% no progr, kas App Store tiešām ir nepieciešams, lai nosūtītu SMS īsziņas,
 tāpēc es domāju, ka ir mājiens, ka kaut kas nevēlams notiek.
 8% no progr ir nepieciešams, lai lasītu savu kontaktu sarakstu. Tas ir iespējams, nav nepieciešams.
 Viens no citas interesantas lietas par atļaujām ir
 ja jūs saite koplietošanas bibliotēkās savā pieteikumā
 tie pārmanto atļaujas pieteikumu,
 Tātad, ja jūsu app vajadzībām kontaktpersonu sarakstu vai nepieciešama GPS atrašanās vietu, lai darbotos
 un saiti uz reklāmas bibliotēkā, piemēram,
 ka reklāma bibliotēka būs iespēja piekļūt kontaktus
 un arī varēs piekļūt GPS atrašanās vietu,
 un attīstītājs app nezina neko par to kodu, kas ir kas darbojas reklāmas bibliotēkā.
 Viņi vienkārši savieno ka tāpēc, ka viņi vēlas, lai monetize savu app.
 

Tas ir, ja, un es ņemšu runāt par dažiem piemēriem, to ar
 pieteikumu sauc Pandora, ja pieteikumu attīstītājs
 var negribot tikt informācijas noplūdi
 no saviem lietotājiem, jo ​​bibliotēku tie esam saistīti collas
 Mērniecības ainavas, kas tur, apskatot visas dažādās progr
 kas ir ziņots ziņās kā ļaunprātīgu vai darot kaut ko lietotāji nevēlējās
 un pēc tam pārbaudot daudz progr, mēs daudz statisko bināro analīzi par mobilo progr,
 tāpēc mēs esam pārbauda tos un paskatījās kodā-
 mēs nāca klajā ar to, ko mēs saucam par mūsu top 10 sarakstu ar riskantu uzvedību pieteikumos.
 Un tas ir sadalīts 2 sekcijas, ļaunprātīgu kodu,
 tāpēc tās ir sliktas lietas, ka progr varētu darīt, ka
 varētu būt kaut kas ļaunprātīgs individuālu
 ir īpaši iekļauti pieteikumā, bet tas ir mazliet izplūdušas.
 Tas varētu būt kaut kas attīstītājs domā ir labi,
 bet tas beidzas ar to domāja, kā ļaunprātīgs lietotājs.
 

Un tad otrā sadaļa ir tas, ko mēs saucam par kodēšanas neaizsargātību,
 un tās ir lietas, kur attīstītājs pamatā tiek kļūdām
 vai vienkārši nesaprot, kā rakstīt app droši,
  un kas ir liekot app lietotājs riskam.
 Es iešu cauri šiem detalizēti un sniegt dažus piemērus.
 Par prejudiciālā jautājuma uzdošanu, es gribēju, lai safasēti OWASP mobilo top 10 sarakstā.
 Tie ir 10 jautājumi, grupa pie OWASP,
 Open Web Application Security Project, tie ir darba grupu
 strādā pie mobilā top 10 sarakstā.
 Viņi ir ļoti slavens web top 10 sarakstā, kas ir top 10
 riskantākie lietas, jūs varat būt tīmekļa lietojumprogrammu.
 Viņi dara to pašu mobilo,
 un to saraksts ir nedaudz savādāka nekā mūsējā.
 6 no 10 ir vienādi.
 Viņi ir 4, kas ir atšķirīgs.
 Es domāju, ka viņi ir mazliet atšķirīgu uzņemties
 risks mobilo progr, kur daudz viņu jautājumiem
 tiešām, kā pieteikums ir sazināties ar back-end servera
 vai to, kas notiek uz back-end serveri,
 ne tik daudz progr, kas ir riskantu uzvedību, kas ir tikai vienkāršas klientu progr.
 

Ar sarkanu tie šeit ir atšķirības starp 2 sarakstiem.
 Un daži no manas pētnieku komanda ir faktiski veicināja šo projektu,
 lai mēs redzētu, kas notiek laika gaitā, bet es domāju, ka takeaway šeit ir
 mēs īsti nezinām, ko top 10 saraksts ir mobilo progr, jo
 viņi tiešām ir tikai aptuveni 2 vai 3 gadus,
 un tur nav bijis pietiekami daudz laika, lai tiešām pētījumu operētājsistēmas
 un ko viņi spēj, un tur nav bijis pietiekami daudz laika
 par ļaunprātīgu sabiedrībai, ja vēlaties, lai ir pavadījuši pietiekami daudz laika
 mēģina uzbrukt lietotājiem, izmantojot mobilo progr, tāpēc es ceru, ka šie saraksti mainīt mazliet.
 Bet tagad, šie ir top 10 lietas, kas jāuztraucas.
 Jūs varētu brīnīties par mobilo pusē, kur nav ļaunprātīgu mobilo kodu
 kā tas nokļūt uz ierīci?
 North Carolina State ir projekts ar nosaukumu Mobile Malware genoma projekts
 ja tie ir savākt tik daudz mobilo malware, kā viņi var un analizējot to,
 un tie esam sadalīti injekcijas vektori, ka mobilo ļaunprātīgas izmantošanas,
 un 86% izmanto metodi, ko sauc par atkārtotu iepakošanu,
 un tas ir tikai uz Android platformas
 jūs varat patiešām darīt pārsaiņošanu.
 

Iemesls ir Android kods ir veidota ar
 Java baitu kodu sauc Dalvik, kas ir viegli decompilable.
 Kas slikts puisis var darīt, ir
 veikt Android pieteikumu, dekompilēt to,
 ievietot savu ļaunprātīgu kodu, recompile to,
 un tad ielieciet to uz augšu App Store, kas apliecina, ka jaunā versija, šo pieteikumu,
 vai vienkārši varbūt mainot nosaukumu pieteikumu.
 Ja tas bija sava veida spēli, nedaudz mainīt nosaukumu,
 un tāpēc šī pārsaiņošana kā 86% no mobilo ļaundabīgo programmu izpaužas izplatīts.
 Ir vēl viens paņēmiens, ko sauc par update, kas ir
 ļoti līdzīgs pārsaiņošanu, bet jūs faktiski nelieciet ļaunprātīgu kodu iekšā
 Kas jums jādara, ir jūs nodot nelielu atjaunināšanas mehānismu.
 Jums dekompilēt, jūs ievieš atjaunināšanas mehānismu, un jūs recompile to,
 un tad, kad app darbojas tas velk uz leju ļaunprātīgu programmatūru uz ierīci.
 

Līdz šim lielākā daļa ir tie 2 metodes.
 Tur nav īsti daudz lejupielāde drive-bys vai drive-by downloads par mobilajiem telefoniem,
 kas varētu būt, piemēram, pikšķerēšanas uzbrukumu.
 Hei, pārbaudiet šo ļoti atdzist mājas lapā,
 vai jums ir nepieciešams doties uz šo mājas lapā un aizpildīt šo formu
 saglabāt turpināt darīt kaut ko. Tie ir pikšķerēšanas uzbrukumiem.
 Tas pats var notikt uz mobilo platformu, kur viņi
 norāda uz mobilo app, lai lejupielādētu, saka: "Sveiki, šis ir Bank of America".
 "Mēs redzam jūs, izmantojot šo programmu."
 "Jums vajadzētu lejupielādēt šo citu pieteikumu."
 Teorētiski, tas varētu strādāt.
 Varbūt tas vienkārši netiek izmantots pietiekami, lai noteiktu, vai tas ir veiksmīgs vai nē,
 bet tie konstatēja, ka tiek izmantots mazāk nekā 1% no laika, ka paņēmiens.
 Laika vairākums, tas ir patiešām pārpako kodu.
 

Ir vēl viena kategorija sauc standalone
 ja kāds tikai būvē pavisam jaunu pieteikumu.
 Viņi veidot programmu, kas liecinātu par kaut ko.
 Tas nav pārdalot kaut kas cits, un tas ir ļaunprātīgu kodu.
 , Kas ir izmantoti 14% no laika.
 Tagad es vēlos runāt par to, kas ir ļaunprātīgs kods dara?
 Viens no pirmajiem ļaunprātīgu programmatūru, kas tur
 Jūs varētu apsvērt spiegprogrammatūru.
 Tā būtībā spiegu par lietotāju.
 Tas savāc e-pastus, īsziņas.
 Izrādās mikrofonu.
 Tā ražu kontaktu grāmatu, un tā nosūta to off kādam citam.
 Pastāv uz datora Šis spyware veids,
 tāpēc tas padara perfektu sajūtu, lai cilvēki varētu mēģināt to darīt, uz mobilajām ierīcēm.
 

Viens no pirmajiem piemēriem tas bija programma, ko sauc Secret SMS Replicator.
 Tas bija Android Marketplace pāris gadus atpakaļ,
 un doma bija, ja jums bija pieeja uz kādu Android tālruni
 ka jūs vēlētos, lai spiegot, tāpēc varbūt tas ir jūsu laulātais
 vai jūsu citi nozīmīgi, un jūs vēlaties, lai spiegot par savu teksta ziņojumu,
 Jūs varētu lejupielādēt šo app un instalējiet to un konfigurēt tā,
 nosūtīt SMS īsziņu, lai jūs ar kopiju
 par katru SMS īsziņu viņi dabūja.
 Tas, protams, ir par App Store pakalpojumu noteikumiem pārkāpumiem,
 un tas tika izņemts no Android Marketplace 18 stundu laikā tas ir tur laikā,
 tāpēc ļoti neliels skaits iedzīvotāju bija pakļauti riskam sakarā ar to.
 Tagad, es domāju, ja programma sauca kaut varbūt mazliet mazāk provokatīva
 piemēram Secret SMS Replicator tas droši vien būtu strādājuši daudz labāk.
 Bet tas bija sava veida acīmredzama.
 

Viena no lietām, ko mēs varam darīt, lai noteiktu, vai progr ir šo problēmu, ka mēs negribam
 ir pārbaudīt kodu.
 Tas ir tiešām ļoti viegli darīt uz Android, jo mēs varam dekompilēt progr.
 IOS varat izmantot disassembler, piemēram, IDA Pro
 aplūkot to, ko Apis app zvana, un ko tā dara.
 Mēs wrote mūsu pašu bināro statisko analizatoru mūsu kodu
 , un mēs to darām, un lai to, ko jūs varētu darīt, ir, jūs varētu teikt,
 nav ierīce, darīt kaut ko, kas būtībā ir spying par mani vai izsekošanas mani?
 Un man ir daži piemēri šeit uz iPhone.
 Šis pirmais piemērs ir, kā piekļūt UUID pa tālruni.
 Tas ir tiešām kaut kas Apple tikko aizliegta jauniem pieteikumiem,
 bet vecās programmas, kas, iespējams, esat darbojas jūsu tālrunī vēl var darīt,
 un tā, ka unikālo identifikatoru var izmantot, lai izsekotu jums
 starp daudziem dažādiem lietojumiem.
 

Par Android, man ir piemērs šeit iegūt ierīces atrašanās vietu.
 Jūs varat redzēt, ka, ja šī API zvans ir tur, ka app ir sekošanas,
 un jūs varat redzēt, vai tas kļūst smalku vietu vai rupju vietu.
 Un pēc tam apakšā šeit, man ir piemērs tam, kā uz BlackBerry
 pieteikums var piekļūt e-pasta ziņojumus iesūtnē.
 Tie ir sava veida lietām, jūs varat pārbaudīt, lai redzētu
 ja app dara šīs lietas.
 Otra lielākā kategorija ļaunprātīga rīcība, un tas ir iespējams, lielākais kategoriju tagad,
 ir neatļautu zvanu, neatļautu piemaksu SMS īsziņas
 vai nesankcionētu maksājumu.
 Vēl viena lieta, kas ir unikāls par tālruni
 ir ierīce ir saliekts uz norēķinu kontu,
 un tad, kad darbība notiek uz tālruni
 tas var radīt izmaksas.
 Jūs varat iegādāties lietas pa telefonu,
 un, kad jūs sūtīt premium SMS īsziņu jūs faktiski dodot naudu
 uz konta turētāja telefona numuru, no otras puses.
 Tās tika izveidotas, lai iegūtu akciju cenas vai jūsu ikdienas horoskops, vai citas lietas,
 bet tās var izveidot, lai pasūtītu preci, nosūtot īsziņu.
 Cilvēki dod naudu Sarkanajam Krustam, nosūtot īsziņu.
 Jūs varat dot 10 $, ka veidā.
 

Uzbrucēji, ko viņi ir darījuši, ir tie, kas izveidota
 kontiem ārvalstīs, un tie iegultu malware
 ka tālrunis sūtīs premium SMS īsziņu,
 saka, dažas reizes dienā, un beigās mēneša tu saproti, jūs esat pavadījis
 desmitiem vai varbūt pat simtiem dolāru, un viņi iet prom ar naudu.
 Tas ieguva tik slikti, ka tas bija ļoti pirmā lieta, ka Android
 Tirgū vai Google vietas, tas bija Android Marketplace laikā,
 un tas tagad ir Google Play-pirmā lieta, ka Google sāka pārbaudīt.
 Kad Google sāka izplatīt Android progr savā App Store
 viņi teica, ka viņi nav gatavojas, lai pārbaudītu kaut ko.
 Mēs pull progr, kad mēs esam bijuši paziņots tie esam sadalīti mūsu pakalpojuma noteikumus,
 bet mēs nebrauksim, lai pārbaudītu kaut ko. Nu, apmēram pirms gada tā ieguva tik slikti ar šo piemaksu SMS īsziņu ļaunprātīgu programmatūru
 ka šī ir pati pirmā lieta, ko viņi sāka pārbaudīt.
 Ja app var sūtīt SMS īsziņas
 viņi vēl manuāli izskata šo lūgumu.
 Viņi meklēt API, kas prasa to,
 un tagad kopš tā laika Google ir paplašinājies,
 bet tas bija pirmā lieta, ka viņi sāka meklē.
 

Dažas citas progr, kas bija daži SMS īsziņas,
 šis Android Qicsomos, es domāju, tas sauc.
 Tur bija pašreizējais pasākums par mobilo ja tas CarrierIQ iznāca
 kā spyware likts uz ierīci, pārvadātājiem,
 lai cilvēki gribēja zināt, ja viņu telefons ir neaizsargāti pret to,
 un tas bija bezmaksas app, kas pārbaudīts, ka.
 Nu, protams, tas, ko šī app darīja tas bija nosūtīts Premium SMS īsziņas,
 tāpēc, pārbaudot, lai redzētu, vai jūs esat inficēts ar spiegprogrammatūru
 Jūs ielādes ļaunprātīgu programmatūru uz jūsu ierīci.
 Mēs redzējām, tas pats notiek pēdējā Super Bowl.
 Tur bija viltus versiju Madden futbola spēli
 kas nosūtīts Premium SMS īsziņas.
 Tas faktiski mēģināja izveidot bot tīklu too ierīcē.
 Šeit man ir daži piemēri.
 Interesanti, ka Apple bija diezgan gudrs,
 un tie neļauj pieteikumus sūtīt SMS īsziņas vispār.
 Neviens app var darīt to.
 Tas ir lielisks veids, kā atbrīvoties no visa klase neaizsargātības,
 bet Android jūs varat darīt, un, protams, par BlackBerry jūs varat darīt to too.
 Tas ir interesanti, ka BlackBerry viss, kas jums nepieciešams, ir interneta atļaujas
 nosūtīt SMS īsziņu.
 

Otra lieta tiešām, ko mēs meklējam
 kad mēs meklējam, lai redzētu, ja kaut kas ir ļaunprātīga, ir vienkārši kaut kāda veida
 neatļautu tīklu darbību, piemēram, apskatīt tīkla darbību
 app ir paredzēts, ka ir jābūt tās funkcionalitāti,
 un apskatīt šo citu tīkla darbību.
 Varbūt app, lai strādātu, ir, lai saņemtu datus pa HTTP,
 bet, ja tas ir darot lietas, pa e-pastu vai SMS vai Bluetooth vai kaut kas tamlīdzīgs
 tagad, ka app, iespējams, varētu būt ļaunprātīga, tāpēc šī ir vēl viena lieta, jūs varat pārbaudīt, lai.
 Un šajā slaidā šeit man ir daži piemēri, kas.
 Vēl viena interesanta lieta, ko mēs redzējām ar ļaunprātīgu notika atpakaļ 2009,
 un tas notika liels veidā.
 Es nezinu, vai tas ir noticis tik daudz, kopš tā laika, bet tas bija app
 , kas uzdodas par citu programmu.
 Tur bija kopumu progr, un tas tika nodēvēts 09Droid uzbrukums,
 un kāds nolēma, ka tur bija daudz mazu, reģionālo, vidējiem bankām
 ka nebija tiešsaistes banku pieteikumus,
 tā, kādi viņi bija tie būvēti aptuveni 50 tiešsaistes banku pieteikumus
 ka viss, ko viņi darīja, bija jāņem lietotāja vārdu un paroli
 un novirzīt jūs uz tīmekļa vietni.
 Un tā viņi nodot šos visus uz augšu Google Marketplace,
 Android Marketplace, un, ja kāds meklēja, lai redzētu, ja viņu banka
 bija pieteikums viņi varētu atrast viltus pieteikumu,
 kas savākti savas pilnvaras, un pēc tam novirzīts tos savā mājas lapā.
 Veidā, ka tas patiesībā kļuva-progr bija tur uz pāris nedēļām,
 un tur bija tūkstošiem un tūkstošiem downloads.
 

Kā tas nāca gaismā, bija kāds bija, kam problēmas
 ar vienu no šiem pieteikumiem, un viņi sauc savu banku,
 un viņi sauc viņu bankas klientu atbalsta līniju un teica:
 "Es esmu, kam problēmas ar savu mobilo banku pieteikumu."
 "Vai jūs varat man palīdzēt?"
 Un tie sacīja: "Mums nav mobilo banku pieteikumu."
 , Kas sāka izmeklēšanu.
 Ka banka sauc par Google, un tad Google paskatījās un teica:
 "Wow, tas pats autors ir sarakstījis 50 bankas programmas," un ņēma tos visus uz leju.
 Bet, protams, tas varētu notikt vēlreiz.
 Tur ir saraksts ar visām dažādām bankām šeit
 , kas bija daļa no šīs scam.
 Otra lieta app var darīt, ir klāt UI cita pieteikuma.
 Kamēr tas darbojas tas varētu pop up Facebook UI.
 Tā saka, jums ir īstenot savu lietotāja vārdu un paroli, lai turpinātu
 vai safasēti jebkuru lietotāja vārdu un paroli UI, lai mājas lapā
 ka varbūt lietotājs izmanto tikai, lai mēģinātu triks lietotājs
 par liekot savas pilnvaras collas
 Tas ir patiešām taisni paralēli no e-pasta pikšķerēšanas uzbrukumiem
 ja kāds jums nosūta e-pasta ziņojumu
 un sniedz jums būtībā viltus UI mājas lapā
 ka jums ir piekļuve.
 

Cita lieta, ko mēs meklējam, kas ļaunprātīgu kodu, ir sistēma modifikācija.
 Jūs varat meklēt visu API zvanu, kas prasa root privilēģijas
 izpildīt pareizi.
 Mainot ierīces interneta proxy būtu kaut kas pieteikumu
 nevajadzētu būt iespējai to darīt.
 Bet, ja pieteikums ir kods, kas tur, lai to izdarītu
 jūs zināt, ka tas ir iespējams, ļaunprātīgu pieteikumu
 vai ļoti ļoti iespējams, ir ļaunprātīgs pieteikums,
 un tā, kas varētu notikt, ir tas, ka app būtu kaut kādā veidā pieaugošās privilēģijas.
 Tas ir dažas privilēģija eskalācija izmantot
 pieteikumā, un tad, kad tā saasinājās privilēģijas
 tas būtu jādara šīs sistēmas izmaiņas. Jūs varat atrast ļaunprātīgu programmatūru, kas ir privilēģija eskalācija
 tajā pat nezinot, kā privilēģiju eskalāciju
 izmantot notiks, un tas ir jauki, viegls veids
 meklēt ļaunprātīgu programmatūru.
 DroidDream bija iespējams slavenākajiem gabals Android ļaunprātīgu programmatūru.
 Es domāju, ka tas skar apmēram 250,000 lietotājiem dažu dienu laikā
 Pirms tam tika konstatēts.
 Viņi atkārtoti iesaiņot 50 viltus programmas,
 viņus Android App Store,
 un galvenokārt to izmanto Android jailbreak kodu izplatīties privilēģijas
 un pēc tam instalēt komandu un kontrolēt, un pārvērst visu upurus
 uz botu tīklu, bet jūs varētu būt atklāts šī
 ja jūs skenēšanas pieteikumu un tikai meklē
 API zvani, kas nepieciešams root atļauju izpildīt pareizi.
 

Un tur ir piemērs, šeit man ir kas maina proxy,
 , un tas faktiski ir pieejama tikai Android.
 Jūs varat redzēt, es esmu sniedzot jums daudz piemēru par Android
 jo tas ir tas, kur visaktīvākā malware ekosistēma ir
 jo tas ir ļoti viegli, lai uzbrucējs saņemtu ļaunprātīgu kodu
 uz Android Marketplace.
 Tas nav tik viegli to darīt, ka Apple App Store
 jo Apple prasa izstrādātājiem, lai identificētu sevi
 un paraksta kodu.
 Viņi faktiski pārbaudīt, kas jūs esat, un Apple ir faktiski pieteikumu izskatīšanas.
 Mēs neredzam daudz patiesu ļaunprātīgu programmatūru, ja ierīce kļūst apdraudēta.
 Es runāšu par dažiem piemēriem, kur tas ir patiešām privātumu, kas ir kļūst apdraudēta,
 un tas, kas īsti notiek uz Apple ierīci.
 Vēl viena lieta, lai meklētu ļaunprātīgu kodu, riskants kods ierīcēs
 ir loģika vai laika bumbas un bumbas ar laika degli, iespējams,
 daudz vieglāk meklēt nekā loģika bumbas.
 Bet ar laika bumbām, ko jūs varat darīt, ir varat meklēt
 vietas kodu, kur laiks tiek pārbaudīts, vai absolūtu laiku tiek meklēti
 Pirms dažiem funkcionalitāte app notiek.
 Un tas varētu tikt darīts, lai slēptu šīs darbības no lietotāja,
 tāpēc tas notiek vēlu naktī.
 DroidDream darīja visu savu darbību 11:00-08:00 pēc vietējā laika
 mēģināt to darīt, kamēr lietotājs varētu nebūt, izmantojot savu ierīci.
 

Vēl viens iemesls, lai to izdarītu, ir, ja cilvēki, izmantojot uzvedības analīzi pieteikumu,
 darbojas app smilšu kastē, lai redzētu, kāda uzvedība pieteikuma,
 viņi var izmantot laiku balstīta loģika, lai veiktu darbību
 ja app nav sandbox.
 Piemēram, app veikala, tāpat kā Apple
 vada programmu, bet tie, iespējams, nevar palaist katru pieteikumu, teiksim, 30 dienas
 pirms tā apstiprināšanas, lai jūs varētu nodot
 loģika jūsu pieteikumu, kas teica, labi, tikai to, ka slikti
 pēc 30 dienām ir pagājis, vai pēc 30 dienām pēc publicē pieteikuma iesniegšanas dienas,
 un kas var palīdzēt ļaunprātīgu kodu slēpt no cilvēkiem, pārbaudot to.
 Ja anti-virus uzņēmumi darbojas lietas smilšu kastes
 vai pašu app veikali ir tas var palīdzēt
 slēpt, ka no šīs pārbaudes.
 Tagad, otra puse ir, ka tas ir viegli atrast ar statisko analīzi,
 tā faktiski pārbaudot kodu, jūs varat meklēt visās vietās
 ja pieteikums testus laiku un pārbaudīt, ka veidā.
 Un šeit man ir daži piemēri par šīm 3 dažādām platformām
 cik laika var pārbaudīt, ko app maker
 lai jūs zināt, ko meklēt, ja jūs pārbaudīt app statiski.
 

Es devos cauri visai ķekars dažādu ļaunprātīgām darbībām
 ka mēs esam redzējuši savvaļā, bet kuras ir visvairāk izplatīta?
 Tas pats pētījums North Carolina State Mobilais genomu Project
 publicēti daži dati, un tur būtībā bija 4 zonas
 ka viņi redzēja, kur bija daudz darbību.
 37% no progr bija privilēģija eskalācija,
 tāpēc tie bija daži no jailbreak koda tipa tur
 kur viņi mēģināja izvērsties privilēģijas, lai viņi varētu
 Vai API komandas darbojas kā operētājsistēmu.
 45% no progr, kas tur bija premium SMS,
 tā ka ir liels daudzums, kas mēģina tieši monetize.
 93% bija tālvadības pulti, lai viņi mēģināja izveidot botu tīklu, mobilo botu tīklu.
 Un 45% novāktas identificējošu informāciju
 piemēram, tālruņa numurus, UUIDs, GPS atrašanās vieta, lietotāju kontus,
 un tas piebilst, līdz vairāk nekā 100, jo lielākā daļa kaitīgo programmu cenšas darīt dažas no šīm lietām.
 

Es esmu gatavojas pāriet uz otro pusi, un runāt par koda ievainojamību.
 Tas ir otrā pusē riskantu darbību.
 Tas ir, ja būtībā attīstītājs ir padarīt kļūdas.
 Likumīgu attīstītājs rakstot likumīgu lietotni
 padara kļūdas vai neziņā par riskiem mobilo platformu.
 Viņi vienkārši nezina, kā padarīt drošu mobilo app,
 vai dažreiz attīstītājs nav rūp liekot lietotājam riskam.
 Dažreiz daļu no to uzņēmējdarbības modelis varētu būt
 novākšanas lietotāja personisko informāciju.
 Tas ir sava veida citas kategorijas, un tas ir iemesls, kāpēc daži no šī kaitīgā
 pret likumīgu sāk asiņot vairāk, jo tur ir atšķirība viedokļi
 starp to, ko lietotājs vēlas, un to, ko lietotājs uzskata par riskantu
 un ko pieteikumu attīstītājs uzskata riskanti. Protams, tas nav pieteikumu attīstītājs dati vairumā gadījumu.
 

Un tad beidzot, vēl viens veids, kā tas notiek, ir attīstītājs varētu saistīt ar
 dalīta bibliotēka, kas ir ievainojamību vai šo riskantu uzvedību tajā
 nezinot to.
 Pirmā kategorija ir jutīgi datu noplūdes,
 un tas ir tad, kad app apkopo informāciju
 piemēram, atrašanās vietu, adrešu grāmatas informāciju, īpašnieka informāciju
 un nosūta ka pie ierīces.
 Un, kad tas ir off ierīci, mēs nezinām, kas notiek ar šo informāciju.
 To var uzglabāt insecurely ar pieteikumu attīstītājs.
 Mēs esam redzējuši pieteikuma izstrādātāji get apdraudēta,
 un dati, kas viņi glabāšanai izpaužas pieņemts.
 Tas notika pirms dažiem mēnešiem līdz attīstītājs leju Florida
 kur milzīgs skaits, tas bija iPad UUIDs un ierīču nosaukumi
 bija noplūdis tāpēc, ka kāds, es domāju, ka tas bija anonīma,
 pieprasīja, lai to paveiktu, ielauzās šo attīstītāju serveriem
 un nozaga miljoniem iPad UUIDs
 un datoru nosaukumi.
 Ne visbīstamākos informācijas,
 bet kas notiks, ja tas bija uzglabāšana lietotājvārdi un paroles
 un mājas adreses?
 Tur ir daudz progr, kas saglabā šāda veida informāciju.
 Risks ir tur.
 

Otra lieta, kas var notikt, ir, ja attīstītājs nav rūpēties
 nodrošināt datu kanālu, un tas ir vēl viens liels ievainojamību es esmu gatavojas runāt par to,
 ka dati tiek nosūtīti skaidrs.
 Ja lietotājs ir par publiskā Wi-Fi tīklu
 vai kāds ir sniffing internetā kaut kur
 pa ceļu, ka dati tiek pakļauti.
 Viens ļoti slavens gadījums šīs informācijas noplūdes notika ar Pandora,
 , un tas ir kaut kas, mēs izpētītas Veracode.
 Mēs dzirdējām, ka tur bija, es domāju, ka tas bija Federal Trade Commission
 Izmeklēšana notiek ar Pandora.
 Mēs teicām, "Kas notiek tur? Sāksim rakšana vērā Pandora pieteikumu."
 Un tas, ko mēs noteicām bija Pandora pieteikumu savākti
 Jūsu dzimums un jūsu vecums,
 un tas arī piekļūt savu GPS atrašanās vietu, un Pandora pieteikumu
 darīja to, ko viņi teica, ka ir pamatoti iemesli.
 Mūzika, ka viņi spēlē, Pandora ir mūzikas straumēšanas app-
 mūziku viņi spēlē bija tikai licencēti Amerikas Savienotajās Valstīs,
 tāpēc viņi bija, lai pārbaudītu to atbilstību licences līgumiem, kas viņi bija
 par mūziku, ka lietotājs bija Amerikas Savienotajās Valstīs.
 Viņi arī gribēja, lai atbilstu vecāku konsultatīvās
 ap pieaugušo valodu mūzikā,
 un tāpēc tas ir brīvprātīga programma, bet viņi vēlējās, lai atbilstu, ka
 un nav spēlēt nepārprotamās dziesmas bērniem līdz 13 gadu vecumam.
 

Viņiem bija likumīgi iemesli šo datu vākšanai.
 Viņu app bija atļaujas, lai to izdarītu.
 Lietotājiem domāju, tas bija likumīgs. Bet kas notika?
 Tie saistīti ar 3 vai 4 dažādiem reklāmu bibliotēkās.
 Tagad visi pēkšņi visu šo reklāmu bibliotēkām
 kļūst piekļuvi šai pašai informācijai.
 Ad bibliotēkas, ja paskatās kodu reklāmu bibliotēkās
 ko viņi dara, ir katrā sludinājumā bibliotēka saka
 "Vai mana app ir atļauja saņemt GPS atrašanās vietu?"
 "Ak, tas? Labi, man pateikt, GPS atrašanās vietu."
 Katru reklāma bibliotēka tas, ka,
 un, ja app nav GPS atļauja
 tas nebūs iespējams, lai saņemtu to, bet, ja tas tā ir, tas saņems to.
 Tas ir, ja biznesa modelis ad bibliotēku
 iebilst pret to lietotāju privātās dzīves aizsardzību.
 Un tur ir bijuši pētījumi, kas pastāv, kas saka, ja jūs zināt, vecumu
 personas, un jūs zināt savu atrašanās vietu
 kur viņi gulēt naktī, jo jums ir savas GPS koordinātas
 bet tie, iespējams, guļ, jūs precīzi zināt, kas šī persona ir
 tāpēc, ka jūs varat noteikt, kuras locekle šīs mājsaimniecības ir tas, ka persona.
 Tiešām tas ir identificēt reklāmdevējiem
 tieši tā, kas jūs esat, un izskatās, ka tas bija likumīgi.
 Es tikai gribu savu straumēšanas mūziku, un tas ir vienīgais veids, kā iegūt to.
 

Nu, mēs pakļauti to.
 Mēs rakstījām šo up vairākās blog posts,
 un izrādījās, ka kāds no Rolling Stone žurnāls
 lasīt vienu no mūsu blog posts un uzrakstīja savu blogu Rolling Stone par to,
 un jau nākamajā dienā Pandora domāju, ka tā bija laba ideja
 noņemt reklāmas bibliotēkas no to piemērošanas.
 Cik es zinu, viņi tikai, tie ir atzinība.
 Es domāju, ka viņi tikai app freemium veids, kas ir izdarīts.
 Visas pārējās freemium progr ir šo pašu uzvedību,
 tāpēc tev domāt par kāda veida dati jums dodam
 šie freemium pieteikumiem, jo ​​tas viss notiek, lai reklāmdevējiem.
 Praetorian arī veica pētījumu par kopīgu bibliotēku un teica,
 "Paskatīsimies, ko kopīgi bibliotēkas ir top kopīgi bibliotēkas", un tas bija dati.
 

Viņi analizēja 53000 progr,
 un to skaits 1 dalīta bibliotēka ir Admob.
 Faktiski tas bija 38% no programmas, kas pastāv,
 tāpēc 38% no pieteikumiem jūs izmantojat
 visticamāk novākšanas savu personisko informāciju
 un nosūtot to uz reklāmas tīkliem. Apache un Android bija 8% un 6%,
 un tad šie citi tiem leju apakšā, Google reklāmas, satraukt,
 Mob Pilsēta un tūkstoš Media,
 tie visi reklāmas uzņēmumiem, un tad, interesanti pietiekami,
 4% saistīts ar Facebook bibliotēkā
 iespējams darīt autentifikāciju, izmantojot Facebook
 tāpēc app var autentificēt Facebook.
 Bet tas arī nozīmē, ka sabiedrība, Facebook kontrolē kodu
 kas ir darbojas 4% no Android mobilo progr, kas pastāv,
 un viņiem ir piekļuve visiem datiem, kas app ir atļauja, lai saņemtu at.
 Facebook būtībā cenšas pārdot reklāmas laukumus.
 Tas ir viņu biznesa modelis.
 

Ja paskatās uz visu šo ekosistēmu ar šīm atļaujām
 un kopīgi bibliotēkas sākat redzēt, ka
 Jums ir daudz risku, kas it kā likumīgu pieteikumu.
 Tas pats līdzīga lieta, kas notika ar Pandora
 notika ar pieteikumu sauc Path,
 un ceļš domāju, ka viņi ir izpalīdzīgi, draudzīgi izstrādātājiem.
 Viņi bija vienkārši cenšas, lai dotu jums lielisku lietotāju pieredzi,
 un izrādījās, ka nejautājot lietotājam vai stāsta lietotājs kaut ko-
 un tas noticis uz iPhone un Android,
 Pandora app bija iPhone un Android-
 ka ceļš pieteikumu satveršanas visu savu adrešu grāmatu
 un augšupielādējot to Path tikai tad, kad ir instalēta un skrēja pieteikumu,
 un tie nav pateikt jums par to.
 Viņi domāja, ka tas bija patiešām noderīga jums
 , lai varētu dalīties ar visiem cilvēkiem jūsu adrešu grāmatā
 ka jūs izmantojat Path pieteikumu.
 

Nu, protams, ceļš domāju, tas bija liels, lai savu uzņēmumu.
 Nav tik liela, lai lietotājam.
 Jums ir domāt, ka tā ir viena lieta, ja varbūt pusaudzis
 izmanto šo programmu un to desmitiem draugiem ir tur,
 bet ko tad, ja tas ir CEO uzņēmuma, kas instalē Path
 un tad pēkšņi to visu adrešu grāmata ir tur augšā?
 Jūs gatavojas iegūt daudz potenciāli vērtīgu kontaktinformāciju
 par daudz cilvēku.
 Reportieris no New York Times, jūs varētu būt iespēja saņemt tālruņa numuru
 bijušajiem prezidentiem no savas adrešu grāmatas,
 tā acīmredzot daudz sensitīvas informācijas izpaužas nodota ar kaut kas līdzīgs šim.
 Tur bija tik liels Pārlaidums par to, ka ceļš atvainojās.
 Viņi mainīja savu app, un tas pat ietekmē Apple.
 Apple teica: "Mēs ejam, lai piespiestu app pārdevēji liks lietotājiem
 ja viņi gatavojas, lai savāktu visu savu adrešu grāmatu. "
 

Izskatās, ka to, kas notiek šeit ir
 ja tur ir viens liels privātuma pārkāpums, un tas padara nospiediet
 mēs redzam izmaiņas, kas tur.
 Bet, protams, tur ir citas lietas, kas tur.
 LinkedIn Pieteikums ražu kalendāra ierakstus,
 bet Apple nepadara lietotājam tiek piedāvāts par to.
 Kalendāra ierakstus var būt jutīga informācija tiem pārāk.
 Kur jūs gatavojas izdarīt līniju?
 Tas ir tiešām sava veida attīstās vietu
 ja tur tiešām nav labs standarts, kas tur
 lai lietotāji varētu saprast, ja viņu informācija būs apdraudēta
 un tad, kad viņi gatavojas zināt, tas tiek pieņemts.
 Mēs rakstījām app pie Veracode sauc Adios,
 un būtībā tas ļauj jums norādīt app jūsu iTunes direktorijā
 un apskatīt visiem pieteikumiem, kas tika ievāc pilnu adrešu grāmatu.
 Un kā jūs varat redzēt šajā sarakstā šeit, Angry Birds,
 AIM, AroundMe.
 Kāpēc Angry Birds ir nepieciešama jūsu adrešu grāmatu?
 Es nezinu, bet tas kaut kā.
 

Tas ir kaut kas, ka daudzi, daudzi pieteikumi darīt.
 Jūs varat pārbaudīt kodu to.
 Tur ir labi definētas API iPhone, Android un BlackBerry
 nokļūt pie adrešu grāmatā.
 Jūs tiešām var viegli pārbaudīt šo, un tas ir tas, ko mēs darījām mūsu Adios pieteikumā.
 Nākamais kategorija, nedroši Sensitive Data Storage,
 ir kaut kur izstrādātāji veikt kaut ko līdzīgu piespraudi vai konta numurs
 vai paroli un uzglabāt to skaidri ierīcē.
 Vēl sliktāk, tie var uzglabāt to teritorijā, pa tālruni
 kas ir visā pasaulē pieejama, piemēram, SD karti.
 Redzat šo biežāk par Android, jo Android ļauj SD karti.
 IPhone ierīces nav.
 Bet mēs arī redzējām šo notikt Citigroup pieteikumā.
 Viņu tiešsaistes banku pieteikumu uzglabāt konta numurus insecurely,
 tikai skaidrs, tādēļ, ja esat pazaudējis savu ierīci,
 būtībā esat pazaudējis savu bankas kontu.
 Tas ir iemesls, kāpēc es personīgi nedomāju darīt banku par manu iPhone.
 Es domāju, ka tas ir pārāk riskanti tagad darīt šāda veida darbības veidus.
 

Skype bija tas pats.
 Skype, protams, ir konta bilanci, lietotāja vārdu un paroli
 ka piekļūt šo līdzsvaru.
 Viņi bija uzglabātu visu šo informāciju skaidri uz mobilo ierīci.
 Man ir daži piemēri šeit izveidot failus
 ka nav vajadzīgās atļaujas, vai rakstot uz diska
 un kam nav kāds šifrēšanas notikt to.
 Šis nākamais rajons, nedroši Sensitive Datu pārraide,
 Esmu norādīja uz to pāris reizes, un tāpēc sabiedrības Wi-Fi
 tas ir kaut kas progr ir absolūti nepieciešams darīt,
 un tas, iespējams, ir tas, ko mēs redzam noiet greizi visvairāk. Es teiktu, patiesībā, es domāju, ka man ir faktiskos datus,
 bet tas ir gandrīz puse no mobilo lietojumu
 skrūvējamu dara SSL.
 Viņi vienkārši neizmanto API pareizi.
 Es domāju, viss, kas jums jādara, ir sekot instrukcijām un izmantot API,
 bet tie lietas, piemēram, nav pārbaudīt, vai ir nederīgs sertifikāts, otrā galā,
 nevis pārbaudīt, vai otrā galā mēģina darīt protokols pazemināt uzbrukumu.
 

Izstrādātāji, viņi vēlas, lai saņemtu savu rūtiņā, vai ne?
 Viņu prasība ir izmantot to pārdot. Viņi izmanto to pārdot.
 Prasība neizmantot to pārdot droši,
 un tāpēc šis ir iemesls, kāpēc visi pieteikumi, kas izmanto SSL, lai nodrošinātu datus
 kā tas tiek nosūtīti pie ierīce patiešām ir jāpārbauda
 lai pārliecinātos, ka tika īstenots pareizi.
 Un šeit man ir daži piemēri, kur jūs varat redzēt pieteikumu
 varētu būt, izmantojot HTTP, nevis HTTPS.
 Dažos gadījumos apps kritīs atpakaļ uz HTTP
 ja HTTPS nedarbojas.
 Man ir vēl viens zvans šeit uz Android, kur viņi invalīdiem sertifikāta pārbaudi,
 tāpēc man-in-the-vidū uzbrukums var notikt.
 Nederīgs sertifikāts tiks pieņemts.
 Tie ir visi gadījumi, kad uzbrucēji ir gatavojas, lai varētu saņemt par
 pats Wi-Fi pieslēgumu, kā lietotājam un piekļuvi visiem datiem
 kas ir tiek nosūtīti pa internetu.
 

Un, visbeidzot, pēdējais kategorija man šeit ir hardcoded paroles un atslēgas.
 Mēs faktiski redzēt daudz izstrādātāji izmanto to pašu kodēšanas stils
 ka viņi darīja, kad viņi būvēja web servera lietojumprogrammas,
 lai viņi veidotu Java servera lietojumprogrammu, un viņi hardcoding atslēgu.
 Nu, ja jūs veidot servera pieteikumu, jā,
 hardcoding atslēga, nav laba ideja.
 Tas padara to grūti mainīt.
 Bet tas nav tik slikti uz servera pusē, jo, kam ir piekļuve servera pusē?
 Tikai administratori.
 Bet, ja jūs lietojat to pašu kodu, un jūs uzlej to pa mobilo pieteikumu
 Tagad visi, kas ir, ka mobilo pieteikumu piekļūt šim Hardcoded atslēgu,
 un mēs patiešām redzam daudz reižu, un man ir daži statistikas dati
 no tā, cik bieži mēs redzam šo notikt.
 Tas faktiski bija piemērs kods, kas MasterCard publicēto
 par to, kā izmantot savu pakalpojumu.
 Piemērs kods parādīja, kā jūs varētu vienkārši ņemt paroli
 un nodot to Hardcoded virknē labi tur,
 un mēs zinām, kā izstrādātāji patīk kopēt un ielīmēt koda fragmentus
 kad viņi mēģina kaut ko darīt, lai jūs kopēt un ielīmēt koda fragmentu
 ka viņi sniedza kā piemēru kodu, un jums ir nedrošs pieteikumu.
 

Un šeit mums ir daži piemēri.
 Šis pirmais ir viens mēs redzam daudz kur viņi hardcode
 Datu tiesības uz URL, kas izpaužas nosūtīts.
 Dažreiz mēs redzam virkni parole = parole.
 Tas ir diezgan viegli noteikt, vai stīgu parole par BlackBerry un Android.
 Tas ir tiešām diezgan viegli pārbaudīt, jo gandrīz vienmēr
 attīstītājs nosaukumus mainīgo, kas ir saimniecībā paroli
 dažas variācijas paroli.
 Es teicu, ka mēs statisko analīzi par Veracode,
 tāpēc mēs esam analizēti vairāki simti Android un iOS pieteikumus.
 Mēs esam izveidojuši pilnu modeļus viņiem, un mēs esam spējīgi tos skenētu
 dažādiem ievainojamības, it īpaši ievainojamību es runāju par to,
 un man ir daži dati šeit.
 68,5% no Android progr mēs paskatījās
 bija sadalīti kriptogrāfijas kodu,
 kas mums, mēs nevaram atklāt, ja esat veicis savu crypto rutīnas,
 nav, ka tas ir laba ideja, bet tas ir faktiski izmantojot publicētos API
 , kas ir uz platformas, bet darot tiem tādā veidā
 ka šifrēšanas būs neaizsargāti, 68.5.
 Un tas ir cilvēkiem, kuri sūta mums savus pieteikumus patiesībā, jo
 viņi domā, tā ir laba ideja darīt drošības pārbaudes.
 Tie jau ir cilvēki, kas, iespējams, domā droši,
 tāpēc tas ir iespējams, pat sliktāk.
 

Man nav runāt par vadības līnijas barības pagatavošanai.
 Tas ir kaut kas, mēs pārbaudītu, bet tas nav tik riskanti jautājums.
 Informācijas noplūdes, tas ir, ja jutīgi dati tiek nosūtīti pie ierīces.
 Mēs atklājām, ka 40% no pieteikumu.
 Laiks un valsts, tie ir rase stāvoklī tipa jautājumi, kas parasti ir diezgan grūti izmantot,
 tāpēc man nav runāt par to, bet mēs skatījāmies uz to.
 23% bija SQL injekciju jautājumiem.
 Daudzi cilvēki nezina, ka daudz pieteikumu
 izmantot nelielu mazliet SQL datu bāzi par viņu muguras beigās, lai saglabātu datus.
 Nu, ja dati, ka jūs satveršanas tīklā
 ir SQL injekcijas uzbrukumu virknes tajā
 kāds var apdraudēt ierīci, izmantojot, ka,
 un tāpēc es domāju, ka mēs atrast aptuveni 40% no tīmekļa lietojumprogrammas ir šī problēma,
 kas ir milzīga epidēmija problēma.
 Mēs uzskatām par 23% no laika mobilo progr
 un tas ir iespējams tāpēc, ka daudz vairāk tīmekļa lietojumprogrammas izmantot SQL nekā mobilo.
 

Un tad mēs joprojām redzam dažas pārrobežu vietas skriptu, atļauju piešķiršanas jautājumiem,
 un tad credential vadība, tas ir, ja jums ir jūsu hardcoded paroli.
 5% no pieteikumiem, mēs redzam, ka.
 Un tad mums ir daži dati par iOS.
 81% bija kļūda apstrādes jautājumiem. Tas ir vairāk koda kvalitātes problēmas,
 bet 67% bija kriptogrāfijas problēmas, tāpēc nav tik slikti, kā Android.
 Varbūt API ir mazliet vieglāk, tad piemēram kodi nedaudz labāk iOS.
 Bet joprojām ir ļoti augsts procents.
 Mums bija 54%, ar informācijas noplūdi,
 aptuveni 30% ar bufera vadības kļūdas.
 Tas ir vietas, kur pastāv potenciāli varētu būt atmiņas korupcijas jautājums.
 Izrādās, ka tas nav tik daudz problēmu ekspluatācijai
 iOS jo visi kodu, ir jāparaksta,
 tāpēc ir grūti uzbrucēju izpildīt patvaļīgu kodu uz iOS.
 Koda kvalitāti, direktoriju šķērsošana, bet tad akreditācijas vadība šeit 14,6%,
 tāpēc sliktāks nekā uz Android.
 Mums ir cilvēki, kas nav apstrādes paroles pareizi.
 Un tad skaitļu kļūdas un bufera pārpildes,
 tie ir vairāk būs kods kvalitātes jautājumi iOS.
 

Tas bija tas par manu prezentāciju. Es nezinu, vai mēs esam ārpus laika vai ne.
 Es nezinu, vai tur ir kādi jautājumi.
 [Vīrietis] ātrs jautājums ap sadrumstalotību un Android tirgus.
 Ābolu vismaz pieder lāpīšanu.
 Viņi dara labu darbu, kā iegūt to, kas tur tā mazāk Android telpā.
 Jums ir gandrīz nepieciešams, lai jailbreak jūsu tālruni palikt pašreizējā
 ar pašreizējo atbrīvošanu Android.
 Jā, tā ir milzīga problēma, un tādēļ, ja jūs domājat par to,
 [Vīrietis] Kāpēc tu nevari to atkārtot?
 

Ak, labi, tāpēc jautājums ir, ko par sadrumstalotība
 operētājsistēmu uz Android platformas?
 Kā tas ietekmē bīstamība šo ierīču?
 Un tas tiešām ir milzīga problēma, jo to, kas notiek, ir
 vecāki ierīces, kad kāds nāk klajā ar jailbreak par šo ierīci,
 būtībā tas ir privilēģija eskalācija, un līdz šī operētājsistēma ir atjaunināta
 jebkurš malware tad var izmantot šo ievainojamību, lai pilnībā apdraudēt ierīci,
 un tas, ko mēs redzam uz Android, ir, lai saņemtu jaunu operētājsistēmu
 Google ir izbāzt operētājsistēmu, un tam aparatūras ražotājs
 ir pielāgot to, un pēc tam pārvadātājam ir pielāgot to un nodot to.
 Jums ir būtībā 3 kustīgās daļas šeit,
 un tas ir pagrieziena, ka pārvadātājiem ir vienalga,
 un aparatūras ražotāji nav aprūpi, un Google nav grūstot viņus pietiekami
 kaut ko darīt, lai pēc būtības vairāk nekā puse no ierīcēm, kas tur
 ir operētājsistēmas, kas ir šo privilēģiju eskalāciju neaizsargātību tiem,
 un tādēļ, ja jums ļaundabīgās programmas uz jūsu Android ierīci, tas ir daudz vairāk problēmu.
 

Labi, paldies.
 [Aplausi]
 [CS50.TV]