[Seminaras] [gynimas Už Device: Mobilus Application Saugumo]
 [Chrisas Wysopal] [Harvardo universiteto]
 [Tai CS50.] [CS50.TV]
 

Laba diena. Mano vardas yra Chris Wysopal.
 Aš CTO ir įkūrėjų Veracode.
 Veracode yra programų saugumo bendrovė.
 Mes tikriname visus įvairių programų rūšių,
 ir ką aš ruošiuosi kalbėti apie šiandien yra mobiliųjų aplikacijų saugumą.
 Mano fonas Darau saugumo tyrimai
 labai ilgą laiką, turbūt maždaug tiek, kiek niekam.
 Aš pradėjau vidurio 90s,
 ir tai buvo laikas, kad buvo labai įdomu, nes
 mes turėjome paradigmos pokytis vidurio 90s.
 Visi staiga visiems kompiuterių buvo užsikabinęs prie interneto,
 ir tada mes turėjome interneto programų pradžia,
 ir tai, ką aš sutelktas į daug tada.
 Tai įdomu.
 Dabar mes turime kitą paradigmos kaita vyksta su kompiuterija,
 kuri yra mobiliųjų programų perjungimo.
 

Jaučiu tai tipo panašiu metu tai buvo vėlai 90s
 kai mes tyrė interneto programas ir rasti defektus, pavyzdžiui,
 sesijos valdymo klaidos ir SQL injekcijos
 kuris tikrai nebuvo prieš, ir visi staiga jie buvo visur
 interneto programų, ir dabar laiko aš praleidžia daug
 ieško mobiliųjų programų ir žiūri, kas vyksta ten, gamtoje.
 Mobiliųjų programų tikrai bus dominuojanti kompiuterija platforma,
 todėl mes tikrai reikia praleisti daug laiko, jei esate saugumo pramonės
 sutelkiant dėmesį į interneto programų.
 Nebuvo 29000000000 Mobile Apps atsisiųsti 2011 metais.
 Jis prognozavo, kad 76 mlrd programas iki 2014 m.
 Yra 686.000.000 prietaisai, kurie ketina įsigyti šiemet
 todėl tai yra, kai žmonės ketina daryti
  iš savo klientų kompiuterių dauguma vyksta į priekį.
 

Kalbėjau su viceprezidentas Fidelity Investments
 Prieš porą mėnesių, ir jis pasakė, kad jie ką tik matė daugiau lankytojų
 daro finansines operacijas iš savo klientų bazę
 savo mobiliajame taikymo, nei savo interneto svetainėje,
 todėl bendras naudojimas internete praeityje buvo
 tikrinti savo akcijų kursus, valdyti savo portfelį,
 ir mes iš tikrųjų matyti, kad 2012 m perjungti
 labiau dominuoja mobiliųjų platformų.
 Žinoma, jei ten bus bet nusikalstama veikla,
 bet kenksminga veikla, jis ketina pradėti būti sutelktas į mobilųjį platformą
 Laikui bėgant žmonės pereiti per tai.
 Jei pažvelgti į mobiliųjų platformų,
 pažvelgti platformos tai naudinga ją padalyti į skirtingų sluoksnių riziką,
 kaip tai darytumėte ant stalinio kompiuterio,
 ir manote apie skirtingų sluoksnių, programinės įrangos, operacinės sistemos,
 tinklo sluoksnio, metalo sluoksnis, ir, žinoma, yra spragų visus tuos sluoksnius.
 

Tas pats vyksta mobiliesiems telefonams.
 Bet judri, atrodo, kad kai kurie iš šių sluoksnių yra blogesnė.
 Už vieną, tinklo lygmuo, kelia daugiau problemų dėl mobiliojo
 nes daug žmonių turi savo biure ar namuose
 laidinio ryšio arba jie turi saugius "Wi-Fi" ryšį,
 ir su mobiliųjų prietaisų partiją jūs akivaizdžiai ne namuose
 ar ne biure daug, ir jei jūs naudojate "Wi-Fi yra
 Jums gali būti naudojant nesaugius Wi-Fi "ryšį,
 kažkas, kad visuomenės "Wi-Fi" ryšį,
 todėl, kai mes galvojame apie mobiliųjų programų mes turime atsižvelgti į tai,
 kad tinklo aplinkoje yra rizikingesnis už šių paraiškų
 kai "Wi-Fi" yra naudojama.
 Ir kai gaunu į daugiau mobiliųjų aplikacijų riziką
 jūs pamatysite, kodėl tai dar svarbiau.
 Yra pavojus ne aparatūros lygis mobiliuosiuose įrenginiuose.
 Tai vykstančių tyrimų srityje.
 Žmonės vadina šie plačiajuosčio atakų ar Baseband išpuolių
 kur jūs puola firmware tai klausytis per radiją.
 

Tai tikrai baisu išpuolių, nes
 naudotojas neturi nieko daryti.
 Galite paspausti daug prietaisų per RF diapazone
 vienu metu, ir atrodo, kad kai šis tyrimas bąbelkuje
 jis greitai gauna klasifikuojami kur
 žmonės smigimas aplink ir pasakyti: "Štai, papasakokite apie tai, ir nustokite apie tai kalbėti."
 Yra kai kurie tyrimai vyksta plačiajuosčio ryšio srityje,
 bet atrodo, kad labai Hush Hush.
 Manau, kad tai daugiau tautos valstybinio mokslo sritis, kas vyksta.
 Aktyvių mokslinių tyrimų sritis, nors tai, operacinės sistemos sluoksnis,
 ir vėl, tai yra kitoks nei stalinių kompiuterių pasaulyje
 nes mobiliojo erdvėje turite šių žmonių vadinamas Jailbreakers komandas,
 ir Jailbreakers yra kitoks, nei reguliariai mokslininkų pažeidžiamumo.
 Jie bando rasti spragų operacinės sistemos,
 bet priežastis, jie bando rasti spragų nėra
 įsilaužti į kažkieno mašiną ir ją sukompromituoti.
 Tai įsilaužti į savo kompiuterį.
 

Jie nori įsiveržti į savo mobilųjį telefoną, keisti savo mobilaus telefono operacinę sistemą
 todėl kad jie gali paleisti savo pasirinkimą programas
 ir pakeisti dalykus, turinčius visas administracines teises,
 ir jie nenori pasakyti apie tai tiekėją. Jie nemėgsta saugumo tyrėjas, kuris yra balta skrybėlę saugumo tyrėjas
 kuris ketina padaryti atsakingą atskleisti ir pasakyti apie tai tiekėją.
 Jie nori padaryti šiuos tyrimus, ir jie nori, kad iš tikrųjų jį paskelbia
 ir išnaudoti ar rootkit ar jailbreak kodas,
 ir jie nori tai daryti strategiškai, kaip iš karto po
 pardavėjas laivai nauja operacinė sistema.
 Jūs turite tai rungimosi santykius
 su OS lygio pažeidžiamumų mobiliojo,
 kuri, manau, yra gana įdomi, ir viena vieta, matome
 jis daro taip, kad gerai paskelbtas išnaudoti kodas ten
 už branduolio lygio pažeidžiamumą,
 ir mes matėme faktiškai naudojami kenkėjiškų rašytojų.
 Tai šiek tiek kitoks, nei PC pasaulyje.
 Ir tada galutinis sluoksnis Viršutinis sluoksnis, taikomasis lygmuo.
 Štai ką aš ruošiuosi kalbėti apie šiandien.
 

Kiti sluoksniai egzistuoja, o kiti sluoksniai žaisti į jį,
 bet aš labiausiai norėčiau pakalbėti apie tai, kas vyksta ne taikomasis lygmuo
 jei kodas veikia sandbox.
 Jis neturi administratoriaus privilegijų.
 Ji turi naudoti prietaiso API,
 bet vis tiek, kenksmingos veiklos daug ir rizikos daug gali atsitikti tuo sluoksniu
 nes tai sluoksnis, kai visa informacija yra.
 Programos gali gauti visą informaciją apie prietaiso
 , jei jie turi tinkamas teises,
 ir jie gali prieiti prie įvairių daviklių ant prietaiso,
 GPS jutiklis, mikrofonas, kamera, ką jūs.
 Nors mes kalbame tik apie taikomasis lygmuo
 mes turime rizikos daug ten.
 Kitas dalykas, kad skiriasi apie mobiliojoje aplinkoje
 yra visos operacinės sistemos dalyviai, ar tai būtų "BlackBerry" arba "Android"
 arba iOS "arba" Windows Mobile ", visi jie turi Smulkaus leidimo modelis,
 ir tai yra vienas iš būdų, kad jie pastatytų į operacinę sistemą
 Idėja, kad tai nėra taip pavojinga, kaip jūs manote.
 Net jei jūs turite visus savo kontaktus ten, visi jūsų asmeninė informacija,
 jūs turite savo nuotraukas, jūs turite savo vietą ten,
 jūs saugoti savo banko pin automatiniam prisijungimui ten, tai saugus, nes
 programos privalo turėti tam tikras teises gauti ne tam tikrų dalių
 informaciją apie įrenginio ir vartotojo turi būti pateikta
 šie leidimai ir sako gerai.
 

Su juo problema yra vartotojas visada sako gerai.
 Kaip saugumo asmuo, aš žinau, tu gali paskatinti vartotoją,
 pasakyti kažką tikrai blogai nutiks, jūs norite, kad jis įvyktų?
 Ir jei jie per skubėjimą ar kažkas tikrai viliojantis ant kitos pusės, kad
 kaip žaidimas bus sumontuoti taip, kad jie laukėte,
 jie ketina paspauskite gerai.
 Štai kodėl aš sakau, mano skaidrės čia tik leiskite man numesti paukščius kiaulių jau
 ir jūs galite pamatyti ant skaidrės čia nėra pavyzdžiai BlackBerry leidimo dėžutę.
 Jis sako: "Prašome nustatyti" BlackBerry Kelionių programos leidimus
 paspaudę mygtuką žemiau ", o iš esmės vartotojas tiesiog ketinate pasakyti
 nustatytas teises ir išsaugoti.
 Štai "Android" greitai, kai ji rodo dalykų,
 ir ji iš tikrųjų daro kažką, kad beveik atrodo kaip įspėjimas.
 Jis gavo pajamingumo ženklas ten sakoma tinklo ryšio, telefonu rūšiuoti,
 tačiau vartotojas ketina spustelėkite įdiegti, tiesa?
 Ir tada "Apple" vienas yra visiškai nežalingas.
 Tai nesuteikia jokios įspėjimo natūra.
 Tai tik "Apple" norėtų naudoti savo dabartinę vietą.
 Žinoma jūs ketinate spustelėkite Gerai.
 

Yra tai smulkiagrūdis leidimo modelis,
 ir programos turi turėti akivaizdžią failą, kur jie deklaruoja
 leidimus jiems reikia, ir kad gaus rodomas naudotojui,
 ir vartotojas turės pasakyti, kad aš suteikti šias teises.
 Bet būkime sąžiningi.
 Vartotojai yra tik ketina visada sakau, gerai.
 Paimkime greitai pažvelgti į leidimus, kad šios programos prašote
 ir kai leidimus, kurie yra ten.
 Ši bendrovė Pretorionas padarė apklausą pernai
 iš 53.000 programų analizuotų Android Market ir 3rd Party rinkose,
 todėl tai yra visi Android.
 Ir vidutinis app prašoma 3 leidimus.
 Kai kurie programos prašoma 117 teises,
 taigi akivaizdu, kad tai yra labai smulkių skaidulų ir per daug sudėtinga, kad vartotojas suprastų
 jei jie pateikti su šia programa, kuri turi šias teises 117.
 Tai kaip galutinio naudotojo licencijos sutartimi, kad yra 45 puslapių ilgio.
 Gal netrukus jie turės galimybę, jei tai kaip
 spausdinti teises ir siųsti man laišką.
 

Bet jei pažvelgti į kai kuriuos iš geriausių įdomių leidimus
 24% apps, kad jie perkeltų iš 53.000
 prašoma GPS informacija iš prietaiso.
 8% skaityti kontaktus.
 4% siunčiami SMS ir 3% gautas SMS žinutes.
 2% įrašyti garsą.
 1% perdirbami išeinančius skambučius.
 Nežinau.
 Nemanau, 4% iš App Store apps tikrai reikia siųsti SMS tekstinius pranešimus,
 todėl aš manau, kad tai užuomina, kad kažkas nepageidaujamas vyksta.
 8% apps reikia skaityti savo kontaktų sąrašą. Tai tikriausiai nėra būtina.
 Vienas iš įdomių dalykų apie teises yra
 jei rodo bendruose bibliotekos į savo taikymo
 tiems paveldės programos leidimus,
 Taigi, jei jūsų programa turi adresatų sąrašą ar reikalinga GPS vieta veikti
 ir jums nuorodą į reklamos bibliotekoje, pavyzdžiui,
 kad skelbimo biblioteka galės naudotis kontaktus
 ir taip pat galės naudotis GPS vieta,
 ir app kūrėjas nieko nežino apie kodą, kuris bėga skelbimų bibliotekoje.
 Jie tiesiog susiejimas, kad, nes jie nori užsidirbti savo programą.
 

Tai kur ir aš kalbėti apie kai kurias pagalbines tai pavyzdžių su
 programa, vadinama Pandora kur Application Developer
 gali netyčia būti nesandarus informacija
 iš jų vartotojams, nes bibliotekose jie susijusių in
 Geodezijos kraštovaizdį ten, žiūri visų skirtingų programų
 kad buvo pranešta apie naujienas, kaip kenksminga ar kažką Vartotojų nenorėjau
 ir tada tikrinti daug daug apps-mes darome statinio dvejetainėje analizę daug apie mobiliųjų programų,
 todėl mes patikrino juos ir pažvelgė į kode-
 mes atėjo su tuo, ką mes vadiname mūsų viršų 10 sąrašas rizikingų elgesį programas.
 Ir tai suskirstyti į 2 skirsnius, kenksmingą kodą,
 todėl tai yra blogų dalykų, kad programos galėtų daryti, kad
 gali būti kažkas, kad kenksminga individualus
 buvo specialiai įdėti į paraišką, bet tai šiek tiek neaiškus.
 Tai galėtų būti kažkas, kad kūrėjas galvoja yra gerai,
 bet tai galų gale buvo suvokiami kaip kenksminga vartotojas.
 

Ir tada antra dalis yra tai, ką mes vadiname kodavimo pažeidžiamumą,
 ir tai yra viskas, kai kūrėjas iš esmės yra klaidų
 arba tiesiog nesupranta, kaip parašyti programą saugiai,
  ir tai pradėti app vartotojui pavojus.
 Aš ruošiuosi eiti per tai išsamiai ir pateikti keletą pavyzdžių.
 Dėl informacijos, norėjau taikstytis OWASP mobili viršų 10 sąrašas.
 Tai yra 10 klausimų, kurie ne OWASP grupė
 Open Web Application Saugumo projekto, jie turi darbo grupę
 darbo mobiliajame viršų 10 sąrašas.
 Jie turi labai garsus interneto top 10 sąrašas, kuris yra top 10
 rizikingiausi dalykų, kuriuos galite turėti interneto taikymo.
 Jie daro tą patį mobiliojo,
 ir jų sąrašas yra šiek tiek kitoks nei mūsų.
 6 iš 10 yra tas pats.
 Jie turi 4, kad yra skirtingi.
 Manau, kad jie turi šiek tiek skirtingas imtis
 rizika mobiliųjų programų, kai jų daug klausimų
 tikrai kaip paraiška bendrauti su back-end serveris
 ar tai, kas vyksta ant back-end serveris,
 ne tiek daug programų, kurios rizikingą elgesį, kuris yra tiesiog Paprasčiausi kliento programos.
 

Raudonojoje tie čia yra tarp 2 sąrašus skirtumai.
 Ir kai kurie iš mano tyrėjų komanda iš tikrųjų prisidėjo prie šio projekto,
 todėl mes pamatyti, kas vyksta per tam tikrą laiką, bet manau Takeaway čia
 mes tikrai nežinome, kas top 10 sąrašas yra mobiliųjų programų, nes
 jie tikrai buvo tik maždaug už 2 ar 3 metus dabar,
 ir nebuvo pakankamai laiko tikrai tyrimų operacines sistemas
 ir ką jie sugeba, ir nebuvo pakankamai laiko
 dėl kenkėjiškos bendruomenės, jei norite, kad praleido pakankamai laiko
 bando atakuoti vartotojams per mobiliųjų programų, todėl tikiuosi, šie sąrašai pakeisti šiek tiek.
 Bet dabar, jie yra top 10 dalykų nerimauti.
 Jums gali kilti klausimas dėl mobiliojo ryšio pusėje, kur nėra kenksminga mobili kodas-
 kaip ji gauti su prietaisu?
 Šiaurės Karolinos valstijos turi projektą "Mobili kenkėjiškų genomo projektas
 kur jie yra surinkti kuo daugiau mobiliojo kenkėjai, nes jie gali ir ją analizuoti,
 ir jie suskirstyti injekcijos vektorių kad mobili kenkėjiškų programų naudoja,
 ir 86% naudoja techniką, vadinamą perpakavimas,
 ir tai tik "Android" platforma
 galite tikrai padaryti šį perpakavimą.
 

Priežastis Android "kodas yra pastatytas su
 Java baitų kodas vadinamas Dalvik kuris yra lengvai decompilable.
 Kas blogai vaikinas gali padaryti, tai
 imtis Android taikymo, dekompiliuoti,
 įterpti savo kenksmingą kodą, perkompiliuoti jį,
 ir tada įdėti jį į App Store, reiškiantį, kad nauja versija šio prašymo,
 arba tiesiog gal keisti programos pavadinimą.
 Jei jis buvo kai žaidimas rūšiuoti, šiek tiek pakeisti pavadinimą,
 todėl šis perpakavimas kaip 86% mobiliųjų kenkėjiškų programų gauna paskirstomas.
 Yra dar vienas metodas vadinamas, kurios atnaujinimas yra
 labai panašus į perpakavimą, bet jūs iš tikrųjų nereikia įdėti kenksmingą kodą in
 Ką jūs darote, yra jūs įtraukėte mažame atnaujinimo mechanizmą.
 Jūs dekompiliuoti, galite įdėti į atnaujinimo mechanizmą, ir jūs perkompiliuoti jį,
 ir tada, kai programa veikia ji traukia žemyn kenkėjiškų programų į prietaisą.
 

Iki šiol dauguma yra tie 2 būdai.
 Yra tikrai ne daug Parsisiųsti drive aikštelių arba drive-by parsisiųsti apie mobiliuosius telefonus,
 kurios galėtų būti, pavyzdžiui, sukčiavimo apsimetant atakos.
 Ei, patikrinti šią labai kietas svetainę,
 ar jums reikia eiti į šią svetainę ir užpildykite šią formą
 išlaikyti ir toliau daro kažką. Tie, kurie išgavimo.
 Tas pats gali atsitikti mobiliojo platformos, kurioje jie
 rodo, kad mobiliųjų app atsisiųsti, sako: "Labas, tai yra" Bank of America ".
 "Mes matome jūs naudojate šią programą."
 "Turėtumėte atsisiųsti šį kitą paraišką."
 Teoriškai, kad galėtų dirbti.
 Gal jis tiesiog yra nėra pakankamai naudojamas nustatyti, ar tai sėkmingas ar ne,
 tačiau jie nustatė, kad mažiau nei 1% laiko šis metodas yra naudojamas.
 Didžiąją dalį laiko, tai tikrai perpakuoti kodas.
 

Yra ir kita kategorija vadinama atskira
 kai kažkas tiesiog sukuria visiškai naują programą.
 Jie sukurti programą, kad išsireiškimas būti kažkas.
 Tai nėra kažkas perpakavimas, ir kad turi kenksmingą kodą.
 Kad naudojama 14% laiko.
 Dabar aš noriu kalbėti apie tai, kas kenksminga kodas daro?
 Vienas iš pirmųjų kenkėjiškų programų iš ten
 galite apsvarstyti šnipinėjimo.
 Ji iš esmės šnipai vartotojui.
 Jis renka laiškus, SMS žinutes.
 Ji įjungia mikrofoną.
 Tai derlių kontaktinę knyga, ir jis siunčia jį į ką nors kitą.
 Ši šnipinėjimo tipas yra ant PC,
 todėl visiškai logiška, kad žmonės galėtų pabandyti tai padaryti mobiliuosiuose prietaisuose.
 

Vienas pirmųjų pavyzdžių buvo programa, vadinama Secret SMS Replicator.
 Tai buvo "Android Marketplace" prieš porą metų,
 ir idėja, jei jūs turėjo galimybę susipažinti su kažkieno Android telefonas
 kad jūs norėjo šnipinėti, tai gal tai jūsų sutuoktinis
 ar jūsų kitų svarbių ir norite šnipinėti savo tekstinius prane ¹ imus,
 galite atsisiųsti šią programą ir ją įdiegti ir sukonfigūruoti jį
 siųsti SMS tekstinį pranešimą jums su kopija
 Kiekvieno SMS tekstinį pranešimą jie gavo.
 Tai akivaizdžiai yra iš "App Store" paslaugų teikimo sąlygų pažeidimų,
 ir tai buvo pašalintas iš "Android" prekyvietės per 18 valandų jis yra ten,
 todėl labai mažas skaičius žmonių grėsė dėl to.
 Dabar, manau, kad jei programa vadinosi kažkas gal šiek tiek mažiau provokuojantis
 kaip Secret SMS Replicator jis tikriausiai dirbo daug geriau.
 Bet tai buvo natūra akivaizdi.
 

Vienas iš dalykų, mes galime padaryti, siekiant nustatyti, ar programos turi šią problemą, kad mes nenorime
 yra patikrinti kodą.
 Tai iš tikrųjų labai lengva padaryti "Android", nes mes galime dekompiliuoti apps.
 IOS galite naudoti kaip IDA Pro išspaudimui
 pažvelgti į tai, ką API programa skambina ir ką ji daro.
 Mes rašė savo dvejetainį statinį analizatoriumi mūsų kodą
 ir mes tai padaryti, ir todėl tai, ką tu gali padaryti, tai galima sakyti,
 ar prietaisas daryti viską, kad iš esmės yra šnipinėjimo man ar stebėjimo domėjosi?
 Ir aš turiu keletą pavyzdžių čia dėl iPhone.
 Šis pirmasis pavyzdys, kaip pasiekti telefone UUID.
 Tai tikrai kažkas, kad "Apple" tiesiog uždrausta naujų paraiškų,
 bet senas programas, kurios jums gali tekti veikia jūsų telefone dar galite tai padaryti,
 ir taip, kad unikalus identifikatorius gali būti naudojamas sekti,
 daugelyje įvairių programų.
 

Android, turiu pavyzdį čia gauti įrenginio vietą.
 Galite matyti, kad jei tai API yra ten, kad app stebėti,
 ir jūs galite pamatyti, ar jis vis bauda vietą arba šiurkščiavilnių vietą.
 Ir tada ant dugno čia, turiu kaip pavyzdį BlackBerry
 taikymas gali prieiti prie elektroninio pašto pranešimus į savo pašto dėžutę.
 Tai yra dalykų, natūra galite apžiūrėti pamatyti
 jei programa daro tokius dalykus.
 Antrasis didelis kategorija kenksmingą elgesį, ir tai turbūt yra didžiausia kategorija dabar
 yra neteisėtas rinkimas, neteisėtas padidinto tarifo SMS tekstinius prane ¹ imus
 ar neleistinas mokėjimai.
 Kitas dalykas, kad unikalus apie telefoną
 yra prietaisas yra užsikabinęs iki atsiskaitymo sąskaitą,
 ir kai kas nors vyks į telefoną
 jis gali sukurti mokesčių.
 Jūs galite pirkti daiktus per telefoną,
 ir kai jūs siunčiate priemoka SMS žinutę jūs iš tikrųjų duoti pinigus
 į sąskaitos turėtojo telefono numeris iš kitos pusės.
 Tai buvo sukurta siekiant gauti akcijų kursus ar gauti savo dienos horoskopą ar kitų dalykų,
 tačiau jie gali būti įsteigtas užsisakyti produktą siunčiant SMS žinutę.
 Žmonės duoti pinigų Raudonojo Kryžiaus siunčiant tekstinį pranešimą.
 Galite duoti 10 $, kad taip.
 

Užpuolikai, ką jie padarė tai jie įsteigė
 sąskaitos užsienio šalyse, ir jie įdėti į kenkėjiškų programų
 kad telefonas bus išsiųsti padidinto tarifo SMS tekstinį pranešimą,
 tarkim, kelis kartus per dieną, o mėnesio pabaigoje jūs suprantate jūs išleidote
 dešimtis ar net šimtus dolerių, ir jie pėsčiomis su pinigais.
 Šis gavo taip blogai, kad tai buvo pats pirmas dalykas, kad "Android"
 Marketplace "arba" Google "vieta-tai buvo" Android Marketplace "tuo metu,
 ir dabar "Google" Play-pirmas dalykas, kad "Google" pradėjo tikrinti.
 Kai "Google" pradėjo platinti "Android Apps" savo "App Store"
 jie teigė, kad jie nesiruošia patikrinti nieko.
 Mes traukti apps, kai mes buvo pranešta, jie jau suskaidytas mūsų paslaugų sąlygas,
 tačiau mes neketiname patikrinti nieko. Na, maždaug prieš metus ji gavo taip blogai su šia priemoka SMS žinutę kenkėjiškų programų
 kad tai yra pats pirmas dalykas, jie pradėjo tikrinti.
 Jei programa gali siųsti SMS žinutes
 jie toliau rankiniu būdu tikrinti šį prašymą.
 Jie atrodo API, kad skambinti tai,
 ir dabar, nes tada "Google" išplėtė,
 bet tai buvo pirmas dalykas, kad jie pradėjo ieškoti.
 

Kai kurios kitos programos, kad padarė keletą SMS tekstinius pranešimus,
 tai Android Qicsomos, manau, tai vadinama.
 Tai dabartinis renginys mobiliojo jei tai CarrierIQ atėjo ten buvo
 kaip šnipinėjimo įdėti į prietaisą vežėjams,
 kad žmonės norėjo žinoti, jei jų telefonas buvo pažeidžiama tai,
 ir tai buvo nemokama programa, kad išbandyti tai.
 Na, žinoma, tai, ką ši programa darė, buvo ji išsiuntė padidinto tarifo SMS tekstinius prane ¹ imus,
 taip bandant pamatyti, jei jūs užkrėstas šnipinėjimo programa
 įdėjote kenkėjiškų programų į savo prietaisą.
 Mes matėme, tas pats atsitiks paskutinę Super Bowl.
 Ten buvo fiktyvus portalo Madden futbolo žaidimas
 kad siunčiami padidinto tarifo SMS tekstinius pranešimus.
 Jis tikrai bandė sukurti bot tinklą per prietaisą.
 Čia turiu keletą pavyzdžių.
 Įdomu tai, kad "Apple" buvo gana protingas,
 ir jie neleidžia programoms siųsti SMS žinutes visiems.
 Ne programa gali tai padaryti.
 Tai puikus būdas atsikratyti visa klase pažeidžiamumą,
 bet Android jūs galite tai padaryti, ir, žinoma, į BlackBerry galite tai padaryti per.
 Įdomu tai, kad "BlackBerry viskas, ko jums reikia, yra interneto leidimai
 siųsti SMS tekstinį pranešimą.
 

Kitas dalykas, tikrai, kad mes ieškome
 kai mes ieškome norėdami pamatyti, jei kažkas yra kenksminga tik bet natūra
 neleistiną tinklo veikla, pavyzdžiui, pažvelgti į tinklo veiklą
 programa turėtų turėti savo funkcijas,
 ir pažvelgti į tai, kitų tinklo veiklą.
 Galbūt programa, dirbti, turi gauti duomenis per HTTP,
 bet jei jis daro ką elektroniniu paštu arba SMS žinute arba per "Bluetooth arba kažką panašaus, kad
 dabar, kad programa galėtų būti potencialiai kenksminga, todėl tai yra dar vienas dalykas, kurį gali tikrinti už.
 Ir šios skaidrės čia turiu keletą, kad pavyzdžių.
 Kitas įdomus dalykas, mes matėme kenkėjiškų programų atsitiko atgal į 2009,
 ir tai atsitiko į didelį kelią.
 Aš nežinau, jei tai atsitiko tiek daug nuo tada, bet tai buvo programa
 kad įkūnijo kitą programą.
 Nebuvo apps rinkinys, ir jis buvo pramintas 09Droid ataka,
 ir kažkas nusprendė, kad buvo mažų, regioninių, vidutinio dydžio bankų daug
 kad neturėjo internetinės bankininkystės programas,
 todėl tai, ką jie darė, buvo jie pastatė apie 50 internetinės bankininkystės programas
 kad visi jie darė, buvo priimti vartotojo vardą ir slaptažodį
 ir nukreipti į svetainę.
 Ir taip jie įdėti visa tai iki "Google" Marketplace "
 "Android Marketplace", ir kai kas nors ieškojote pamatyti, jei jų bankas
 turėjo paraišką jie būtų rasti netikrą taikymą,
 kuri rinko jų įgaliojimai ir tada nukreipti juos į savo svetainę.
 Taip, kad tai iš tiesų tapo-apps buvo ten keletą savaičių,
 ir ten buvo tūkstančiai ir tūkstančiai parsisiųsti.
 

Būdas tai paaiškėjo buvo kažkas turite problemų
 su viena iš programų, ir jie pavadino savo banką,
 ir jie pavadino savo banko klientų aptarnavimo liniją ir pasakė,
 "Man su savo mobiliajame bankų taikymo problema."
 "Ar galite padėti man?"
 Ir jie sakė: "Mes neturime mobiliosios bankininkystės programos."
 Kad pradėjo tyrimą.
 Kad bankas vadinamas "Google", o tada "Google" pažvelgė ir tarė:
 "Oho, pats autorius yra parašęs 50 banko programas", ir paėmė juos visus žemyn.
 Bet, žinoma, tai gali pasikartoti.
 Yra visų skirtingų bankų sąrašas čia
 kad buvo dalis šios sukčiai.
 Kitas dalykas, programa gali padaryti būna kitos paraiškos sąsaja.
 Nors tai veikia tai gali pop-up "Facebook" vartotojo sąsaja.
 Ji sako, jūs turite įdėti į savo vartotojo vardą ir slaptažodį, ir toliau
 arba supakuoti bet kokį vartotojo vardą ir slaptažodį UI svetainėje
 kad gal vartotojas naudoja tik bandyti apgauti vartotoją
 į išleidimą savo įgaliojimus in
 Tai tikrai tiesiais lygiagrečiais iš elektroninio pašto phishing atakų
 jei kas nors siunčia jums laišką
 ir suteikia jums iš esmės netikrą UI svetainės
 kad jūs turite prieigą.
 

Kitas dalykas, mes ieškoti kenksmingą kodą yra modifikacija.
 Jūs galite ieškoti visų API, kad reikia root privilegijų
 atlikti teisingai.
 Keičiant prietaiso interneto proxy būtų kažkas, kad paraiška
 neturėtų galėti daryti.
 Bet jei paraiška kodą ten daryti, kad
 jūs žinote, kad tai tikriausiai kenkėjiška programa
 arba labai labai tikėtina, kad kenkėjiška programa,
 ir kas nutiktų, yra tai, kad programa būtų turėti tam tikrą eskalavimą privilegiją kelią.
 Tai, kad kai kurie privilegija eskalacijos išnaudoti
 prašyme, ir tada, kai jis pratęstus privilegijų
 tai padaryti šiuos sistemos pakeitimus. Čia galite rasti kenkėjiškų programų, kurios turi privilegija eskalacijos
 joje net nežinant, kaip privilegija eskalacijos
 išnaudoti nutiks, ir tai gražus, lengvas būdas
 ieškoti kenkėjiškų programų.
 DroidDream turbūt labiausiai žinomas gabalas Android kenkėjiškų programų.
 Manau, tai paveikė apie 250.000 vartotojų per keletą dienų
 prieš tai buvo nustatyta.
 Jie iš naujo supakavus 50 fiktyvių programas,
 įdėti jas į "Android" App Store ",
 Iš esmės jis naudojamas Android jailbreak kodą eskaluoti privilegijų
 ir tada įdiegti valdymą ir kontrolę bei įjungti visas aukas
 į bot neto, bet tai galėjo būti aptinkamas šis
 jei jūs nuskaitymo programą ir tiesiog ieškote
 API reikalaujama šaknis leidimą vykdyti teisingai.
 

Ir ten pavyzdys čia turiu, kurios keičiasi įgaliojimą,
 ir tai iš tiesų yra prieinama tik "Android".
 Jūs galite pamatyti, aš suteikdama jums keletą pavyzdžių apie Android daug
 nes tai yra, kai aktyviausi kenkėjiškų ekosistema
 nes tai tikrai lengva užpuolikas gauti kenksmingą kodą
 į Android Marketplace ".
 Tai nėra taip paprasta padaryti, kad "Apple" "App Store"
 nes "Apple" reikia kūrėjams prisistatyti
 ir pasirašyti kodą.
 Jie iš tikrųjų patikrinti, kas jūs esate, ir "Apple" iš tikrųjų nagrinėjant prašymus.
 Mes nematome tikrosios kenkėjiškų programų, kai prietaisas vis pavojus daug.
 Kalbėsiu apie kai kurių pavyzdžių, kai tai tikrai privatumas kad manimi vis pažeista,
 ir tai, kas iš tikrųjų vyksta "Apple" įrenginyje.
 Kitas dalykas, ieškoti, kenksmingą kodą, rizikingas kodas prietaisus
 yra logikos ar laiko bombos ir laiko bombos tikriausiai
 daug lengviau surasti nei loginių bombų.
 Bet su laiku bombų, ką galite padaryti, tai jūs galite ieškoti
 vietų kodas, kai laikas yra bandomas ar absoliutaus laiko ieškojo
 prieš tam tikras funkcionalumas app atsitiks.
 Ir tai gali būti padaryta siekiant nuslėpti šią veiklą iš vartotojo,
 todėl vyksta vėlai vakare.
 DroidDream darė visą savo veiklą 11:00-08:00 Vietos laikas
 pabandyti padaryti jį, o vartotojas gali būti naudojamas ne savo įrenginį.
 

Kita priežastis tai padaryti, jei žmonės naudoja elgsenos analizė paraišką,
 veikia app sandbox pamatyti, ką paraiškos elgesys,
 jie gali naudoti laiko pagrįsta logika daryti veikla
 kai programa nėra smėlio.
 Pavyzdžiui, App Store, kaip "Apple"
 veikia paraišką, bet jie tikriausiai nereikia paleisti kiekvieną prašymą taikyti, tarkim, 30 dienas
 prieš jį patvirtindama, todėl jūs galite įdėti
 Logika jūsų prašymą tai sakė, gerai, tik tai blogas dalykas
 po 30 dienų praėjo, arba po 30 dienų po to, kai paskelbia datą taikymo,
 ir kad gali padėti kenksmingą kodą slėpti nuo žmonių tikrinimą jį.
 Jei antivirusinės kompanijos veikia dalykų staliukai
 arba patys app parduotuvėse yra tai gali padėti
 paslėpti, kad nuo tokio patikrinimo.
 Dabar Pasitaiko, kad tai lengva rasti su statine analize,
 todėl faktiškai tikrinti kodą galite ieškoti visų vietų
 kai paraiška bandymų laiką ir patikrinti, kad taip.
 Ir čia aš turiu keletą pavyzdžių iš šių 3 skirtingose ​​platformose
 kiek laiko gali būti patikrinta pagal app virimo aparatas
 taip, jūs žinote, ko ieškoti, jei jūs tikrinimo programą statiškai.
 

Aš ką tik išgyveno visa krūva įvairių kenkėjiškų veiksmų
 kad mes matėme gamtoje, bet kurios iš jų yra labiausiai paplitusi?
 Kad pats tyrimas iš Šiaurės Karolinos valstijos Mobili genomo projektas
 paskelbti tam tikrus duomenis, ir ten buvo iš esmės 4 sritys
 kad jie matė, kur buvo daug veiklos.
 37% apps padarė privilegija eskalacijos,
 todėl jie turėjo tam tikrą Jailbreak kodą įveskite čia
 kur jie bandė eskaluoti teises, kad jie galėtų
 Ar API komandas paleisti operacinę sistemą.
 45% apps ten padarė padidinto tarifo SMS,
 kad didžiulis procentas, kuris bando tiesiogiai užsidirbti.
 93% tai darė nuotolinio valdymo pultelį, todėl jie bandė sukurti Bot tinklas, mobilus robotas tinklą.
 Ir 45% nuimami identifikuojančios informacijos
 , pavyzdžiui, telefono numerius, UUID, GPS vieta, vartotojų sąskaitas,
 ir tai išauga iki daugiau nei 100, nes dauguma kenkėjiškų programų bando daryti šių dalykų nedaug.
 

Aš ruošiuosi pereiti prie antrosios pusės ir kalbėti apie kodo spragų.
 Tai antroji pusė rizikingą veiklą.
 Tai kur iš esmės kūrėjas daro klaidų.
 Teisėtas kūrėjas rašyti teisėtą programą
 daro klaidų ar nežino iš mobilios platformos riziką.
 Jie tiesiog nežino, kaip užmegzti saugaus mobiliojo app,
 ar kartais kūrėjas nerūpi išleisti vartotojui pavojus.
 Kartais dalis jų verslo modelis gali būti
 derliaus vartotojo asmeninę informaciją.
 Tai tarsi iš kitos kategorijos, ir tai, kodėl kai kurie tai kenksminga
 palyginti su teisėtų ims kraujuoti daugiau, nes ten skirtumas nuomonių
 tarp to, ką vartotojas nori ir ką vartotojas laiko rizikinga
 ir ką taikymo kūrėjas mano, rizikinga. Žinoma, tai nėra paraiška kūrėjo duomenys daugeliu atvejų.
 

Ir pagaliau, dar vienas būdas tai atsitiks yra kūrėjas gali susieti į
 shared library, kad turi spragų ar šį rizikingą elgesį joje
 nežinant jų.
 Pirmoji kategorija yra jautrus duomenų nutekėjimo,
 ir tai yra, kai programa renka informaciją
 kaip vietos, adresų knygelės informacija, sužinokite,
 ir siunčia, kad nuo prietaiso.
 Ir kai tai ne prietaisas, mes nežinome, kas vyksta su šia informacija.
 Tai galėtų būti laikomi nesaugiai iki paraiškos kūrėjas.
 Mes matėme programų kūrėjams gauti pavojus,
 ir duomenų, kad jie saugoti bus imtasi.
 Tai atsitiko prieš keletą mėnesių, kad kūrėjas žemyn Floridoje
 kur didžiulis skaičius-jai buvo iPad UUID ir įrenginių pavadinimai
 buvo nutekėjo, nes kažkas, manau, kad tai buvo anoniminė,
 teigė, kad tai padaryti, įsilaužė į šį programų kūrėją serveriuose
 ir pavogė milijonus iPad UUID
 ir kompiuterių pavadinimus.
 Ne labiausiai rizikingas informacija
 bet kas, jei tai buvo apie vartotojų vardus ir slaptažodžius saugojimas
 ir namų adresus?
 Yra daug programų, kurios saugo, kad kokios rūšies informacija.
 Rizika yra.
 

Kitas dalykas, kad gali atsitikti, jei užsakovas neturi rūpintis
 užtikrinti duomenų kanalą, ir tai dar vienas didelis pažeidžiamumas aš ruošiuosi kalbėti apie,
 kad duomenys yra siunčiami aiški.
 Jeigu vartotojas yra viešosios Wi-Fi tinklo
 ar kas nors uostyti internete kažkur
 kelyje, kad duomenys yra veikiami.
 Vienas labai garsus atvejis šio informacijos nutekėjimo atsitiko su Pandora,
 ir tai yra kažkas, ką mes ištirti ne Veracode.
 Mes girdėjome, kad ten buvo-manau, kad tai buvo Federalinė prekybos komisija
 Tyrimas vyksta su Pandora.
 Mes sakėme, "Kas vyksta? Pradėkime kasti į Pandora taikymo."
 Ir ką mes nustatyti buvo Pandora prašymas surinkti
 Jūsų lytis ir jūsų amžius,
 ir ji taip pat prie jūsų GPS padėtį ir Pandora taikymą
 tai padarė, ką jie sakė, buvo teisėtos priežastys.
 Muzika, kad jie žaidžia-Pandora yra muzikos transliacijos app-
 muzika jie grojo, buvo registruota tik Jungtinėse Amerikos Valstijose,
 todėl jie turėjo patikrinti, kad būtų laikomasi su jų licencijų susitarimus, kad jie turėjo
 už muziką, kad vartotojas buvo Jungtinėse Amerikos Valstijose.
 Jie taip pat norėjo, kad atitiktų tėvų konsultavimo
 apie suaugusiųjų kalbą, muziką,
 ir todėl savanoriška programa, bet jie norėjo laikytis, kad
 o ne vaidinti intymias lyrics vaikams 13 ir pagal.
 

Jie turėjo teisėtas priežastis rinkti šiuos duomenis.
 Jų programa turėjo leidimus tai padaryti.
 Vartotojai mano, kad šis buvo teisėtas. Bet kas atsitiko?
 Jie susieti 3 ar 4 skirtingų skelbimų bibliotekose.
 Dabar visi staiga šių skelbimų bibliotekose
 gaunate prieigą prie tos pačios informacijos.
 Ad bibliotekos, jei jums pažvelgti į kodą skelbimų bibliotekose
 ką jie yra kiekviename skelbime biblioteka sako
 "Ar mano app turėti teisę gauti GPS vieta?"
 "O, tai? Gerai, papasakok man GPS vietą."
 Kiekvienas skelbimas biblioteka daro, kad
 ir jei programa neturi GPS leidimą
 jis negalės gauti, bet jei ji, jis bus gauti.
 Tai kur verslo modelis ad bibliotekose
 nepritaria naudotojo privatumą.
 Ir ten buvo studijos ten, kad bus pasakyti, jei žinote, kokio amžiaus
 asmens ir žinote jų buvimo vietą
 kur jie miegoti naktį, nes jūs turite savo GPS koordinates
 o jie gal miega, jūs tiksliai žinote, kas yra tas asmuo yra
 nes galite nustatyti, kuris narys tame namų ūkyje yra tas asmuo.
 Tikrai tai yra nustatyti reklamuotojams
 tiksliai, kas jūs esate, ir atrodo, kad jis buvo teisėtas.
 Aš tik noriu, kad mano transliacijos muziką, ir tai yra vienintelis būdas jį gauti.
 

Na, mes veikiami tai.
 Mes tai parašiau iki kelių dienoraščio,
 ir paaiškėjo, kad kažkas iš žurnalo "Rolling Stone
 skaityti vieną iš mūsų dienoraštyje rašė savo dienoraštį Rolling Stone ", apie tai,
 ir jau kitą dieną Pandora maniau jis buvo gera idėja
 pašalinti skelbimą bibliotekoms jų taikymo.
 Kiek aš žinau, jie, jie turėtų būti tik pagirti.
 Manau, kad jie tik freemium tipo programa, kuri tai padarė.
 Visi kiti Freemium programos turi tą pačią problemą,
 todėl jūs turite galvoti apie tai, kokios duomenų jūs suteikiant
 šie Freemium paraiškas, nes visa tai vyksta reklamuotojams.
 Pretorionas taip pat padarė tyrimą apie bendrus bibliotekų ir sakė,
 "Pažvelkime, ką bendra bibliotekos yra svarbiausi shared libraries", ir tai buvo duomenys.
 

Jie išanalizavo 53.000 programas,
 ir skaičius 1 shared library buvo "AdMob".
 Iš tikrųjų tai buvo 38% paraiškų iš ten,
 todėl 38% paraiškų jūs naudojate
 tikriausiai derliaus nuėmimo savo asmeninę informaciją
 ir siunčia jį į skelbimų tinklus. Apache ir "Android" buvo 8% ir 6%
 ir tada tie kiti tie žemyn apačioje, "Google" skelbimai, Flurry,
 Mob Miestas ir tukstantmetinis Žiniasklaida
 visa tai yra reklamos kompanijos, o tada įdomiai pakankamai,
 4% susieti "Facebook" bibliotekoje
 tikriausiai daryti autentifikavimą per "Facebook"
 taigi programa gali patvirtinti "Facebook".
 Bet tai taip pat reiškia, kad korporacija "Facebook" kontroliuojantis kodą
 tai veikia 4% "Android" mobiliųjų programų iš ten,
 ir jie turi prieigą prie visų duomenų, kad programa turi teisę gauti ne.
 "Facebook" iš esmės bando parduoti reklamos laiką.
 Štai jų verslo modelis.
 

Jei pažvelgti į visą šią ekosistemą su šių leidimų
 ir shared libraries jūs pradėsite matyti, kad
 turite rizikos daug tariamai teisėtą taikymą.
 Pats panašus dalykas, kad atsitiko su Pandora
 atsitiko su programa, vadinama Kelias,
 ir kelias manė, kad jie buvo yra naudinga, draugiški kūrėjai.
 Jie tiesiog bando jums didelį įspūdį,
 ir paaiškėjo, kad be raginimo vartotojui arba vartotojui pranešti, kas-
 ir tai atsitiko dėl iPhone ir Android,
 Pandora programa buvo "iPhone" ir "Android"
 kad kelias paraiška buvo greiferiniai visą savo adresų knygą
 ir įkelti jį į kelias tik tada, kai įdiegta ir bėgo paraišką,
 ir jie negali pasakyti apie tai.
 Jie manė, kad tai buvo tikrai naudinga jums
 kad būtų galima dalintis su visais jūsų adresų knygą žmonių
 kad jūs naudojate Kelias taikymą.
 

Na, žinoma, Kelias pagalvojau, kad tai buvo puikus savo įmonę.
 Ne toks didelis vartotojui.
 Jūs turite manyti, kad tai vienas dalykas, jei gal paauglys
 naudojant šią programą, ir jų dešimtys draugai yra ten,
 bet kas, jei tai kompanija, kuri įdiegia Kelias generalinis direktorius
 ir tada visi staiga visą jų adresų knygoje yra ten?
 Jūs ketinate gauti potencialiai vertingą kontaktinę informaciją aikštelė
 už daug žmonių.
 Žurnalistė iš New York Times ", jums gali būti suteikta galimybė gauti telefono numerį
 buvusiems pirmininkams iš savo adresų knygą,
 taigi akivaizdu, kad slaptos informacijos daug gauna perduodami kažką panašaus į tai.
 Ten buvo toks didelis lopas apie tai, kad kelias atsiprašė.
 Jie pakeitė savo programą, ir net trenkiasi Apple.
 "Apple" sakė: "Mes ketiname priversti app pardavėjai paskatinti vartotojus
 jei jie ketina rinkti visą savo adresų knygą. "
 

Atrodo, kas čia vyksta yra
 kai yra vienas didelis privatumo pažeidimas ir tai daro spauda
 matome pokyčius ten.
 Bet, žinoma, yra ir kitų dalykų ten.
 "LinkedIn taikymas derlių kalendoriaus įrašus,
 tačiau "Apple" nereiškia, kad vartotojas bus pasiūlyta apie tai.
 Kalendoriaus įrašų gali turėti slaptą informaciją per juos.
 Kur keliaujate nubrėžti liniją?
 Tai tikrai rūšies vystosi vieta
 jei ten tikrai nieko gero standartas ten
 kad vartotojai galėtų suprasti, kai jų informacija bus gresia
 ir kada jie ketina žinau, tai buvo priimtas.
 Mes rašė ne Veracode app vadinamas Adios,
 Iš esmės jis leido jums atkreipti app savo iTunes katalogą
 ir pažvelgti į visas programas, kurios buvo derliaus nuėmimo visą savo adresų knygą.
 Ir kaip matote šiame sąraše čia, Angry Birds,
 TIKSLAS, AroundMe.
 Kodėl Angry Birds reikia jūsų adresų knygą?
 Aš nežinau, bet ji kažkaip.
 

Tai yra kažkas, kad daug, daug programų, tai padaryti.
 Galite patikrinti kodą tai.
 Yra gerai apibrėžtos API iPhone, Android ir BlackBerry
 gauti į adresų knygą.
 Jūs tikrai gali lengvai patikrinti už tai, ir tai, ką mes padarėme mūsų Adios taikymo.
 Kitą kategoriją, nesaugūs Jautri Duomenų saugojimas,
 yra kažkas, kai kūrėjai imasi kažką panašaus smeigtuku ar sąskaitos numeris
 arba slaptažodį ir laikykite jį aišku ant prietaiso.
 Dar blogiau, jie gali laikyti jį toje srityje, ant telefono
 kuris yra visiems prieinami, kaip ir į SD kortelę.
 Jūs matote tai dažniau Android, nes Android leidžia SD kortelę.
 IPhone prietaisai neturi.
 Bet mes net matėte tai atsitikti Citigroup taikymo.
 Jų internetinės bankininkystės programa saugomi sąskaitų numerius nesaugiai,
 tik aišku, todėl, jei jums neteko savo prietaisą,
 iš esmės jūs praradote savo banko sąskaitą.
 Tai kodėl aš asmeniškai nedaryk bankininkystės mano iPhone.
 Manau, kad tai per daug rizikinga dabar daryti šių veiklos rūšių.
 

"Skype" padarė tą patį.
 "Skype", žinoma, yra sąskaitos balansas, vartotojo vardą ir slaptažodį
 kad pasiekti šią pusiausvyrą.
 Jie buvo laikyti visa tai aišku, informaciją apie mobiliojo prietaiso.
 Turiu keletą pavyzdžių čia sukurti failus
 kurie neturi reikiamo leidimo arba rašyti į diską
 o ne turintys bet šifravimo atsitikti, kad.
 Tai naujos sritis, nesaugūs Jautrus duomenų perdavimo,
 Aš užsiminiau tai kelis kartus, ir dėl visuomenės "Wi-Fi"
 tai yra kažkas, kad apps būtinai reikia daryti,
 ir tai turbūt yra tai, ką matome suklysti labiausiai. Sakyčiau, iš tikrųjų, manau, kad turime faktinius duomenis,
 bet tai beveik pusė mobiliųjų programų
 susukti daro SSL.
 Jie tiesiog negali naudoti API teisingai.
 Aš turiu galvoje, visi jūs turite padaryti, tai laikytis instrukcijų ir naudoti API,
 bet jie tokie dalykai kaip ne patikrinti, ar yra sertifikatas negalioja kitame gale,
 netikrina, jei kitas galas bando daryti protokolas downgrade ataką.
 

Kūrėjai, jie nori gauti savo langelį, tiesa?
 Jų reikalavimas yra naudoti tai parduoti. Jie naudojami tai parduoti.
 Reikalavimas yra šios funkcijos nenaudoti parduoti saugiai,
 ir tai, kodėl visos paraiškos, kurios naudoja SSL saugų duomenų
 kaip tai būtų perduodami ne prietaisas tikrai reikia būti tikrinami
 įsitikinti, kad buvo tinkamai įgyvendinama.
 Ir čia aš turiu keletą pavyzdžių, kur galima pamatyti paraišką
 gali būti naudojant HTTP, o ne HTTPS.
 Kai kuriais atvejais programos pateks į HTTP
 jei HTTPS neveikia.
 Turiu kitą skambutį čia Android, kurioje jie išjungta sertifikatų patikrinimą,
 taip man-in-the-middle ataka gali atsitikti.
 Negaliojantis sertifikatas bus priimtas.
 Tai yra visi atvejai, kai užpuolikai ketinate turėti galimybę gauti
 paties "Wi-Fi" ryšio, kaip vartotojas ir naudotis visi duomenų
 tai siunčiami per internetą.
 

Ir, pagaliau, paskutinis kategorijos Turiu čia yra kieta slaptažodžiu ir raktai.
 Mes iš tikrųjų matyti, kūrėjai daug naudoja tą patį kodavimo stilių
 kad jie padarė, kai jie buvo kurti žiniatinklio serverio programas,
 todėl jie kurti Java serverio programą, ir jie hardcoding klavišą.
 Na, kai kuriate serverio taikymą, taip,
 hardcoding raktą nėra gera idėja.
 Tai sunku pakeisti.
 Bet tai nėra taip blogai, serverio pusėje, nes kas turi prieigą prie serverio pusėje?
 Tik administratoriai.
 Bet jei Jūs vartojate tą patį kodą ir jums pilamas jį į mobilųjį taikymo
 dabar visi kas turi, kad mobiliųjų aplikacijų turi prieigą prie toje kieta raktą,
 ir mes iš tikrųjų matyti, tai daug kartų, ir aš turiu kai kuriuos statistinius duomenis
 kaip dažnai mes matome tai įvyktų.
 Tai iš tikrųjų buvo pavyzdys kodą, kad "MasterCard" paskelbtą
 apie tai, kaip naudoti savo paslaugas.
 Pavyzdys kodas parodė, kaip jūs tiesiog imtis savo slaptažodį
 ir įdėti jį į kieta eilutę tiesiai ten,
 ir žinome, kaip kūrėjai mėgsta kopijuoti ir įklijuoti kodo fragmentus
 kai jie bando kažką daryti, todėl jūs nukopijuokite ir įklijuokite kodo fragmentą
 kad jie davė kaip pavyzdys kodą, ir jūs turite nesaugų taikymą.
 

Ir čia mes turime keletą pavyzdžių.
 Tai pirmasis yra viena matome daug kur jie hardcode
 duomenys tiesiai į URL kuris siunčiamas.
 Kartais matome string password = slaptažodį.
 Tai gana lengva nustatyti, ar eilutė slaptažodis į BlackBerry ir Android.
 Tai tikrai gana lengva patikrinti, nes beveik visada
 užsakovas pavadinimai kintamųjų tai laikydami slaptažodį
 kai slaptažodžio keitimu.
 Minėjau, kad mes statinio analizę Veracode,
 todėl mes išanalizavo kelis šimtus Android ir iOS programas.
 Mes sukūrėme visiškai modelius jų, ir mes galime juos nuskaityti
 įvairių spragų, ypač silpnųjų aš kalbu apie,
 ir aš turiu kai kuriuos duomenis čia.
 68,5% "Android apps mes pažvelgė
 sulaužė kriptografijos kodą
 kuris mums, mes negalime nustatyti, jei jūs padarėte savo šifravimo rutinos,
 ne tai, kad tai gera idėja, bet iš tikrųjų tai yra naudojant paskelbtus API
 kad yra ant platformos, bet daro juos taip
 kad kriptografija būtų pažeidžiami, 68.5.
 Ir tai yra žmonių, kurie mums siunčia savo paraiškas iš tikrųjų, nes
 jie galvoja, kad tai yra gera idėja padaryti saugumo bandymai.
 Tai jau yra žmonės, kurie tikriausiai galvojate saugiai,
 todėl tikriausiai net blogiau.
 

Aš ne kalbėti apie valdymo linijoje pašarų injekcijos.
 Tai, ką mes patikrinti, bet tai nereiškia, kad rizikingas dalykas.
 Informacijos nutekėjimo, tai yra, kai jautrus duomenys siunčiami išjungti įrenginį.
 Mes nustatėme, kad 40% visų paraiškų.
 Laikas ir valstybė, tie, kurie lenktynių sąlyga tipo klausimai, paprastai gana sunku išnaudoti,
 todėl aš ne kalbėti apie tai, bet mes pažvelgė į jį.
 23% turėjo SQL injekcijos klausimus.
 Daug žmonių nežino, kad daug paraiškų
 naudoti nedidelį mažai SQL duomenų bazę savo nugaros pabaigos saugoti duomenis.
 Na, jei duomenys, kad jūs greiferiniai per tinklą
 turi SQL injekcijos išpuolių eilutes jame
 kas nors gali pakenkti prietaiso per, kad
 ir todėl manau, kad mes pastebėjome, apie 40% interneto programų turi šią problemą,
 kuris yra didžiulis epidemija problema.
 Manome, kad 23% laiko mobiliųjų aplikacijų
 ir tai tikriausiai todėl, kad daug daugiau interneto programas naudoti SQL kaip mobilus.
 

Ir tada mes vis dar matyti kai cross-site scripting, leidimų klausimus,
 ir tada pažymėjimus valdymas, tai kur jūs turite savo kieta slaptažodį.
 5% paraiškų matome, kad.
 Ir tada mes turime kai kuriuos duomenis apie iOS.
 81% buvo klaida tvarkymo klausimus. Tai yra daugiau kodų kokybės problema,
 bet 67% turėjo kriptografijos klausimai, todėl ne visai taip blogai, kaip Android.
 Gal API šiek tiek lengviau, pavyzdyje kodai tiek geriau iOS.
 Bet vis tiek labai didelis procentas.
 Mes turėjome 54% su informacijos nutekėjimo,
 apie 30% su buferio valdymo klaidų.
 Tai vietos, kur gali būti potencialiai atminties korupcija klausimas.
 Pasirodo, kad tai ne taip daug jos panaudojimo problemos
 iOS nes visi kodas turi būti pasirašytas,
 todėl sunku užpuolikas vykdyti pasirinktą kodą iOS.
 Kodas kokybės, katalogas Sankryþos, bet tada įgaliojimai valdymas čia ne 14,6%,
 taip blogiau nei Android.
 Mes turime žmonės ne tvarkyti slaptažodžius teisingai.
 Ir tada skaitiniai klaidų ir buferio,
 tiems, kurie daugiau bus kodas kokybės klausimai dėl iOS.
 

Tai buvo mano pateikimo. Aš nežinau, jei mes pavėluotai, ar ne.
 Aš nežinau, jei ten kokių nors klausimų.
 [Vyras] greitas klausimas apie susiskaldymo ir Android Market.
 "Apple" bent valdo užtaisymo.
 Jie padaryti gerą darbą gauti jį iš ten, o ne taip "Android erdvėje.
 Jūs beveik turite Jailbreak jūsų telefoną sustabdyti dabartinę
 su dabartine išleisti "Android".
 Taip, tai didelė problema ir todėl, jei jūs manote apie tai-
 [Vyras] Kodėl tu negali jį pakartoti?
 

O, tiesa, todėl klausimas buvo, ką apie fragmentacija
 operacinės sistemos "Android" platforma?
 Kaip tai įtakos šių prietaisų rizikingumą?
 Ir ji iš tikrųjų yra didelė problema, nes tai, kas vyksta
 vyresnio amžiaus prietaisai, kai kas nors ateina su už tą prietaisą Jailbreak
 iš esmės tai privilegija eskalacijos, kol tas operacinė sistema yra atnaujinamas
 bet kenkėjiškų programų, tada gali naudoti šį pažeidžiamumą visiškai pažeisti įrenginį,
 ir ką mes matome ant Android, siekiant gauti naują operacinę sistemą
 "Google" turi irtis operacinę sistemą, ir tada aparatūros gamintojas
 turi pritaikyti jį, ir tada vežėjas turi pritaikyti jį ir pristatyti jį.
 Jūs turite iš esmės 3 judančių dalių čia,
 ir ji sukasi, kad vežėjai nerūpi,
 ir aparatūros gamintojai nerūpi, ir "Google" nėra prodding jiems pakankamai
 nieko ten daryti, todėl iš esmės daugiau nei pusė prietaisų
 turi operacines sistemas, kurios šiuos privilegija eskalacijos pažeidžiamumus jų,
 ir todėl, jei jūs gaunate kenkėjiškų programų "Android" įrenginį, tai daug daugiau problemų.
 

Gerai, labai ačiū.
 [Plojimai]
 [CS50.TV]