1
00:00:00,000 --> 00:00:02,610
>> [Seminar] [Niddefendu Behind the Device: Mobile Applikazzjoni Sigurtà]

2
00:00:02,610 --> 00:00:04,380
[Chris Wysopal] [Harvard University]

3
00:00:04,380 --> 00:00:07,830
[Dan huwa CS50.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> Tajba wara nofsinhar. Jisimni Chris Wysopal.

5
00:00:10,360 --> 00:00:13,360
Jien l-CTO u ko-fundatur tal Veracode.

6
00:00:13,360 --> 00:00:15,880
Veracode hija kumpanija tas-sigurtà applikazzjoni.

7
00:00:15,880 --> 00:00:18,230
Aħna test kull tip ta 'applikazzjonijiet differenti,

8
00:00:18,230 --> 00:00:25,060
u dak li jien ser jitkellmu dwar llum hija s-sigurtà mobbli applikazzjoni.

9
00:00:25,060 --> 00:00:28,630
Isfond tiegħi huwa Stajt kont qed tagħmel riċerka tas-sigurtà

10
00:00:28,630 --> 00:00:31,970
għal żmien twil ħafna, probabbilment madwar sakemm xi ħadd.

11
00:00:31,970 --> 00:00:35,000
I bdew fl-90s nofs,

12
00:00:35,000 --> 00:00:37,370
u kien żmien li kien pjuttost interessanti minħabba

13
00:00:37,370 --> 00:00:39,220
kellna bidla fundamentali fil-90s nofs.

14
00:00:39,220 --> 00:00:43,520
Kollha tal-kompjuter kulħadd f'daqqa kien hooked up għall-internet,

15
00:00:43,520 --> 00:00:46,550
u mbagħad kellna l-bidu ta 'applikazzjonijiet web,

16
00:00:46,550 --> 00:00:49,330
u dan huwa dak I iffukat fuq lott imbagħad.

17
00:00:49,330 --> 00:00:51,160
Huwa interessanti.

18
00:00:51,160 --> 00:00:53,930
Issa għandna bidla oħra paradigma jiġri bil-kompjuters,

19
00:00:53,930 --> 00:00:58,710
li hija l-bidla għal applikazzjonijiet mobbli.

20
00:00:58,710 --> 00:01:03,680
>> Inħoss huwa tip ta 'żmien simili allura kien fl-90s tard

21
00:01:03,680 --> 00:01:07,650
meta konna jinvestigaw applikazzjonijiet web u jsibu difetti simili

22
00:01:07,650 --> 00:01:11,800
żbalji ta 'ġestjoni sessjoni u l-injezzjoni SQL

23
00:01:11,800 --> 00:01:14,940
li verament ma kienx jeżisti qabel, u kollha f'daqqa kienu kullimkien

24
00:01:14,940 --> 00:01:19,360
fl-applikazzjonijiet web, u issa ħafna mill-ħin I jonfqu

25
00:01:19,360 --> 00:01:27,950
qed tħares lejn applikazzjonijiet mobbli u tħares lejn dak li għaddej hemmhekk fis-selvaġġ.

26
00:01:27,950 --> 00:01:32,060
Applikazzjonijiet mobbli huma verament se jkun il-pjattaforma computing dominanti,

27
00:01:32,060 --> 00:01:35,060
hekk aħna verament bżonn li jqattgħu ħafna ħin jekk int fl-industrija tas-sigurtà

28
00:01:35,060 --> 00:01:39,280
jiffoka fuq applikazzjonijiet web.

29
00:01:39,280 --> 00:01:43,420
Kien hemm 29000000000 apps mobbli jitniżżel fl-2011.

30
00:01:43,420 --> 00:01:47,920
Huwa mbassar li jkun 76000000000 apps sa l-2014.

31
00:01:47,920 --> 00:01:54,040
Hemm 686000000 mezzi li ser jiġu mixtrija din is-sena,

32
00:01:54,040 --> 00:01:57,060
għalhekk dan huwa fejn in-nies se tkun qed twettaq

33
00:01:57,060 --> 00:01:59,600
 il-maġġoranza tal-kompjuters klijent tagħhom miexi 'l quddiem.

34
00:01:59,600 --> 00:02:04,220
>> I kien tkellem lil xi Viċi president fil Investimenti fedeltà

35
00:02:04,220 --> 00:02:08,780
ftit xhur ilu, u qal li biss raw aktar traffiku

36
00:02:08,780 --> 00:02:12,610
jagħmlu tranżazzjonijiet finanzjarji mill-klijentela tagħhom

37
00:02:12,610 --> 00:02:16,230
fuq mobbli applikazzjoni tagħhom milli fuq il-websajt tagħhom,

38
00:02:16,230 --> 00:02:20,610
hekk użu komuni għall-Web fil-passat kien

39
00:02:20,610 --> 00:02:23,800
verifika stock kwotazzjonijiet tiegħek, ġestjoni tal-portafoll tiegħek,

40
00:02:23,800 --> 00:02:28,060
u aħna qed attwalment jaraw li fl-2012 bidla

41
00:02:28,060 --> 00:02:30,960
li jkun aktar dominanti fuq il-pjattaforma mobbli.

42
00:02:30,960 --> 00:02:34,530
Ċertament jekk hemm għaddej li tkun kwalunkwe attività kriminali,

43
00:02:34,530 --> 00:02:38,900
kwalunkwe attività malizzjużi, li għaddej biex tibda tkun iffokata fuq il-pjattaforma mobbli

44
00:02:38,900 --> 00:02:44,210
matul iż-żmien bħala nies jaqilbu għal dan.

45
00:02:44,210 --> 00:02:48,320
Jekk inti tħares lejn il-pjattaforma mobbli,

46
00:02:48,320 --> 00:02:54,380
li tħares lejn ir-riskji tal-pjattaforma huwa utli li din tinqasam il-livelli differenti,

47
00:02:54,380 --> 00:02:59,010
bħad inti tagħmel dan fuq kompjuter desktop,

48
00:02:59,010 --> 00:03:02,860
u taħseb dwar il-livelli differenti, software, sistema operattiva,

49
00:03:02,860 --> 00:03:07,730
saff tan-netwerk, saff hardware, u naturalment, hemm vulnerabilitajiet fuq dawk saffi kollha.

50
00:03:07,730 --> 00:03:10,510
>> L-istess ħaġa jiġri fuq il-mowbajl.

51
00:03:10,510 --> 00:03:14,880
Imma mobbli, jidher li xi wħud minn dawk saffi huma agħar.

52
00:03:14,880 --> 00:03:19,840
Għal waħda, il-saff tan-netwerk huwa aktar problematika fuq il-mowbajl

53
00:03:19,840 --> 00:03:25,650
peress li ħafna nies ikollhom fil-kariga tagħhom jew id-dar

54
00:03:25,650 --> 00:03:30,780
konnessjonijiet bil-fili jew li għandhom Wi-Fi konnessjonijiet siguri,

55
00:03:30,780 --> 00:03:36,530
u bil-lott ta 'apparat mobbli int ovvjament barra mid-dar

56
00:03:36,530 --> 00:03:40,520
jew barra mill-uffiċċju ħafna, u jekk inti qed tuża Wi-Fi hemm

57
00:03:40,520 --> 00:03:42,820
inti tista 'tuża prekarju Wi-Fi konnessjoni,

58
00:03:42,820 --> 00:03:45,570
xi ħaġa li l-pubbliku Wi-Fi konnessjoni,

59
00:03:45,570 --> 00:03:48,840
hekk meta naħsbu dwar apps mobbli għandna biex jieħdu kont

60
00:03:48,840 --> 00:03:53,770
li l-ambjent tan-netwerk huwa aktar riskjużi għal dawk l-applikazzjonijiet

61
00:03:53,770 --> 00:03:57,640
meta Wi-Fi qed tintuża.

62
00:03:57,640 --> 00:04:02,410
U meta I tikseb fis aktar mir-riskji mobbli applikazzjoni

63
00:04:02,410 --> 00:04:04,910
tkun taf tara għaliex li l-aktar importanti.

64
00:04:04,910 --> 00:04:09,710
Hemm riskji fil-livell hardware fuq apparat mobbli.

65
00:04:09,710 --> 00:04:11,670
Dan huwa qasam ta 'riċerka kontinwa.

66
00:04:11,670 --> 00:04:15,910
Nies sejħa dawn l-attakki tal-broadband jew attakki baseband

67
00:04:15,910 --> 00:04:21,870
fejn int jattakkaw il-Firmware thats jisimgħu fuq ir-radju.

68
00:04:21,870 --> 00:04:25,430
>> Dawn huma verament attakki scary għaliex

69
00:04:25,430 --> 00:04:27,280
l-utent ma jkollhom jagħmlu xi ħaġa.

70
00:04:27,280 --> 00:04:30,760
Inti tista 'tolqot lottijiet ta' mezzi fil-firxa RF

71
00:04:30,760 --> 00:04:36,690
f'daqqa, u jidher li huwa simili kull meta din ir-riċerka bżieżaq up

72
00:04:36,690 --> 00:04:40,750
malajr jiġrilha kklassifikati fejn

73
00:04:40,750 --> 00:04:46,600
nies swoop fil madwar u jgħidu, "Hawn, tgħidilna dwar dan, u jekk jogħġbok stop jitkellem dwar dan."

74
00:04:46,600 --> 00:04:49,460
Hemm xi riċerka għaddejjin fil-qasam tal-broadband,

75
00:04:49,460 --> 00:04:51,980
iżda jidher li jkun hush hush ħafna.

76
00:04:51,980 --> 00:04:56,910
Naħseb li huwa aktar ta 'tip stat nazzjon ta' riċerka li għaddej.

77
00:04:56,910 --> 00:05:02,140
Żona ta 'riċerka attiva, għalkemm, huwa s-saff sistema operattiva,

78
00:05:02,140 --> 00:05:08,910
u għal darb'oħra, dan huwa differenti milli fil-dinja tal-kompjuter desktop

79
00:05:08,910 --> 00:05:14,840
minħabba fl-ispazju mobbli ikollok dawn it-timijiet ta 'nies imsejħa jailbreakers,

80
00:05:14,840 --> 00:05:18,670
u jailbreakers huma differenti minn riċerkaturi vulnerabbiltà regolari.

81
00:05:18,670 --> 00:05:21,970
Huma qed jippruvaw isibu vulnerabbiltajiet fis-sistema operattiva,

82
00:05:21,970 --> 00:05:27,000
iżda r-raġuni li qed tipprova ssib il-vulnerabbiltajiet mhuwiex li

83
00:05:27,000 --> 00:05:31,810
jidħlu fis-magna xi ħadd ieħor u kompromess dan.

84
00:05:31,810 --> 00:05:34,280
Huwa li jidħlu fis-kompjuter tagħhom stess.

85
00:05:34,280 --> 00:05:38,820
>> Huma jixtiequ li jidħlu fis-mowbajl tagħhom stess, jimmodifikaw sistema operattiva mobbli tagħhom stess

86
00:05:38,820 --> 00:05:41,050
sabiex ikunu jistgħu imexxu l-applikazzjonijiet tal-għażla tagħhom

87
00:05:41,050 --> 00:05:44,510
u l-bidla affarijiet ma permessi amministrattivi kollha,

88
00:05:44,510 --> 00:05:49,050
u ma jridux li tgħid il-bejjiegħ dwar dan.

89
00:05:49,050 --> 00:05:52,960
Dawn mhux qed simili riċerkatur sigurtà li huwa riċerkatur sigurtà hat abjad

90
00:05:52,960 --> 00:05:56,600
li se tagħmel l-iżvelar responsabbli u għid l-bejjiegħ dwar dan.

91
00:05:56,600 --> 00:06:01,270
Huma jixtiequ li jagħmlu din ir-riċerka, u huma jridu li attwalment tippubblikaha

92
00:06:01,270 --> 00:06:06,400
fi jisfrutta jew rootkit jew kodiċi jailbreak,

93
00:06:06,400 --> 00:06:10,010
u huma jridu li jagħmlu dan strateġikament, bħal dritt wara

94
00:06:10,010 --> 00:06:13,570
il-vapuri bejjiegħ tas-sistema operattiva ġdida.

95
00:06:13,570 --> 00:06:16,350
Inti għandek din ir-relazzjoni tal-kontradittorju

96
00:06:16,350 --> 00:06:19,000
vulnerabilitajiet ta 'livell OS fuq il-mobile,

97
00:06:19,000 --> 00:06:23,150
li naħseb huwa pjuttost interessanti, u post wieħed naraw

98
00:06:23,150 --> 00:06:29,210
qed jagħmilha tant li hemm kodiċi tajjeb ippubblikat jisfruttaw hemmhekk

99
00:06:29,210 --> 00:06:31,750
għall-vulnerabbiltajiet fil-livell għadma,

100
00:06:31,750 --> 00:06:35,040
u Rajna dawk attwalment jintużaw minn kittieba malware.

101
00:06:35,040 --> 00:06:38,450
Huwa daqsxejn ftit differenti mill-dinja PC.

102
00:06:38,450 --> 00:06:42,530
U allura l-aħħar saff huwa s-saff ta 'fuq, il-saff tal-applikazzjoni.

103
00:06:42,530 --> 00:06:45,250
Dak hu li jien ser jitkellmu dwar llum.

104
00:06:45,250 --> 00:06:48,970
>> Jeżistu Is-saffi l-oħra, u l-saffi oħra għandhom fiha,

105
00:06:48,970 --> 00:06:53,310
imma jien aktar ser jitkellmu dwar x'inhu għaddej fil-saff tal-applikazzjoni

106
00:06:53,310 --> 00:06:55,560
fejn kodiċi qed taħdem fil-sandbox.

107
00:06:55,560 --> 00:06:58,670
Huwa ma jkollu privileġġi amministrattivi.

108
00:06:58,670 --> 00:07:02,170
Huwa għandu juża l-APIs tal-mezz,

109
00:07:02,170 --> 00:07:06,970
iżda xorta, lott ta 'attività malizzjużi u ħafna ta' riskju jista 'jiġri f'dak saff

110
00:07:06,970 --> 00:07:09,220
minħabba li l-saff fejn l-informazzjoni hi.

111
00:07:09,220 --> 00:07:12,330
Apps jistgħu jaċċessaw l-informazzjoni kollha fuq l-apparat

112
00:07:12,330 --> 00:07:15,390
jekk ikollhom il-permessi dritt,

113
00:07:15,390 --> 00:07:17,540
u jistgħu aċċess għall-sensuri differenti fuq l-apparat,

114
00:07:17,540 --> 00:07:23,950
Sensor tal-GPS, mikrofonu, camera, dak li int.

115
00:07:23,950 --> 00:07:27,380
Anki jekk aħna qed biss jitkellem dwar fil-saff tal-applikazzjoni

116
00:07:27,380 --> 00:07:33,700
għandna ħafna ta 'riskju hemmhekk.

117
00:07:33,700 --> 00:07:38,450
Il-ħaġa oħra li l differenti dwar l-ambjent mobbli

118
00:07:38,450 --> 00:07:45,060
hija l-atturi kollha tas-sistema operattiva, kemm jekk tkun tut jew Android

119
00:07:45,060 --> 00:07:53,410
jew IOS jew Windows mobbli, kollha għandhom mudell multa permess grained,

120
00:07:53,410 --> 00:07:56,990
u dan huwa wieħed mill-modi li huma mibnija fis-sistema operattiva

121
00:07:56,990 --> 00:08:01,230
l-idea li mhuwiex bħala riskjuż kif taħseb.

122
00:08:01,230 --> 00:08:04,550
Anki jekk għandek kuntatti kollha tiegħek fuq hemmhekk, l-informazzjoni personali tiegħek,

123
00:08:04,550 --> 00:08:09,080
għandek ritratti tiegħek, inti għandek post tiegħek fuq hemmhekk,

124
00:08:09,080 --> 00:08:14,820
int ħażna pin bank tiegħek għall-login auto fuq hemmhekk, huwa sikur għaliex

125
00:08:14,820 --> 00:08:19,430
apps għandhom ikollhom ċerti permessi li jiksbu fil ċerti partijiet

126
00:08:19,430 --> 00:08:25,080
ta 'l-informazzjoni fuq il-mezz, u l-utent għandu jiġi ppreżentat bil-

127
00:08:25,080 --> 00:08:29,230
dawn il-permessi u jgħidu okay.

128
00:08:29,230 --> 00:08:32,590
>> Il-problema bil huwa l-utent dejjem jgħid okay.

129
00:08:32,590 --> 00:08:35,240
Bħala persuna sigurtà, Naf li inti tista 'fil-pront lill-utent,

130
00:08:35,240 --> 00:08:40,100
ngħid xi ħaġa tassew ħżiena jiġri, tridu li jiġri?

131
00:08:40,100 --> 00:08:44,680
U jekk dawn qed fil-għaġla jew hemm xi ħaġa verament enticing fuq in-naħa l-oħra ta 'dan,

132
00:08:44,680 --> 00:08:47,760
bħal logħba se tkun installata li kont qed tistenna,

133
00:08:47,760 --> 00:08:50,860
dawn qed tmur biex ikklikkja okay.

134
00:08:50,860 --> 00:08:56,630
C'est pourquoi I say fuq slide tiegħi hawn just let me fling għasafar fil-majjali diġà,

135
00:08:56,630 --> 00:09:03,150
u tista 'tara fuq il-pjastra hawn hemm eżempji ta' kaxxa permess tut.

136
00:09:03,150 --> 00:09:05,990
Hija tgħid "Jekk jogħġbok stabbilit l-permessi ta 'applikazzjoni tut Ivvjaġġar

137
00:09:05,990 --> 00:09:09,720
wara tikklikkja buttuna hawn taħt, "u bażikament l-utent huwa biss se ngħid

138
00:09:09,720 --> 00:09:12,240
tistabbilixxi l-permessi u jiffrankaw.

139
00:09:12,240 --> 00:09:18,010
Hawn pront Android fejn juri l-affarijiet,

140
00:09:18,010 --> 00:09:20,260
u fil-fatt tqiegħed xi ħaġa li kważi qisu twissija.

141
00:09:20,260 --> 00:09:25,090
Huwa ltqajna tip ta 'sinjal rendiment hemm qal komunikazzjoni tan-network, telefonata,

142
00:09:25,090 --> 00:09:28,120
iżda l-utent se ikklikkja jinstallaw, right?

143
00:09:28,120 --> 00:09:32,940
U allura l-Apple wieħed huwa kompletament innokwa.

144
00:09:32,940 --> 00:09:34,300
Hija ma tagħti ebda tip ta 'twissija.

145
00:09:34,300 --> 00:09:37,380
Huwa biss Apple tixtieq tuża lokazzjoni attwali tiegħek.

146
00:09:37,380 --> 00:09:39,670
Of course int ser ikklikkja okay.

147
00:09:39,670 --> 00:09:42,260
>> Hemm dan il-mudell permess fine-grained,

148
00:09:42,260 --> 00:09:45,890
u apps għandek jkollhom fajl manifest fejn jiddikjaraw

149
00:09:45,890 --> 00:09:49,410
l-permessi li għandhom bżonn, u li se tikseb murija lill-utent,

150
00:09:49,410 --> 00:09:53,480
u l-utent se jkollhom jgħidu I jagħtu dawn il-permessi.

151
00:09:53,480 --> 00:09:55,080
Imma ejja ikunu onesti.

152
00:09:55,080 --> 00:09:58,400
Utenti huma biss se dejjem ngħid okay.

153
00:09:58,400 --> 00:10:04,460
Ejja tagħti ħarsa lejn l-permessi li dawn apps qed jitolbu għal

154
00:10:04,460 --> 00:10:06,850
u wħud mill-permessi li qegħdin hemm.

155
00:10:06,850 --> 00:10:09,950
Din il-kumpannija Praetorian ma 'stħarriġ sena li għaddiet

156
00:10:09,950 --> 00:10:14,170
ta '53,000 applikazzjonijiet analizzati fis-swieq tas-suq u parti 3 Android,

157
00:10:14,170 --> 00:10:16,770
għalhekk dan huwa Android kollu.

158
00:10:16,770 --> 00:10:19,670
U l-app medja mitluba 3 permessi.

159
00:10:19,670 --> 00:10:23,370
Xi apps mitluba 117 permessi,

160
00:10:23,370 --> 00:10:27,480
dan ovvjament dawn huma fin ħafna grained u mod wisq kumplessi għall-utent biex jifhmu

161
00:10:27,480 --> 00:10:31,600
jekk dawn qed ippreżentata ma 'din app li teħtieġ dawn 117 permessi.

162
00:10:31,600 --> 00:10:37,270
Huwa bħall-ftehim ta 'liċenzja utent finali li l-45 paġni fit-tul.

163
00:10:37,270 --> 00:10:40,240
Forsi hekk dawn ser ikollhom għażla fejn huwa simili

164
00:10:40,240 --> 00:10:43,100
jistampaw il-permessi u tibgħatli email.

165
00:10:43,100 --> 00:10:45,480
>> Imma jekk inti tħares lejn uħud mill-permessi interessanti top

166
00:10:45,480 --> 00:10:50,840
24% ta 'l-apps li huma jitniżżlu mill-53000

167
00:10:50,840 --> 00:10:57,230
talbet informazzjoni GPS mill-apparat.

168
00:10:57,230 --> 00:10:59,810
8% aqra l-kuntatti.

169
00:10:59,810 --> 00:11:03,770
4% bagħat SMS, u 3% rċevew SMS.

170
00:11:03,770 --> 00:11:07,730
2% rreġistrati awdjo.

171
00:11:07,730 --> 00:11:11,210
1% pproċessati sejħiet 'il barra.

172
00:11:11,210 --> 00:11:13,140
I do not know.

173
00:11:13,140 --> 00:11:17,520
Ma naħsibx 4% mill-apps fil-maħżen app verament bżonn biex jibagħtu messaġġi SMS,

174
00:11:17,520 --> 00:11:21,410
hekk naħseb li l-ħjiel li xi ħaġa mhux mixtieqa qed jiġri.

175
00:11:21,410 --> 00:11:24,350
8% tal-apps bżonn biex taqra kuntatti lista tiegħek.

176
00:11:24,350 --> 00:11:26,510
Huwa probabbilment ma jkunx meħtieġ.

177
00:11:26,510 --> 00:11:30,990
Waħda mill-affarijiet oħra interessanti dwar il-permessi hija

178
00:11:30,990 --> 00:11:36,740
jekk inti link fil-libreriji maqsuma fis-applikazzjoni tiegħek

179
00:11:36,740 --> 00:11:39,780
dawk jirtu l-permessi ta 'l-applikazzjoni,

180
00:11:39,780 --> 00:11:46,570
hekk jekk app tiegħek teħtieġ l-lista ta 'kuntatt jew teħtieġ l-post GPS li jiffunzjonaw

181
00:11:46,570 --> 00:11:49,940
u inti link fil-librerija reklamar, per eżempju,

182
00:11:49,940 --> 00:11:53,170
li ad librerija se tkun tista 'aċċess għall-kuntatti wkoll

183
00:11:53,170 --> 00:11:57,630
u ukoll ikunu jistgħu jaċċessaw il-post GPS,

184
00:11:57,630 --> 00:12:01,990
u l-iżviluppatur tal-app jaf xejn dwar il-kodiċi li l-ġirja fit-ad librerija.

185
00:12:01,990 --> 00:12:05,370
Huma qed biss jgħaqqdu li minħabba li jkunu jridu monetize app tagħhom.

186
00:12:05,370 --> 00:12:09,820
>> Dan huwa fejn u jien ser nitkellmu dwar xi eżempji ta 'dan ma'

187
00:12:09,820 --> 00:12:13,930
applikazzjoni msejħa Pandora fejn iżviluppatur applikazzjoni

188
00:12:13,930 --> 00:12:18,910
tista bla ma jintebħu jiġu kxif ta 'informazzjoni

189
00:12:18,910 --> 00:12:24,580
mill-utenti tagħhom minħabba ta 'libreriji li ħadthom marbuta pulzieri

190
00:12:24,580 --> 00:12:30,110
Surveying-pajsaġġ hemmhekk, tħares lejn l-apps differenti

191
00:12:30,110 --> 00:12:34,310
li ġew irrappurtati fl-aħbarijiet bħala utenti malizzjużi jew tagħmel xi ħaġa ma riedx

192
00:12:34,310 --> 00:12:39,360
u mbagħad jispezzjona ħafna ta 'apps' nagħmlu ħafna ta 'analiżi binarja statika fuq apps mobbli,

193
00:12:39,360 --> 00:12:42,010
hekk konna spezzjonati lilhom u ħares lejn il-kodiċi nnifsu '

194
00:12:42,010 --> 00:12:49,640
aħna ħarāet bil nsejħu top 10 lista tagħna ta 'mġiba riskjuża fl-applikazzjonijiet.

195
00:12:49,640 --> 00:12:54,180
U huwa mqassam fi 2 taqsimiet, kodiċi malizzjuż,

196
00:12:54,180 --> 00:12:57,600
hekk dawn huma affarijiet ħżiena li l-apps jista 'jkun tagħmel li

197
00:12:57,600 --> 00:13:06,520
x'aktarx li jkunu xi ħaġa li individwu malizzjużi

198
00:13:06,520 --> 00:13:10,060
speċifikament tqiegħed fl-applikazzjoni, iżda huwa ftit fuzzy.

199
00:13:10,060 --> 00:13:13,300
Dan jista 'jkun xi ħaġa li l-iżviluppatur jaħseb huwa multa,

200
00:13:13,300 --> 00:13:16,350
iżda dan jispiċċa tiġi meqjusa bħala malizzjużi mill-utent.

201
00:13:16,350 --> 00:13:19,830
>> U mbagħad it-tieni taqsima hu dak li nsejħu kodifikazzjoni vulnerabbiltajiet,

202
00:13:19,830 --> 00:13:24,600
u dawn huma affarijiet fejn l-iżviluppatur bażikament qed tagħmel żbalji

203
00:13:24,600 --> 00:13:27,200
jew biss ma jifhmu kif jiktbu l-app sikur,

204
00:13:27,200 --> 00:13:30,260
 u li żied l-utent app f'riskju.

205
00:13:30,260 --> 00:13:34,060
Jien se jmorru permezz ta 'dawn fid-dettall u tagħti xi eżempji.

206
00:13:34,060 --> 00:13:39,620
Għar-referenza, jien ridt li tpoġġi l-OWASP mobbli top 10 lista.

207
00:13:39,620 --> 00:13:43,590
Dawn huma l-10 kwistjonijiet li grupp fil OWASP,

208
00:13:43,590 --> 00:13:48,900
il-Proġett Open Web Applikazzjoni Sigurtà, dawn ikollhom grupp ta 'ħidma

209
00:13:48,900 --> 00:13:50,620
taħdem fuq mobile top 10 lista.

210
00:13:50,620 --> 00:13:54,600
Huma għandhom famużi ħafna web top 10 lista, li huma l-top 10

211
00:13:54,600 --> 00:13:57,180
affarijiet ikbar riskju inti jista 'jkollhom f'applikazzjoni web.

212
00:13:57,180 --> 00:13:59,090
Huma qed tagħmel l-istess ħaġa għall-mobbli,

213
00:13:59,090 --> 00:14:01,750
u l-lista tagħhom hija xi ftit differenti minn tagħna.

214
00:14:01,750 --> 00:14:03,670
6 minn 10 huma l-istess.

215
00:14:03,670 --> 00:14:06,020
Huma għandhom 4 li huma differenti.

216
00:14:06,020 --> 00:14:10,550
Jien naħseb li jkollhom xi ftit ta 'take differenti fuq

217
00:14:10,550 --> 00:14:14,490
riskju fil apps mobbli fejn ħafna kwistjonijiet tagħhom

218
00:14:14,490 --> 00:14:20,490
huma verament kif l-applikazzjoni hija tikkomunika ma 'server back-end

219
00:14:20,490 --> 00:14:23,100
jew x'inhu għaddej fuq is-server back-end,

220
00:14:23,100 --> 00:14:29,220
apps mhux tant li jkollhom imġiba riskjuża li huma apps klijent biss sempliċi.

221
00:14:29,220 --> 00:14:36,640
>> Dawk bl-aħmar hawn huma d-differenzi bejn il-listi 2.

222
00:14:36,640 --> 00:14:40,740
U xi wħud tim tar-riċerka tiegħi fil-fatt ikkontribwixxa għal dan il-proġett,

223
00:14:40,740 --> 00:14:44,570
hekk aħna ser tara x'jiġri matul iż-żmien, iżda naħseb li l-takeaway hawnhekk huwa

224
00:14:44,570 --> 00:14:47,550
aħna ma verament jafu x'inhi l-top 10 lista tkun apps mobbli minħabba

225
00:14:47,550 --> 00:14:50,510
li ħadthom ġie verament biss madwar għal 2 jew 3 snin issa,

226
00:14:50,510 --> 00:14:57,750
u ma kien hemm biżżejjed ħin biex verament riċerka l-sistemi operattivi

227
00:14:57,750 --> 00:15:00,450
u dak li qed kapaċi, u ma kien hemm żmien biżżejjed

228
00:15:00,450 --> 00:15:06,870
għall-komunità malizzjużi, jekk inti se, li jkunu qattgħu żmien biżżejjed

229
00:15:06,870 --> 00:15:12,910
jippruvaw attakk utenti permezz apps mobbli, so I jistennew dawn il-listi għal bidla ftit.

230
00:15:12,910 --> 00:15:18,720
Iżda għal issa, dawn huma l-ogħla 10 affarijiet li tinkwieta dwar.

231
00:15:18,720 --> 00:15:24,150
Inti jista 'jistaqsi fuq il-ġenb mobbli fejn ma l-code-mobile malizzjużi

232
00:15:24,150 --> 00:15:28,880
kif ma jiksbu fuq l-apparat?

233
00:15:28,880 --> 00:15:35,210
North Carolina Istat għandha proġett imsejjaħ il-Proġett Ġenoma Mobile Malware

234
00:15:35,210 --> 00:15:39,520
fejn huma ġbir malware mobbli kemm jistgħu u janalizzaha,

235
00:15:39,520 --> 00:15:45,270
u ħadthom maqsuma l-vettori injezzjoni li l-malware mobbli użi,

236
00:15:45,270 --> 00:15:51,490
u 86% tintuża teknika msejħa ippakkjar mill-ġdid,

237
00:15:51,490 --> 00:15:54,160
u dan huwa biss fuq il-pjattaforma Android

238
00:15:54,160 --> 00:15:56,720
inti tista 'verament tagħmel dan ippakkjar mill-ġdid.

239
00:15:56,720 --> 00:16:03,100
>> Ir-raġuni hija kodiċi Android hija mibnija ma '

240
00:16:03,100 --> 00:16:08,130
kodiċi byte Java imsejħa Dalvik li huwa faċilment decompilable.

241
00:16:08,130 --> 00:16:12,460
X'inhu l-Guy ħażina tista 'tagħmel huwa

242
00:16:12,460 --> 00:16:16,590
jieħu applikazzjoni Android, jiddekkompilaw dan,

243
00:16:16,590 --> 00:16:20,120
daħħal kodiċi malizzjużi tagħhom, recompile dan,

244
00:16:20,120 --> 00:16:28,070
u mbagħad titqiegħed fil-maħżen app jidher li jkun verżjoni ġdida ta 'dik l-applikazzjoni,

245
00:16:28,070 --> 00:16:30,330
jew biss forsi jinbidlu l-isem ta 'l-applikazzjoni.

246
00:16:30,330 --> 00:16:35,140
Jekk kien xi tip ta 'logħba, jinbidel l-isem ftit,

247
00:16:35,140 --> 00:16:42,860
u għalhekk dan ippakkjar mill-ġdid huwa kif 86% ta 'malware mobbli gets mqassma.

248
00:16:42,860 --> 00:16:45,810
Hemm teknika msejħa aġġornament ieħor li huwa

249
00:16:45,810 --> 00:16:50,030
simili ħafna għal ippakkjar mill-ġdid, iżda inti fil-fatt ma tpoġġi l-kodiċi malizzjużi pulzieri

250
00:16:50,030 --> 00:16:52,870
Dak li għandek tagħmel huwa li inti tpoġġi fil-mekkaniżmu aġġornament żgħir.

251
00:16:52,870 --> 00:16:56,660
You decompile, inti tpoġġi fil-mekkaniżmu aġġornament, u inti recompile dan,

252
00:16:56,660 --> 00:17:02,360
u mbagħad meta l-app qed taħdem jiġbed l-malware fuq il-mezz.

253
00:17:02,360 --> 00:17:06,300
>> Sa fejn l-maġġoranza huma dawn it-tekniki 2.

254
00:17:06,300 --> 00:17:12,710
M'hemmx download Drive-bys verament ħafna jew drive-by downloads fuq il-mowbajls,

255
00:17:12,710 --> 00:17:15,890
li jista 'jkun bħal attakk phishing.

256
00:17:15,890 --> 00:17:18,200
Ħej, check out dan is-sit verament jibred,

257
00:17:18,200 --> 00:17:21,020
jew għandek bżonn biex tmur din il-websajt u jimlew din il-formola

258
00:17:21,020 --> 00:17:24,420
iżommu kontinwa tagħmel xi ħaġa.

259
00:17:24,420 --> 00:17:26,230
Dawk huma phishing attakki.

260
00:17:26,230 --> 00:17:28,160
L-istess ħaġa jista 'jiġri fuq il-pjattaforma mobbli fejn

261
00:17:28,160 --> 00:17:33,830
jippuntaw lejn app mobbli download, jgħidu "Hi, dan huwa Bank of America."

262
00:17:33,830 --> 00:17:36,070
"Aħna naraw inti qed tuża din l-applikazzjoni."

263
00:17:36,070 --> 00:17:38,540
"Għandek tniżżel din l-applikazzjoni l-oħra."

264
00:17:38,540 --> 00:17:41,170
Teoretikament, li jistgħu jaħdmu.

265
00:17:41,170 --> 00:17:48,610
Forsi huwa biss mhux qed jintuża biżżejjed biex jiġi ddeterminat jekk huwa ta 'suċċess jew le,

266
00:17:48,610 --> 00:17:51,680
imma sabu li inqas minn 1% tal-ħin li teknika hija użata.

267
00:17:51,680 --> 00:17:56,130
Il-maġġoranza tal-ħin huwa verament kodiċi ppakkjat mill-ġdid.

268
00:17:56,130 --> 00:17:58,710
>> Hemm kategorija msejħa standalone oħra

269
00:17:58,710 --> 00:18:01,420
fejn xi ħadd biss tibni applikazzjoni ġdida-fjamanta.

270
00:18:01,420 --> 00:18:04,020
Huma jibnu applikazzjoni li tkun intenzjonata li tkun xi ħaġa.

271
00:18:04,020 --> 00:18:07,360
Mhuwiex ippakkjar mill-ġdid ta 'xi ħaġa oħra, u li għandha l-kodiċi malizzjużi.

272
00:18:07,360 --> 00:18:11,230
Li użaw 14% tal-ħin.

273
00:18:11,230 --> 00:18:17,880
Issa nixtieq li nitkellmu dwar dak huwa l-kodiċi malizzjużi tagħmel?

274
00:18:17,880 --> 00:18:23,070
Waħda mill-ewwel malware hemmhekk

275
00:18:23,070 --> 00:18:25,490
inti tista 'tikkunsidra spyware.

276
00:18:25,490 --> 00:18:27,620
Bażikament Spies fuq l-utent.

277
00:18:27,620 --> 00:18:30,470
Hija tiġbor emails, messaġġi SMS.

278
00:18:30,470 --> 00:18:32,340
Hija tiddependi fuq il-mikrofonu.

279
00:18:32,340 --> 00:18:37,330
Hija ħsad-ktieb kuntatt, u tibgħatha off lil xi ħadd ieħor.

280
00:18:37,330 --> 00:18:40,870
Dan it-tip ta 'spyware teżisti fuq il-PC,

281
00:18:40,870 --> 00:18:46,200
għalhekk jagħmel sens perfetta għall-persuni li jipprova jagħmel dan fuq apparat mobbli.

282
00:18:46,200 --> 00:18:53,230
>> Wieħed mill-ewwel eżempji ta 'dan kien programm imsejjaħ Secret SMS irreplika.

283
00:18:53,230 --> 00:18:56,250
Kien fis-Suq Android ftit ta 'snin ilu,

284
00:18:56,250 --> 00:18:59,960
u l-idea kienet jekk kellek aċċess għal xi ħadd cell Android

285
00:18:59,960 --> 00:19:03,450
li inti riedu spy fuq, hekk forsi huwa konjuġi tiegħek

286
00:19:03,450 --> 00:19:07,600
jew oħra sinifikanti tiegħek u inti tixtieq li spy fuq messaġġi bit-test tagħhom,

287
00:19:07,600 --> 00:19:11,200
inti tista 'tniżżel dan app u tinstallahom u kkonfigurat

288
00:19:11,200 --> 00:19:16,540
li jibgħat messaġġ SMS lilek ma 'kopja

289
00:19:16,540 --> 00:19:21,710
ta 'kull messaġġ SMS li ltqajna.

290
00:19:21,710 --> 00:19:27,220
Dan ovvjament huwa fi ksur tat-termini maħżen app ta 'servizz,

291
00:19:27,220 --> 00:19:32,040
u dan tneħħa mir-Suq Android fi żmien 18 siegħa ta 'ma jkun hemm,

292
00:19:32,040 --> 00:19:36,760
hekk numru żgħir ħafna ta 'persuni kienu f'riskju minħabba dan.

293
00:19:36,760 --> 00:19:42,510
Issa, naħseb jekk il-programm kienet tissejjaħ xi ħaġa forsi ftit inqas provokattiva

294
00:19:42,510 --> 00:19:48,690
bħal Secret SMS Replicator x'aktarx li ħadmu ħafna aħjar.

295
00:19:48,690 --> 00:19:52,870
Iżda kien tip ta ovvju.

296
00:19:52,870 --> 00:19:58,680
>> Waħda mill-affarijiet li nistgħu nagħmlu biex jiddeterminaw jekk apps ikollhom din l-imġiba li ma rridux

297
00:19:58,680 --> 00:20:01,410
huwa li jispezzjonaw il-kodiċi.

298
00:20:01,410 --> 00:20:06,250
Dan huwa attwalment verament faċli li tagħmel fuq Android għaliex nistgħu jiddekkompilaw-apps.

299
00:20:06,250 --> 00:20:11,050
Fuq IOS inti tista 'tuża disassembler bħal IDA Pro

300
00:20:11,050 --> 00:20:17,190
li tħares lejn dak APIs l-app qed issejjaħ u dak li qed jagħmel.

301
00:20:17,190 --> 00:20:20,680
Aħna kiteb analizzatur statiku tagħna stess binarju għall-kodiċi tagħna

302
00:20:20,680 --> 00:20:24,940
u nagħmlu dan, u għalhekk dak li inti tista 'tagħmel huwa inti tista' tgħid

303
00:20:24,940 --> 00:20:30,490
ma l-apparat tagħmel xi ħaġa li hija bażikament spying fuq lili jew traċċar me?

304
00:20:30,490 --> 00:20:33,360
U Għandi xi eżempji hawn fuq l-iPhone.

305
00:20:33,360 --> 00:20:41,440
Dan ewwel eżempju huwa kif jaċċessaw l-UUID fuq it-telefon.

306
00:20:41,440 --> 00:20:47,060
Din hija xi ħaġa li Apple għadha kif pprojbiti għall-applikazzjonijiet ġodda,

307
00:20:47,060 --> 00:20:52,540
iżda l-applikazzjonijiet qodma li inti jista 'jkollok taħdem fuq il-mobile tiegħek xorta tista' tagħmel dan,

308
00:20:52,540 --> 00:20:56,500
u sabiex identifikatur uniku jistgħu jintużaw biex track inti

309
00:20:56,500 --> 00:21:00,440
madwar l-applikazzjonijiet differenti ħafna.

310
00:21:00,440 --> 00:21:07,180
>> Min-Android, I jkollhom eżempju hawn 'jkollna post tal-mezz.

311
00:21:07,180 --> 00:21:10,310
Tista 'tara li jekk dik is-sejħa API huwa hemm li app huwa l-ittrakkjar,

312
00:21:10,310 --> 00:21:15,000
u tista 'tara jekk huwa jkollna post fin jew oħxon post.

313
00:21:15,000 --> 00:21:18,860
U mbagħad fuq il-qiegħ hawn, I jkollhom eżempju ta 'kif fuq il-tut

314
00:21:18,860 --> 00:21:25,130
applikazzjoni tista 'aċċess l-messaġġi email fl-inbox tieghek.

315
00:21:25,130 --> 00:21:27,660
Dawn huma t-tip ta 'affarijiet li inti tista' tispezzjona biex tara

316
00:21:27,660 --> 00:21:32,360
jekk l-app qed tagħmel dawk l-affarijiet.

317
00:21:32,360 --> 00:21:38,320
It-tieni kategorija kbira ta 'aġir malizzjuż, u dan huwa probabbilment l-akbar kategorija issa,

318
00:21:38,320 --> 00:21:43,950
huwa tisselezzjona mhux awtorizzat, messaġġi SMS primjum mhux awtorizzat

319
00:21:43,950 --> 00:21:46,080
jew pagamenti mhux awtorizzati.

320
00:21:46,080 --> 00:21:48,930
Ħaġa oħra li l-uniku dwar il-phone

321
00:21:48,930 --> 00:21:52,700
hija l-mezz huwa hooked għal kont kontijiet,

322
00:21:52,700 --> 00:21:55,960
u meta l-attivitajiet jiġri fuq it-telefon

323
00:21:55,960 --> 00:21:58,510
ikun jista 'joħloq spejjeż.

324
00:21:58,510 --> 00:22:00,700
Tista 'tixtri l-affarijiet fuq it-telefon,

325
00:22:00,700 --> 00:22:04,390
u meta inti tibgħat messaġġ premium test SMS int fil-fatt jagħtu flus

326
00:22:04,390 --> 00:22:11,590
lid-detentur jitqies in-numru tat-telefon fuq in-naħa l-oħra.

327
00:22:11,590 --> 00:22:17,420
Dawn twaqqfu biex tikseb kwotazzjonijiet istokk jew tikseb horoscope kuljum tiegħek jew affarijiet oħra,

328
00:22:17,420 --> 00:22:21,680
iżda jistgħu jiġu stabbiliti għall-ordni prodott billi jibgħat SMS test.

329
00:22:21,680 --> 00:22:26,970
Nies jagħtu flus lill-Salib l-Aħmar billi jibgħat messaġġ.

330
00:22:26,970 --> 00:22:30,650
Tista 'tagħti $ 10 li mod.

331
00:22:30,650 --> 00:22:34,190
>> L-attakkanti, dak li ghamilt huwa li jitwaqqaf

332
00:22:34,190 --> 00:22:38,750
kontijiet fil-pajjiżi barranin, u li jintegraw fis-malware

333
00:22:38,750 --> 00:22:42,840
li l-phone se tibgħat messaġġ ta 'test premium SMS,

334
00:22:42,840 --> 00:22:47,700
jgħidu, għal xi ftit drabi kuljum, u fl-aħħar tax-xahar inti tirrealizza inti ħadthom jintefqu

335
00:22:47,700 --> 00:22:52,090
għexieren jew forsi anke mijiet ta 'dollari, u dawn walk away mal-flus.

336
00:22:52,090 --> 00:22:57,280
Dan ltqajna daqshekk ħżiena li dan kien l-ewwel ħaġa li l-Android

337
00:22:57,280 --> 00:23:00,760
Suq jew il-Google-post kien l-Suq Android fil-ħin,

338
00:23:00,760 --> 00:23:04,430
u issa huwa Google Play-ewwel ħaġa li Google bdiet verifika għall.

339
00:23:04,430 --> 00:23:08,700
Meta Google bdiet tqassam apps Android fil-maħżen app tagħhom

340
00:23:08,700 --> 00:23:11,350
huma qalu li ma kinux ser jiċċekkja għal xejn.

341
00:23:11,350 --> 00:23:15,630
Aħna ser iġbed apps ladarba aħna ħadthom ġiet innotifikata ħadthom miksur tagħna termini ta 'servizz,

342
00:23:15,630 --> 00:23:17,520
iżda aħna mhux qed tmur biex jiċċekkja għal xejn.

343
00:23:17,520 --> 00:23:24,350
Well, madwar sena ilu ltqajna daqshekk ħżiena ma 'dan il-primjum SMS malware messaġġ

344
00:23:24,350 --> 00:23:28,030
li dan huwa l-ewwel ħaġa li bdew verifika għall.

345
00:23:28,030 --> 00:23:31,770
Jekk app jista 'jibgħat messaġġi SMS

346
00:23:31,770 --> 00:23:34,750
huma wkoll manwalment jinfela dak l-applikazzjoni.

347
00:23:34,750 --> 00:23:38,770
Huma jfittxu l-APIs li jitolbu dan,

348
00:23:38,770 --> 00:23:40,580
u issa minn dakinhar Google espandiet,

349
00:23:40,580 --> 00:23:46,900
iżda din kienet l-ewwel ħaġa li bdiet tfittex.

350
00:23:46,900 --> 00:23:50,690
>> Xi apps oħra li għamilt xi messaġġi SMS,

351
00:23:50,690 --> 00:23:56,980
dan Qicsomos Android, I raden huwa msejjaħ.

352
00:23:56,980 --> 00:24:02,670
Ma kien hemm dan l-avveniment attwali dwar il-mobbli fejn dan CarrierIQ ħareġ

353
00:24:02,670 --> 00:24:07,720
kif spyware tpoġġi fuq il-mezz mit-trasportaturi,

354
00:24:07,720 --> 00:24:10,820
sabiex in-nies riedu jkunu jafu jekk il-mobile tagħhom kienet vulnerabbli għal dan,

355
00:24:10,820 --> 00:24:13,890
u dan kien liberu li app ttestjati dan.

356
00:24:13,890 --> 00:24:17,520
Well, naturalment, dak li dan app ma kien bagħat messaġġi SMS premium,

357
00:24:17,520 --> 00:24:20,090
hekk mill-ittestjar biex tara jekk int infettat bl spyware

358
00:24:20,090 --> 00:24:24,930
inti mgħobbija malware fuq it-tagħmir tiegħek.

359
00:24:24,930 --> 00:24:27,310
Rajna l-istess ħaġa jiġri fl-aħħar Super Bowl.

360
00:24:27,310 --> 00:24:33,180
Kien hemm verżjoni fittizji tal-logħba tal-futbol Madden

361
00:24:33,180 --> 00:24:38,320
li bagħtu messaġġi SMS primjum.

362
00:24:38,320 --> 00:24:45,750
Hija fil-fatt ippruvaw joħolqu netwerk bot wisq fuq il-mezz.

363
00:24:45,750 --> 00:24:48,090
Hawn irrid niċċara xi eżempji.

364
00:24:48,090 --> 00:24:52,640
Interessanti biżżejjed, Apple kien pjuttost intelliġenti,

365
00:24:52,640 --> 00:24:58,470
u li ma jippermettux l-applikazzjonijiet li jibgħat messaġġi SMS fil-livelli kollha.

366
00:24:58,470 --> 00:25:00,350
Nru app jistgħu jagħmlu dan.

367
00:25:00,350 --> 00:25:03,530
Li mod tajjeb ħafna ta 'jwarrbu' klassi kollha ta 'vulnerabbiltà,

368
00:25:03,530 --> 00:25:09,040
iżda fuq Android tista 'tagħmel dan, u naturalment, fuq tut inti tista' tagħmel wisq.

369
00:25:09,040 --> 00:25:13,060
Huwa interessanti li fuq il-tut kulma għandek bżonn hija l-permessi internet

370
00:25:13,060 --> 00:25:18,370
li jibgħat messaġġ SMS.

371
00:25:18,370 --> 00:25:21,580
>> Il-ħaġa oħra verament li aħna tfittex

372
00:25:21,580 --> 00:25:24,780
meta aħna qed tfittex biex tara jekk xi ħaġa huwa malizzjużi huwa biss xi tip ta '

373
00:25:24,780 --> 00:25:28,100
attività tan-netwerk mhux awtorizzat, bħal tħares lejn l-attività tan-netwerk

374
00:25:28,100 --> 00:25:31,570
l-app huwa suppost li jkollu li jkollha funzjonalità tagħha,

375
00:25:31,570 --> 00:25:35,380
u ħarsa lejn din l-attività l-oħra tan-netwerk.

376
00:25:35,380 --> 00:25:43,380
Forsi app, li jaħdem, għandha tikseb data fuq HTTP,

377
00:25:43,380 --> 00:25:47,500
imma jekk huwa nagħmlu l-affarijiet fuq email jew SMS jew Bluetooth jew xi ħaġa bħal dik

378
00:25:47,500 --> 00:25:52,890
issa li app jista 'potenzjalment malizzjużi, għalhekk dan huwa ħaġa oħra li inti tista' tispezzjona għall.

379
00:25:52,890 --> 00:26:00,430
U fuq dan slide hawn Għandi xi eżempji ta 'dak.

380
00:26:00,430 --> 00:26:05,950
Ħaġa oħra interessanti rajna malware ġara lura fl-2009,

381
00:26:05,950 --> 00:26:07,600
u dan ġara b'mod kbar.

382
00:26:07,600 --> 00:26:11,390
I do not know jekk huwa ġara tant minn dakinhar, imma kien app

383
00:26:11,390 --> 00:26:15,140
li impersonated applikazzjoni oħra.

384
00:26:15,140 --> 00:26:21,700
Kien hemm sett ta 'apps, u kien iddabbjati l-attakk 09Droid,

385
00:26:21,700 --> 00:26:29,770
u xi ħadd iddeċieda li kien hemm ħafna ta 'intrapriżi żgħar, banek midsize, reġjonali

386
00:26:29,770 --> 00:26:32,260
li ma kellux applikazzjonijiet bankarji online,

387
00:26:32,260 --> 00:26:36,870
hekk dak li għamlet kien li bnew madwar 50 applikazzjonijiet bankarji online

388
00:26:36,870 --> 00:26:39,410
li kull ma għamlet kien jieħu l-user name u password

389
00:26:39,410 --> 00:26:42,190
u jagħtu direzzjoni ġdida fil-website.

390
00:26:42,190 --> 00:26:47,470
U hekk li jqiegħdu dawn kollha fil-Suq Google,

391
00:26:47,470 --> 00:26:51,530
fil-Suq Android, u meta xi ħadd mfittxija biex tara jekk bank tagħhom

392
00:26:51,530 --> 00:26:56,000
kellhom applikazzjoni isibuha l-applikazzjoni fittizji,

393
00:26:56,000 --> 00:27:01,230
li tinġabar kredenzjali tagħhom u mbagħad dirottati lill-website tagħhom.

394
00:27:01,230 --> 00:27:06,640
Il-mod li dan fil-fatt sar-apps kienu up hemm għal ftit ġimgħat,

395
00:27:06,640 --> 00:27:09,050
u kien hemm eluf u eluf ta 'dawnlowds.

396
00:27:09,050 --> 00:27:12,910
>> Il-mod kif dan wasal għall-dawl kien xi ħadd kien li għandhom problema

397
00:27:12,910 --> 00:27:15,740
ma 'waħda mill-applikazzjonijiet, u huma msejħa bank tagħhom,

398
00:27:15,740 --> 00:27:18,390
u huma msejħa appoġġ linja klijent tal-bank tagħhom u qal,

399
00:27:18,390 --> 00:27:21,180
"Jien li għandhom problema bl-applikazzjoni bankarju tiegħek mobbli."

400
00:27:21,180 --> 00:27:23,460
"Tista 'tgħin me out?"

401
00:27:23,460 --> 00:27:26,540
U qalu, "Aħna ma jkollhom applikazzjoni mobbli ta 'banek."

402
00:27:26,540 --> 00:27:28,120
Li beda l-investigazzjoni.

403
00:27:28,120 --> 00:27:31,200
Dak il-bank imsejħa Google, u mbagħad Google ħares u qal,

404
00:27:31,200 --> 00:27:37,220
"Ara naqra, l-istess awtur kiteb 50 applikazzjoni bankarji," u ħa lilhom kollha stabbiliti.

405
00:27:37,220 --> 00:27:43,410
Iżda ċertament dan jista 'jiġri mill-ġdid.

406
00:27:43,410 --> 00:27:51,790
Hemm il-lista tal-banek differenti hawn

407
00:27:51,790 --> 00:27:55,870
li kienu parti minn dan scam.

408
00:27:55,870 --> 00:28:02,050
Il-ħaġa oħra app tista 'tagħmel huwa preżenti l-UI ta' applikazzjoni oħra.

409
00:28:02,050 --> 00:28:06,430
Filwaqt huwa taħdem din tista pop up il-UI Facebook.

410
00:28:06,430 --> 00:28:09,540
Hija tgħid li inti għandek tpoġġi fil-username u password biex ikomplu

411
00:28:09,540 --> 00:28:15,090
jew imqiegħed kull user name u password UI għal websajt

412
00:28:15,090 --> 00:28:18,420
li forsi l-utent juża biss biex tipprova trick-utent

413
00:28:18,420 --> 00:28:21,340
fis tqegħid kredenzjali tagħhom pulzieri

414
00:28:21,340 --> 00:28:25,590
Dan huwa verament parallel dritta 'l-attakki phishing email

415
00:28:25,590 --> 00:28:28,210
fejn xi ħadd inti tibgħat messaġġ email

416
00:28:28,210 --> 00:28:33,050
u jagħtik bażikament UI foloz għal websajt

417
00:28:33,050 --> 00:28:37,320
li inti għandek aċċess għall.

418
00:28:37,320 --> 00:28:41,590
>> Il-ħaġa oħra li aħna tfittex fil-kodiċi malizzjuż hija modifika tas-sistema.

419
00:28:41,590 --> 00:28:48,160
Inti tista 'tfittex l-API sejħiet li jeħtieġu privileġġ għerq

420
00:28:48,160 --> 00:28:50,870
biex tesegwixxi korrett.

421
00:28:50,870 --> 00:28:56,160
Nibdlu web prokura tal-mezz tkun xi ħaġa li applikazzjoni

422
00:28:56,160 --> 00:28:59,530
m'għandhomx ikunu jistgħu jagħmlu.

423
00:28:59,530 --> 00:29:03,030
Iżda jekk l-applikazzjoni jkollha kodiċi fil hemm biex tagħmel dan

424
00:29:03,030 --> 00:29:05,960
inti taf li huwa probabbilment applikazzjoni malizzjużi

425
00:29:05,960 --> 00:29:09,620
jew ħafna probabbli li jkun hemm applikazzjoni malizzjużi ħafna,

426
00:29:09,620 --> 00:29:13,910
u għalhekk dak li jiġri huwa li app jkollhom xi mod ta 'escaleren privileġġ.

427
00:29:13,910 --> 00:29:17,200
Dan ikollu xi eskalazzjoni privileġġ jisfruttaw

428
00:29:17,200 --> 00:29:20,730
fl-applikazzjoni, u allura ladarba eskalat privileġġi

429
00:29:20,730 --> 00:29:23,800
hija ser tagħmel dawn il-modifiki tas-sistema.

430
00:29:23,800 --> 00:29:28,010
Tista 'ssib malware li għandha eskalazzjoni privileġġ

431
00:29:28,010 --> 00:29:32,550
fiha anki mingħajr ma jkunu jafu kif l-eskalazzjoni privileġġ

432
00:29:32,550 --> 00:29:37,960
jisfruttaw jiġri, u li l-sbieħ, mod faċli

433
00:29:37,960 --> 00:29:41,220
biex tfittex malware.

434
00:29:41,220 --> 00:29:46,030
DroidDream kienet probabbilment l-biċċa l-aktar famużi ta 'malware Android.

435
00:29:46,030 --> 00:29:50,530
Naħseb li affettwa madwar 250,000 utenti matul ftit jiem

436
00:29:50,530 --> 00:29:52,810
qabel instab.

437
00:29:52,810 --> 00:29:56,890
Huma ppakkjati mill-ġdid 50 applikazzjoni fittizji,

438
00:29:56,890 --> 00:30:00,370
tpoġġihom fil-maħżen app Android,

439
00:30:00,370 --> 00:30:10,940
u essenzjalment hija użat kodiċi jailbreak Android teskala privileġġi

440
00:30:10,940 --> 00:30:16,380
u mbagħad jinstallaw kmand u kontroll u dawwar l-vittmi

441
00:30:16,380 --> 00:30:20,690
ġewwa xibka bot, imma int tista 'sabu dan

442
00:30:20,690 --> 00:30:24,170
jekk inti kienu scanning l-applikazzjoni u tfittex biss għal

443
00:30:24,170 --> 00:30:32,230
API jitlob li permess għerq meħtieġa biex tesegwixxi korrett.

444
00:30:32,230 --> 00:30:40,150
>> U hemm eżempju hawn I jkollhom li qed tbiddel il-prokura,

445
00:30:40,150 --> 00:30:46,380
u dan fil-fatt hija disponibbli biss fuq il-Android.

446
00:30:46,380 --> 00:30:49,070
Tista 'tara jien giving you ħafna eżempji Android

447
00:30:49,070 --> 00:30:53,990
għaliex din hija fejn l-ekosistema malware aktar attivi huwa

448
00:30:53,990 --> 00:30:58,690
għaliex dan huwa verament faċli għall-attakkant biex tikseb kodiċi malizzjużi

449
00:30:58,690 --> 00:31:01,470
fil-Suq Android.

450
00:31:01,470 --> 00:31:06,480
Huwa mhux daqshekk faċli li tagħmel dan fil-Apple App Aħżen

451
00:31:06,480 --> 00:31:10,250
għaliex Apple teħtieġ iżviluppaturi biex jidentifikaw lilhom infushom

452
00:31:10,250 --> 00:31:12,790
u jiffirmaw il-kodiċi.

453
00:31:12,790 --> 00:31:20,340
Dawn fil-fatt tiċċekkja min int, u Apple huwa attwalment iskrutinju tal-applikazzjonijiet.

454
00:31:20,340 --> 00:31:27,450
Aħna ma tara ħafna ta 'malware veru fejn il-mezz huwa jkollna kompromessa.

455
00:31:27,450 --> 00:31:32,250
I se jitkellmu dwar xi eżempji fejn huwa verament privatezza thats jkollna kompromessa,

456
00:31:32,250 --> 00:31:38,460
u dak hu verament jiġri fuq il-mezz Apple.

457
00:31:38,460 --> 00:31:44,090
Ħaġa oħra biex tfittex kodiċi malizzjużi, kodiċi riskjużi fil-mezzi

458
00:31:44,090 --> 00:31:50,300
hija loġika jew ħin bombi, u bombi time huma probabbilment

459
00:31:50,300 --> 00:31:53,370
ħafna aktar faċli biex tfittex minn bombi loġika.

460
00:31:53,370 --> 00:31:57,030
Iżda ma bombi ħin, x'tista 'tagħmel huwa inti tista' tfittex għal

461
00:31:57,030 --> 00:32:04,760
postijiet fil-kodiċi meta l-ħin huwa ttestjat jew ħin assolut huwa fittxew

462
00:32:04,760 --> 00:32:08,190
qabel ċerta funzjonalità fil-app jiġri.

463
00:32:08,190 --> 00:32:14,200
U dan jista 'jsir biex jaħbu l-attività mill-utent,

464
00:32:14,200 --> 00:32:17,510
hekk din se ssir tard bil-lejl.

465
00:32:17,510 --> 00:32:24,350
DroidDream għamlet attività kollha tagħha 11:00-08:00 ħin lokali

466
00:32:24,350 --> 00:32:30,650
biex jipprova jagħmel dan waqt li l-utent jista 'ma jużaw apparat tagħhom.

467
00:32:30,650 --> 00:32:38,680
>> Raġuni oħra biex tagħmel dan huwa jekk in-nies qed jużaw analiżi tal-imġiba ta 'applikazzjoni,

468
00:32:38,680 --> 00:32:43,430
jmexxu l-app fil-sandbox biex tara liema l-imġieba tal-applikazzjoni,

469
00:32:43,430 --> 00:32:51,090
huma jistgħu jużaw loġika abbażi tal-ħin biex jagħmlu l-attività

470
00:32:51,090 --> 00:32:54,640
meta l-app ma tkunx fil-sandbox.

471
00:32:54,640 --> 00:33:01,520
Per eżempju, maħżen app bħal Apple

472
00:33:01,520 --> 00:33:07,940
tmexxi l-applikazzjoni, iżda dawn probabbilment ma jmorrux kull applikazzjoni għal, ngħidu aħna, 30 jum

473
00:33:07,940 --> 00:33:10,550
qabel tapprovaha, sabiex inti tista 'tpoġġi

474
00:33:10,550 --> 00:33:14,120
loġika fl-applikazzjoni tiegħek li qal, okay, biss tagħmel il-ħaġa ħażina

475
00:33:14,120 --> 00:33:20,490
wara 30 jum marret minn jew wara 30 jum wara d-data jippubblika tal-applikazzjoni,

476
00:33:20,490 --> 00:33:27,020
u li jistgħu jgħinu l-kodiċi hide malizzjużi minn nies jispezzjona għaliha.

477
00:33:27,020 --> 00:33:30,050
Jekk il-kumpaniji kontra l-virus qed jitħaddmu affarijiet sandboxes

478
00:33:30,050 --> 00:33:36,370
jew l-imħażen app nfushom huma dan jista 'jgħin

479
00:33:36,370 --> 00:33:39,260
jaħbu li minn dik l-ispezzjoni.

480
00:33:39,260 --> 00:33:43,020
Issa, in-naħa flip ta 'dan huwa huwa faċli li ssib ma l-analiżi statika,

481
00:33:43,020 --> 00:33:46,170
hekk attwalment jispezzjona l-kodiċi inti tista 'tfittex għall-postijiet kollha

482
00:33:46,170 --> 00:33:54,010
meta l-applikazzjoni testijiet l-ħin u jispezzjonaw il-mod.

483
00:33:54,010 --> 00:33:58,850
U hawn I jkollhom xi eżempji fuq dawn it-3 pjattaformi differenti

484
00:33:58,850 --> 00:34:05,640
kif time jistgħu jiġu kkontrollati mill-maker app

485
00:34:05,640 --> 00:34:10,520
sabiex inti tkun taf dak li tfittex jekk inti qed jispezzjona l-app statikament.

486
00:34:10,520 --> 00:34:14,570
>> I biss marru permezz mazz sħiħ ta 'attivitajiet malizzjużi differenti

487
00:34:14,570 --> 00:34:18,969
li aħna stajt tidher fil-selvaġġ, iżda liema huma l-aktar prevalenti?

488
00:34:18,969 --> 00:34:23,940
Dik l-istess studju minn North Carolina Istat Mobile Proġett Ġenoma

489
00:34:23,940 --> 00:34:28,560
ippubblikat xi data, u kien hemm bażikament 4 oqsma

490
00:34:28,560 --> 00:34:32,850
li huma raw fejn kien hemm ħafna attività.

491
00:34:32,850 --> 00:34:35,370
37% mill-apps ma eskalazzjoni privileġġ,

492
00:34:35,370 --> 00:34:38,429
sabiex ikunu kellhom xi tip ta 'kodiċi jailbreak fil hemm

493
00:34:38,429 --> 00:34:42,070
fejn huma ppruvaw teskala privileġġi sabiex ikunu jistgħu

494
00:34:42,070 --> 00:34:48,360
do jikkmanda API taħdem bħala s-sistema operattiva.

495
00:34:48,360 --> 00:34:52,520
45% mill-apps hemmhekk għamlet SMS premium,

496
00:34:52,520 --> 00:34:57,260
b'tali mod li persentaġġ kbir li qed tipprova monetize direttament.

497
00:34:57,260 --> 00:35:02,640
93% għamlu kontroll remot, sabiex ikunu ppruvaw jistabbilixxu nett bot, xibka bot mobbli.

498
00:35:02,640 --> 00:35:08,990
U 45% maħsuda informazzjoni li tidentifika

499
00:35:08,990 --> 00:35:16,230
bħal numri tat-telefon, UUIDs, post GPS, kontijiet utent,

500
00:35:16,230 --> 00:35:22,870
u dan jammonta għal aktar minn 100 minħabba li ħafna malware tipprova tagħmel ftit ta 'dawn l-affarijiet.

501
00:35:22,870 --> 00:35:27,070
>> Jien ser jaqilbu għat-tieni nofs u jitkellmu dwar il-vulnerabbiltajiet kodiċi.

502
00:35:27,070 --> 00:35:29,480
Din hija t-tieni nofs ta 'l-attività riskjuża.

503
00:35:29,480 --> 00:35:33,450
Dan huwa fejn essenzjalment l-iżviluppatur qed tagħmel żbalji.

504
00:35:33,450 --> 00:35:37,210
A iżviluppatur leġittimu tikteb app leġittimu

505
00:35:37,210 --> 00:35:41,830
qed tagħmel żbalji jew injorant tar-riskji tal-pjattaforma mobbli.

506
00:35:41,830 --> 00:35:44,780
Huma biss ma jafux kif jagħmlu app mobbli sigura,

507
00:35:44,780 --> 00:35:47,700
jew xi kultant l-iżviluppatur ma care dwar it-tqegħid l-utent f'riskju.

508
00:35:47,700 --> 00:35:50,850
Kultant parti mill-mudell tan-negozju tagħhom jista 'jkun

509
00:35:50,850 --> 00:35:54,610
ħsad informazzjoni personali tal-utent.

510
00:35:54,610 --> 00:35:58,090
Dik hija l-tip tal-kategorija l-oħra, u hu għalhekk li xi ftit minn din malizzjużi

511
00:35:58,090 --> 00:36:03,200
versus jibda leġittimi ta 'fsada matul għaliex hemm differenza ta' opinjonijiet

512
00:36:03,200 --> 00:36:10,440
bejn dak l-utent irid u dak l-utent tqis riskjużi

513
00:36:10,440 --> 00:36:13,050
u dak l-iżviluppatur applikazzjoni tqis riskjużi.

514
00:36:13,050 --> 00:36:18,380
Of course, mhuwiex data tal-iżviluppatur applikazzjoni fil-maġġoranza tal-każijiet.

515
00:36:18,380 --> 00:36:22,030
>> U mbagħad finalment, mod ieħor dan jiġri huwa żviluppatur jista 'link fil-

516
00:36:22,030 --> 00:36:28,600
librerija komuni li għandha vulnerabbiltajiet jew din l-imġiba riskjuża fiha

517
00:36:28,600 --> 00:36:32,480
unbeknownst lilhom.

518
00:36:32,480 --> 00:36:37,060
L-ewwel kategorija hija tnixxija data sensittiva,

519
00:36:37,060 --> 00:36:40,030
u dan huwa meta l-app jiġbor informazzjoni

520
00:36:40,030 --> 00:36:44,980
bħall-lokazzjoni, l-informazzjoni l-indirizz ktieb, sid informazzjoni

521
00:36:44,980 --> 00:36:48,000
u tibgħatha off-apparat.

522
00:36:48,000 --> 00:36:53,050
U ladarba huwa off-apparat, ma nafux x'inhu jiġri ma 'dik l-informazzjoni.

523
00:36:53,050 --> 00:36:57,170
Dan jista 'jinħażen insecurely mill-iżviluppatur applikazzjoni.

524
00:36:57,170 --> 00:37:02,070
Rajna iżviluppaturi applikazzjoni jiksbu kompromessa,

525
00:37:02,070 --> 00:37:05,820
u d-data li dawn qed ħażna gets jittieħdu.

526
00:37:05,820 --> 00:37:10,970
Dan ġara ftit xhur ilu għal żviluppatur fl Florida

527
00:37:10,970 --> 00:37:21,660
fejn numru kbir ta 'dan kien UUIDs iPad u ismijiet mezz

528
00:37:21,660 --> 00:37:25,270
kienu nixxew minħabba xi ħadd, naħseb li kien anonima,

529
00:37:25,270 --> 00:37:29,460
mitluba biex tagħmel dan, kissru fis-servers dan iżviluppatur

530
00:37:29,460 --> 00:37:34,920
u seraq miljuni ta 'iPad UUIDs

531
00:37:34,920 --> 00:37:37,390
u ismijiet kompjuter.

532
00:37:37,390 --> 00:37:40,260
Mhux l-informazzjoni l-aktar riskjużi,

533
00:37:40,260 --> 00:37:46,820
imma dak jekk dan kien il-ħażna ta 'utent ismijiet u passwords

534
00:37:46,820 --> 00:37:48,170
u l-indirizzi dar?

535
00:37:48,170 --> 00:37:51,100
Hemm lottijiet ta 'apps li jaħżnu dan it-tip ta' informazzjoni.

536
00:37:51,100 --> 00:37:53,230
Ir-riskju huwa hemmhekk.

537
00:37:53,230 --> 00:37:56,620
>> Il-ħaġa oħra li jista 'jiġri hija jekk l-iżviluppatur ma tieħu kura

538
00:37:56,620 --> 00:38:01,370
biex jiżgura l-kanal tad-data, u li l-vulnerabbiltà ieħor big jien ser jitkellmu dwar,

539
00:38:01,370 --> 00:38:05,160
li d-data qed tintbagħat fil-ċar.

540
00:38:05,160 --> 00:38:09,040
Jekk l-utent huwa fuq pubblika netwerk Wi-Fi

541
00:38:09,040 --> 00:38:12,330
jew xi ħadd qed xamm l-internet x'imkien

542
00:38:12,330 --> 00:38:19,260
tul il-passaġġ li d-data qed tiġi esposta.

543
00:38:19,260 --> 00:38:23,790
One każ famużi ħafna ta 'dan tnixxija informazzjoni ġara ma Pandora,

544
00:38:23,790 --> 00:38:27,250
u din hija xi ħaġa li aħna riċerkati fuq Veracode.

545
00:38:27,250 --> 00:38:33,200
Aħna sema 'li kien hemm' naħseb li kien Kummissjoni Federali tal-Kummerċ

546
00:38:33,200 --> 00:38:35,310
investigazzjoni għaddej ma Pandora.

547
00:38:35,310 --> 00:38:39,830
Aħna qal, "X'qed jiġri hemmhekk? Nibdew jħaffru fil-applikazzjoni Pandora."

548
00:38:39,830 --> 00:38:46,690
U dak li aħna determinati kien l-applikazzjoni Pandora miġbura

549
00:38:46,690 --> 00:38:51,270
sess tiegħek u l-età tiegħek,

550
00:38:51,270 --> 00:38:56,660
u aċċessata wkoll post GPS tiegħek, u l-applikazzjoni Pandora

551
00:38:56,660 --> 00:39:00,200
għamilt dan għal dak li qal kien raġunijiet leġittimi.

552
00:39:00,200 --> 00:39:05,360
Il-mużika li kienu playing Pandora hija app-mużika streaming

553
00:39:05,360 --> 00:39:07,530
l-mużika huma kienu jilagħbu kien liċenzjat biss fl-Istati Uniti,

554
00:39:07,530 --> 00:39:13,020
sabiex ikunu kellha tivverifika biex jikkonformaw ma 'ftehim ta' liċenzji tagħhom li ma kellhomx

555
00:39:13,020 --> 00:39:17,240
għall-mużika li l-utent kien fl-Istati Uniti.

556
00:39:17,240 --> 00:39:25,070
Huma xtaqu wkoll li jikkonformaw mal-konsulenza tal-ġenituri

557
00:39:25,070 --> 00:39:33,790
madwar lingwa adult fil-mużika,

558
00:39:33,790 --> 00:39:37,500
u dan huwa programm volontarju, imma riedu biex jikkonformaw ma 'din

559
00:39:37,500 --> 00:39:43,010
u ma jimxux lirika espliċiti għat-tfal 13 u taħt.

560
00:39:43,010 --> 00:39:46,280
>> Huma kellhom raġunijiet leġittimi għall-ġbir din id-data.

561
00:39:46,280 --> 00:39:49,160
App tagħhom kellhom l-permessi biex tagħmel dan.

562
00:39:49,160 --> 00:39:52,000
Utenti ħasbu li dan kien leġittimu. Imma dak li ġara?

563
00:39:52,000 --> 00:39:55,810
Huma marbuta fi 3 jew 4 libreriji ad differenti.

564
00:39:55,810 --> 00:39:59,140
Issa kollha f'daqqa dawn libreriji ad

565
00:39:59,140 --> 00:40:02,970
huma jkollna aċċess għal din l-istess informazzjoni.

566
00:40:02,970 --> 00:40:05,830
Il-libreriji ad, jekk inti tħares lejn il-kodiċi fil-libreriji ad

567
00:40:05,830 --> 00:40:08,430
dak li jagħmlu huwa kull ad librerija jgħid

568
00:40:08,430 --> 00:40:11,340
"Ma app tiegħi ikollu permess sabiex tikseb post GPS?"

569
00:40:11,340 --> 00:40:14,890
"Oh, dan ma? Okay, tell me l-post GPS."

570
00:40:14,890 --> 00:40:16,620
Kull ad librerija wieħed ma dan,

571
00:40:16,620 --> 00:40:19,740
u jekk l-app ma jkollux permess GPS

572
00:40:19,740 --> 00:40:23,460
mhux se tkun kapaċi tikseb dan, imma jekk dan huwa minnu, se ġġibu.

573
00:40:23,460 --> 00:40:26,240
Dan huwa fejn il-mudell ta 'negozju tal-libreriji ad

574
00:40:26,240 --> 00:40:31,160
hija kontra l-privatezza tal-utent.

575
00:40:31,160 --> 00:40:34,980
U kien hemm studji hemmhekk li se ngħid jekk taf l-età

576
00:40:34,980 --> 00:40:38,430
ta 'persuna u tafu post tagħhom

577
00:40:38,430 --> 00:40:42,530
fejn torqod bil-lejl, għax għandek GPS koordinati tagħhom

578
00:40:42,530 --> 00:40:46,030
waqt li forsi l-irqad, inti taf eżattament min dik il-persuna

579
00:40:46,030 --> 00:40:50,230
għaliex inti tista 'tiddetermina liema membru ta' dik familja hija dik il-persuna.

580
00:40:50,230 --> 00:40:54,780
Verament dan qed tidentifika li jirriklama

581
00:40:54,780 --> 00:40:59,530
eżattament min int, u jidher qisu kien leġittimu.

582
00:40:59,530 --> 00:41:02,800
I biss trid mużika streaming tiegħi, u dan huwa l-uniku mod biex tiksbu.

583
00:41:02,800 --> 00:41:05,370
>> Well, aħna esposti dan.

584
00:41:05,370 --> 00:41:08,030
Aħna kiteb dan up f'diversi postijiet blog,

585
00:41:08,030 --> 00:41:13,280
u rriżulta li xi ħadd mill rivista Rolling Stone

586
00:41:13,280 --> 00:41:18,810
aqra wieħed mill-postijiet blog tagħna u kiteb blog tagħhom stess Rolling Stone dwar dan,

587
00:41:18,810 --> 00:41:22,120
u l-għada stess Pandora ħasbu li kienet idea tajba

588
00:41:22,120 --> 00:41:27,600
biex tneħħi l-libreriji ad mill-applikazzjoni tagħhom.

589
00:41:27,600 --> 00:41:31,270
Safejn naf li qed l-unika li għandha tkun imfaħħra.

590
00:41:31,270 --> 00:41:35,770
Jien naħseb li qed l-uniku tip freemium ta 'app li għamel dan.

591
00:41:35,770 --> 00:41:38,660
L-apps freemium oħra jkollhom l-istess imġieba,

592
00:41:38,660 --> 00:41:41,780
sabiex inti ħadthom ltqajna biex jaħsbu dwar liema tip ta 'data int tagħti

593
00:41:41,780 --> 00:41:48,330
dawn l-applikazzjonijiet freemium għaliex dan kollu ser jirreklama.

594
00:41:48,330 --> 00:41:53,390
Praetorian għamlet ukoll studju dwar libreriji maqsuma u qal,

595
00:41:53,390 --> 00:41:57,100
"Ejja nħarsu lejn dak kondiviża libreriji huma l-libreriji maqsuma top," u dan kien l-data.

596
00:41:57,100 --> 00:41:59,420
>> Huma analizzati 53,000 apps,

597
00:41:59,420 --> 00:42:01,900
u n-numru 1 librerija maqsuma kienet AdMob.

598
00:42:01,900 --> 00:42:06,060
Kien fil-fatt fil-38% tal-applikazzjonijiet hemmhekk,

599
00:42:06,060 --> 00:42:08,800
sabiex 38% ta 'l-applikazzjonijiet li qed jużaw

600
00:42:08,800 --> 00:42:11,250
x'aktarx ħsad informazzjoni personali tiegħek

601
00:42:11,250 --> 00:42:16,650
u tibgħatu lill-netwerks ad.

602
00:42:16,650 --> 00:42:19,350
Apache u Android kienu 8% u 6%,

603
00:42:19,350 --> 00:42:22,960
u allura dawn oħrajn stabbiliti fil-qiegħ, Reklami Google, Flurry,

604
00:42:22,960 --> 00:42:26,600
Mob Belt u Millennial Media,

605
00:42:26,600 --> 00:42:30,500
dawn huma kollha kumpaniji ad, u mbagħad, interessanti biżżejjed,

606
00:42:30,500 --> 00:42:33,500
4% marbut fil-librerija Facebook

607
00:42:33,500 --> 00:42:38,870
probabbilment jagħmlu awtentikazzjoni permezz Facebook

608
00:42:38,870 --> 00:42:40,810
sabiex l-app jista jawtentikaw it Facebook.

609
00:42:40,810 --> 00:42:44,660
Iżda dan ifisser ukoll l-korporazzjoni Facebook kontrolli kodiċi

610
00:42:44,660 --> 00:42:49,010
thats taħdem fl-4% tal-apps mobbli Android hemmhekk,

611
00:42:49,010 --> 00:42:53,490
u jkollhom aċċess għad-data kollha li dan app għandu l-permess li jiksbu fil.

612
00:42:53,490 --> 00:42:57,170
Facebook essenzjalment tipprova li jbiegħu spazju ta 'pubbliċità.

613
00:42:57,170 --> 00:43:00,120
C'est mudell tan-negozju tagħhom.

614
00:43:00,120 --> 00:43:02,920
>> Jekk inti tħares lejn din l-ekosistema sħiħa ma 'dawn il-permessi

615
00:43:02,920 --> 00:43:07,740
u libreriji maqsuma tibda biex tara li

616
00:43:07,740 --> 00:43:13,850
ikollok ħafna ta 'riskju f'applikazzjoni allegatament leġittimu.

617
00:43:13,850 --> 00:43:19,360
L-istess ħaġa simili li ġara ma Pandora

618
00:43:19,360 --> 00:43:22,340
ġara ma 'applikazzjoni msejħa Path,

619
00:43:22,340 --> 00:43:27,660
u Path ħasbu li kienu qed utli, żviluppaturi ambjent.

620
00:43:27,660 --> 00:43:32,160
Huma kienu biss tipprova li jagħtuk esperjenza utent kbira,

621
00:43:32,160 --> 00:43:37,810
u rriżulta li mingħajr ma jkun l-utent jew javżak l-utent 'xejn

622
00:43:37,810 --> 00:43:40,400
u dan ġara fuq l-iPhone u fuq Android,

623
00:43:40,400 --> 00:43:44,420
l-app Pandora kienet fuq iPhone u Android-

624
00:43:44,420 --> 00:43:48,890
li l-applikazzjoni Path kienet ħtif ktieb tiegħek indirizz kollu

625
00:43:48,890 --> 00:43:52,830
u uploading lill Path biss meta inti installati u dam l-applikazzjoni,

626
00:43:52,830 --> 00:43:55,840
u huma ma jgħidlek dwar dan.

627
00:43:55,840 --> 00:43:58,750
Huma ħasbu li kien verament utli għalik

628
00:43:58,750 --> 00:44:04,040
biex ikunu jistgħu jaqsmu ma 'l-poplu fil-ktieb l-indirizz tiegħek

629
00:44:04,040 --> 00:44:06,920
li inti qed tuża l-applikazzjoni Path.

630
00:44:06,920 --> 00:44:09,490
>> Well, ovvjament Path ħasbu li dan kien kbir għall-kumpanija tagħhom.

631
00:44:09,490 --> 00:44:13,510
Mhux hekk kbira lill-utent.

632
00:44:13,510 --> 00:44:19,020
Inti taħseb li huwa ħaġa waħda jekk forsi teenager

633
00:44:19,020 --> 00:44:23,700
qed tuża din l-applikazzjoni u għexieren ta 'ħbieb tagħhom huma fil hemm,

634
00:44:23,700 --> 00:44:29,360
imma dak jekk huwa l-CEO ta 'kumpanija li jinstalla Path

635
00:44:29,360 --> 00:44:33,170
u mbagħad kollha f'daqqa indirizz ktieb kollu tagħhom huwa up hemm?

636
00:44:33,170 --> 00:44:38,310
Int ser tikseb lott ta 'informazzjoni ta' kuntatt potenzjalment siewja

637
00:44:38,310 --> 00:44:40,920
għal ħafna nies.

638
00:44:40,920 --> 00:44:44,500
A reporter mill-New York Times, inti tista 'tkun kapaċi tikseb l-numru tat-telefon

639
00:44:44,500 --> 00:44:47,380
għall-ex presidenti mill-ktieb l-indirizz tagħhom,

640
00:44:47,380 --> 00:44:54,780
dan ovvjament ħafna ta 'informazzjoni sensittiva gets trasferiti ma' xi ħaġa bħal din.

641
00:44:54,780 --> 00:44:58,090
Kien hemm tali flap big dwar dan li Path apoloġija.

642
00:44:58,090 --> 00:45:01,610
Huma bidlu app tagħhom, u anki impatt Apple.

643
00:45:01,610 --> 00:45:06,950
Apple qal, "Aħna qed tmur għall-seħħ bejjiegħa app għall-utenti fil-pront

644
00:45:06,950 --> 00:45:12,650
jekk dawn qed tmur biex jiġbru indirizz ktieb kollu tagħhom. "

645
00:45:12,650 --> 00:45:15,360
>> Jidher qisu dak li qed jiġri hawnhekk huwa

646
00:45:15,360 --> 00:45:19,430
meta jkun hemm vjolazzjoni waħda privatezza kbir u jagħmel l-istampa

647
00:45:19,430 --> 00:45:21,680
naraw bidla hemmhekk.

648
00:45:21,680 --> 00:45:23,230
Iżda naturalment, hemm affarijiet oħra hemmhekk.

649
00:45:23,230 --> 00:45:27,440
L-applikazzjoni LinkedIn ħsad daħliet kalendarja tiegħek,

650
00:45:27,440 --> 00:45:34,530
iżda Apple ma jagħmlu l-utent tkun imħeġġa dwar dan.

651
00:45:34,530 --> 00:45:38,030
Daħliet kalendarja jista 'jkollhom informazzjoni sensittiva wisq minnhom.

652
00:45:38,030 --> 00:45:40,000
Fejn int ser ifasslu l-linja?

653
00:45:40,000 --> 00:45:43,960
Dan huwa verament tip ta 'post li qed jevolvi

654
00:45:43,960 --> 00:45:47,640
fejn hemm verament ebda standard tajba hemmhekk

655
00:45:47,640 --> 00:45:51,990
għall-utenti biex jifhmu meta informazzjoni tagħhom se tkun f'riskju

656
00:45:51,990 --> 00:45:57,820
u meta dawn qed tmur biex tkun taf huwa qed tittieħed.

657
00:45:57,820 --> 00:46:03,040
Aħna kiteb app fuq Veracode imsejħa Adios,

658
00:46:03,040 --> 00:46:08,350
u essenzjalment li inti permess għall-punt l-app fil-direttorju iTunes tiegħek

659
00:46:08,350 --> 00:46:12,550
u tħares lejn l-applikazzjonijiet kollha li ġew jaħsdu ktieb tiegħek indirizz sħiħ.

660
00:46:12,550 --> 00:46:19,760
U kif tista 'tara fuq din il-lista hawn, Għasafar Angry,

661
00:46:19,760 --> 00:46:21,590
AIM, AroundMe.

662
00:46:21,590 --> 00:46:24,050
Għaliex ma Għasafar Angry bżonn ktieb l-indirizz tiegħek?

663
00:46:24,050 --> 00:46:29,160
I do not know, iżda ma b'xi.

664
00:46:29,160 --> 00:46:32,310
>> Din hija xi ħaġa li ħafna, ħafna applikazzjonijiet do.

665
00:46:32,310 --> 00:46:34,780
Inti tista 'tispezzjona l-kodiċi għal dan.

666
00:46:34,780 --> 00:46:38,660
Hemm APIs definiti sew għall-iPhone, Android u tut

667
00:46:38,660 --> 00:46:42,120
li jiksbu fil-ktieb indirizz.

668
00:46:42,120 --> 00:46:48,520
Inti tista 'verament faċilment jispezzjonaw għal dan, u dan huwa dak li għamilna fl-applikazzjoni Adios tagħna.

669
00:46:48,520 --> 00:46:52,320
Il-kategorija li jmiss, mhux sigur Sensitive Ħażna tad-Data,

670
00:46:52,320 --> 00:46:55,670
hija xi ħaġa fejn l-iżviluppaturi tieħu xi ħaġa bħal pinnijiet jew numru ta 'kont

671
00:46:55,670 --> 00:46:58,530
jew password u jaħżnu fil-ċar fuq il-mezz.

672
00:46:58,530 --> 00:47:02,310
Saħansitra agħar, dawn jistgħu jaħżnu f'żona fuq il-phone

673
00:47:02,310 --> 00:47:06,820
li hija globalment aċċessibbli, bħall-karta SD.

674
00:47:06,820 --> 00:47:11,320
Inti tara dan aktar spiss fuq Android għaliex Android tippermetti għal karta SD.

675
00:47:11,320 --> 00:47:13,200
Mezzi IPhone ma.

676
00:47:13,200 --> 00:47:17,900
Iżda aħna anke raw dan jiġri f'applikazzjoni Citigroup.

677
00:47:17,900 --> 00:47:25,450
Applikazzjoni bankarji tagħhom onlajn tinħażen-numri tal-kont insecurely,

678
00:47:25,450 --> 00:47:28,120
biss fil-ċar, hekk jekk int mitluf tiegħek mezz,

679
00:47:28,120 --> 00:47:30,670
essenzjalment int mitluf-kont bankarju tiegħek.

680
00:47:30,670 --> 00:47:36,000
Dan huwa għaliex I personalment ma tagħmel bankarju fuq iPhone tiegħi.

681
00:47:36,000 --> 00:47:43,710
Naħseb li huwa riskjużi wisq issa dritt li jagħmlu dawn it-tipi ta 'attivitajiet.

682
00:47:43,710 --> 00:47:45,950
>> Skype għamlet l-istess ħaġa.

683
00:47:45,950 --> 00:47:49,870
Skype, naturalment, għandu bilanċ tal-kont, user name u password

684
00:47:49,870 --> 00:47:51,030
li l-aċċess dak il-bilanċ.

685
00:47:51,030 --> 00:48:00,080
Huma kienu ħażna kollha li l-informazzjoni fil-ċar fuq l-apparat mobbli.

686
00:48:00,080 --> 00:48:05,760
Għandi xi eżempji hawn 'ħolqien ta' fajls

687
00:48:05,760 --> 00:48:10,310
li ma jkollhom l-permessi dritt jew tikteb diska

688
00:48:10,310 --> 00:48:17,260
u ma jkollhom ebda encryption jiġri għal dak.

689
00:48:17,260 --> 00:48:20,190
Dan il-qasam li jmiss, mhux sigur Trażmissjoni data sensittiva,

690
00:48:20,190 --> 00:48:24,450
Stajt allużjoni għal dan għal xi ftit drabi, u minħabba pubbliku Wi-Fi

691
00:48:24,450 --> 00:48:27,770
din hija xi ħaġa li apps assolutament jeħtieġu li tagħmel,

692
00:48:27,770 --> 00:48:31,250
u dan huwa probabbilment dak li naraw tmur ħażin l-aktar.

693
00:48:31,250 --> 00:48:34,920
Jien ngħid-fatt, I think I jkollhom l-informazzjoni attwali,

694
00:48:34,920 --> 00:48:38,120
iżda huwa kważi nofs l-applikazzjonijiet mobbli

695
00:48:38,120 --> 00:48:41,780
screw up tagħmel SSL.

696
00:48:41,780 --> 00:48:43,910
Huma biss ma jużawx il-APIs korrett.

697
00:48:43,910 --> 00:48:47,970
I mean, kollha inti ħadthom ltqajna tagħmel hu li ssegwi l-istruzzjonijiet u jużaw l-APIs,

698
00:48:47,970 --> 00:48:54,720
iżda dawn affarijiet simili ma tikkontrolla jekk hemmx ċertifikat invalidu fl-aħħar oħra,

699
00:48:54,720 --> 00:49:02,120
ma jiċċekkjaw jekk il-tarf l-ieħor qed tipprova tagħmel attakk protokoll jiddegrada.

700
00:49:02,120 --> 00:49:07,200
>> L-iżviluppaturi, li jkunu jridu jiksbu Checkbox tagħhom, id-dritt?

701
00:49:07,200 --> 00:49:11,910
Ħtieġa tagħhom hi li nużaw dan li jbiegħu. Huma ħadthom użat dan biex ibiegħu.

702
00:49:11,910 --> 00:49:14,800
Ir-rekwiżit mhuwiex li jużaw dan biex ibiegħu fiż-żgur,

703
00:49:14,800 --> 00:49:19,680
u għalhekk dan huwa għaliex l-applikazzjonijiet kollha li jużaw SSL biex tiżgura data

704
00:49:19,680 --> 00:49:23,470
kif huwa li jiġi trażmess barra mill-mezz verament bżonn li jiġu spezzjonati

705
00:49:23,470 --> 00:49:28,950
biex tiżgura li ġiet implimentata b'mod korrett.

706
00:49:28,950 --> 00:49:32,850
U hawn għandi xi eżempji fejn tista 'tara l-applikazzjoni

707
00:49:32,850 --> 00:49:37,400
jista 'jkun bl-użu HTTP minflok HTTPS.

708
00:49:37,400 --> 00:49:40,510
F'xi każijiet apps se jaqgħu lura għal HTTP

709
00:49:40,510 --> 00:49:44,250
jekk l-HTTPS ma tkunx qed taħdem.

710
00:49:44,250 --> 00:49:49,070
I jkollhom sejħa oħra hawn fuq Android fejn dawn stajt b'diżabilità il-verifika taċ-ċertifikat,

711
00:49:49,070 --> 00:49:51,700
hekk attakk bniedem in-the-nofs jista 'jiġri.

712
00:49:51,700 --> 00:49:56,370
Ċertifikat invalidu se jiġu aċċettati.

713
00:49:56,370 --> 00:50:01,920
Dawn huma l-każijiet kollha fejn attakkanti ser tkun kapaċi tikseb fuq

714
00:50:01,920 --> 00:50:07,150
l-istess Wi-Fi konnessjoni kif l-utent u l-aċċess l-informazzjoni kollha

715
00:50:07,150 --> 00:50:11,650
li l-jiġu mibgħuta fuq l-internet.

716
00:50:11,650 --> 00:50:15,970
>> U finalment, l-aħħar kategorija għandi hawnhekk huwa password hardcoded u keys.

717
00:50:15,970 --> 00:50:21,470
Aħna fil-fatt tara ħafna ta 'żviluppaturi jużaw l-istess stil kodifikazzjoni

718
00:50:21,470 --> 00:50:25,900
li huma għamlu meta kienu bini ta 'applikazzjonijiet web server,

719
00:50:25,900 --> 00:50:29,700
hekk dawn qed tinbena server applikazzjoni Java, u dawn qed hardcoding-ċavetta.

720
00:50:29,700 --> 00:50:31,940
Ukoll, meta int bini ta 'applikazzjoni server, yeah,

721
00:50:31,940 --> 00:50:34,240
hardcoding-ċavetta ma tkunx idea tajba.

722
00:50:34,240 --> 00:50:36,290
Dan jagħmilha diffiċli għall-bidla.

723
00:50:36,290 --> 00:50:40,700
Imma mhux daqshekk ħżiena fuq in-naħa server minħabba li jkollu aċċess għall-ġenb server?

724
00:50:40,700 --> 00:50:43,140
Biss l-amministraturi.

725
00:50:43,140 --> 00:50:48,100
Imma jekk inti tieħu l-istess kodiċi u inti jitferra jikkonsenjaha lill mobbli applikazzjoni

726
00:50:48,100 --> 00:50:52,550
issa kulħadd li għandu dak mobbli applikazzjoni għandha aċċess għal dak ewlieni hardcoded,

727
00:50:52,550 --> 00:50:56,380
u għandna attwalment tara dan ħafna drabi, u għandi xi statistiċi

728
00:50:56,380 --> 00:51:00,920
dwar kif spiss naraw dan iseħħ.

729
00:51:00,920 --> 00:51:04,940
Hija fil-fatt kien fl-eżempju kodiċi li MasterCard ippubblikat

730
00:51:04,940 --> 00:51:06,850
dwar kif jużaw is-servizz tagħhom.

731
00:51:06,850 --> 00:51:11,860
Il-kodiċi eżempju wera kif inti ħu l-password

732
00:51:11,860 --> 00:51:14,850
u poġġih fil string hardcoded hemm dritt,

733
00:51:14,850 --> 00:51:19,380
u nafu kif iżviluppaturi imħabba li kopja u paste kodiċi informattivi

734
00:51:19,380 --> 00:51:22,360
meta jkunu qed tipprova tagħmel xi ħaġa, sabiex inti kopja u paste tal-kodiċi snippet

735
00:51:22,360 --> 00:51:28,450
li huma taw bħala eżempju kodiċi, u inti għandek applikazzjoni prekarju.

736
00:51:28,450 --> 00:51:31,490
>> U hawn aħna għandna xi eżempji.

737
00:51:31,490 --> 00:51:35,840
Dan l-ewwel wieħed huwa wieħed naraw ħafna fejn hardcode

738
00:51:35,840 --> 00:51:40,510
id-dritt data fis-URL li gets mibgħuta.

739
00:51:40,510 --> 00:51:45,120
Kultant naraw password string = il-password.

740
00:51:45,120 --> 00:51:49,060
Li pjuttost faċli li jiġu skoperti, jew password string fuq tut u Android.

741
00:51:49,060 --> 00:51:53,680
Huwa attwalment pjuttost faċli biex jikkontrolla minħabba li kważi dejjem

742
00:51:53,680 --> 00:51:57,030
l-ismijiet iżviluppatur il-varjabbli li s jkollu l-password

743
00:51:57,030 --> 00:52:02,290
xi varjazzjoni ta 'password.

744
00:52:02,290 --> 00:52:05,200
Semmejt li nagħmlu analiżi statika fuq Veracode,

745
00:52:05,200 --> 00:52:11,790
hekk aħna stajt analizzati diversi mijiet Android u IOS applikazzjonijiet.

746
00:52:11,790 --> 00:52:15,160
Imxejna mibnija mudelli sħiħ minnhom, u aħna qed kapaċi jiġu skennjati lilhom

747
00:52:15,160 --> 00:52:19,280
għal vulnerabilitajiet differenti, speċjalment il-vulnerabilitajiet I kien jitkellem dwar,

748
00:52:19,280 --> 00:52:21,050
u I għandhom xi data hawn.

749
00:52:21,050 --> 00:52:24,320
68.5% ta 'l-apps Android ħarisna lejn

750
00:52:24,320 --> 00:52:28,590
kienu maqsuma kodiċi kriptografika,

751
00:52:28,590 --> 00:52:33,240
li għalina, aħna ma jistgħux jikxfu jekk inti ssir rutina tiegħek kripto stess,

752
00:52:33,240 --> 00:52:38,980
mhux li dan idea tajba, iżda dan huwa attwalment tuża l-APIs ippubblikati

753
00:52:38,980 --> 00:52:42,530
li huma fuq il-pjattaforma iżda jagħmlu lilhom b'tali mod

754
00:52:42,530 --> 00:52:46,680
li l-kripto tkun vulnerabbli, 68.5.

755
00:52:46,680 --> 00:52:49,870
U dan huwa għal nies li huma tibgħatilna l-applikazzjonijiet tagħhom fil-fatt minħabba

756
00:52:49,870 --> 00:52:53,730
jaħsbu li hija idea tajba li tagħmel ittestjar tas-sigurtà.

757
00:52:53,730 --> 00:52:56,960
Dawn huma diġà nies li huma probabbilment jaħsbu fiż-żgur,

758
00:52:56,960 --> 00:52:59,540
dan huwa probabbilment saħansitra agħar.

759
00:52:59,540 --> 00:53:02,690
>> I ma jitkellmu dwar il-kontroll injezzjoni feed line.

760
00:53:02,690 --> 00:53:07,640
Hija xi ħaġa li aħna jiċċekkja għal, iżda dan m'huwiex riskjużi kwistjoni.

761
00:53:07,640 --> 00:53:15,390
Tnixxija informazzjoni, dan huwa fejn dejta sensittiva qed tintbagħat off-apparat.

762
00:53:15,390 --> 00:53:19,270
Sibna li f'40% tal-applikazzjonijiet.

763
00:53:19,270 --> 00:53:23,540
Time u l-istat, dawk huma razza kwistjonijiet tat-tip kundizzjoni, tipikament pjuttost diffiċli biex jisfruttaw,

764
00:53:23,540 --> 00:53:26,170
so I ma jitkellmu dwar dan, imma aħna ħares lejn dan.

765
00:53:26,170 --> 00:53:28,750
23% kellhom kwistjonijiet injezzjoni SQL.

766
00:53:28,750 --> 00:53:32,020
Ħafna nies ma jafux li ħafna ta 'applikazzjonijiet

767
00:53:32,020 --> 00:53:35,880
jużaw database żgħir SQL ftit fuq aħħar lura tagħhom jaħżnu data.

768
00:53:35,880 --> 00:53:40,430
Ukoll, jekk id-data li int ħtif fuq in-netwerk

769
00:53:40,430 --> 00:53:43,800
kordi attakk injezzjoni SQL fiha

770
00:53:43,800 --> 00:53:45,970
xi ħadd jista 'jikkomprometti l-apparat permezz ta' dan,

771
00:53:45,970 --> 00:53:49,800
u hekk naħseb insibu madwar 40% ta 'applikazzjonijiet web jkollhom din il-problema,

772
00:53:49,800 --> 00:53:52,840
li hija problema epidemija kbira.

773
00:53:52,840 --> 00:53:55,740
Aħna jsibuha 23% tal-ħin fl apps mobbli

774
00:53:55,740 --> 00:54:02,030
u li probabbilment minħabba li ħafna aktar applikazzjonijiet web tuża SQL minn mobbli.

775
00:54:02,030 --> 00:54:05,580
>> U allura aħna xorta tara xi cross-site scripting, kwistjonijiet ta 'awtorizzazzjoni,

776
00:54:05,580 --> 00:54:09,400
u mbagħad ġestjoni Credential, li fejn għandek password hardcoded tiegħek.

777
00:54:09,400 --> 00:54:14,540
Fil-5% tal-applikazzjonijiet naraw li.

778
00:54:14,540 --> 00:54:17,970
U allura aħna għandna xi dejta dwar IOS.

779
00:54:17,970 --> 00:54:20,180
81% kellhom kwistjonijiet tqandil żball.

780
00:54:20,180 --> 00:54:23,130
Dan huwa aktar ta 'problema kodiċi kwalità,

781
00:54:23,130 --> 00:54:28,010
iżda 67% kellhom kwistjonijiet kriptografiċi, u għalhekk mhux daqshekk ħażin daqs Android.

782
00:54:28,010 --> 00:54:32,440
Forsi l-APIs huma ftit aktar faċli, l-eżempju kodiċijiet ftit aħjar fuq IOS.

783
00:54:32,440 --> 00:54:35,420
Iżda xorta perċentwali għolja ħafna.

784
00:54:35,420 --> 00:54:39,040
Kellna 54% bil tnixxija informazzjoni,

785
00:54:39,040 --> 00:54:42,080
madwar 30% bi żbalji ta 'ġestjoni buffer.

786
00:54:42,080 --> 00:54:45,930
Li postijiet fejn jista 'potenzjalment ikun hemm kwistjoni korruzzjoni memorja.

787
00:54:45,930 --> 00:54:50,350
Jirriżulta li li mhux bħala ħafna ta 'problema għall-isfruttament

788
00:54:50,350 --> 00:54:56,450
fuq IOS minħabba l-kodiċi għandu jiġi ffirmat,

789
00:54:56,450 --> 00:55:02,210
hekk huwa diffiċli għall-attakkant biex tesegwixxi kodiċi arbitrarju fuq IOS.

790
00:55:02,210 --> 00:55:07,880
Kwalità Kodiċi, traversal direttorju, iżda mbagħad kredenzjali ġestjoni hawn fuq 14.6%,

791
00:55:07,880 --> 00:55:09,250
hekk agħar milli fuq il-Android.

792
00:55:09,250 --> 00:55:13,240
Għandna nies ma jġorrux passwords korrett.

793
00:55:13,240 --> 00:55:15,790
U allura l-iżbalji numeriċi u overflow buffer,

794
00:55:15,790 --> 00:55:22,680
dawk huma aktar ser ikunu kwistjonijiet kodiċi kwalità fuq IOS.

795
00:55:22,680 --> 00:55:26,110
>> Li ma kien għall-preżentazzjoni tiegħi. I do not know jekk aħna qed barra ta 'żmien jew le.

796
00:55:26,110 --> 00:55:29,540
I do not know jekk hemm xi mistoqsijiet.

797
00:55:29,540 --> 00:55:33,220
[Male] A kwistjoni malajr madwar frammentazzjoni u s-suq Android.

798
00:55:33,220 --> 00:55:36,240
Apple inqas tippossjedi patching.

799
00:55:36,240 --> 00:55:40,780
Huma jagħmlu xogħol tajjeb ta 'jkollna hemmhekk billi inqas minn hekk fl-ispazju Android.

800
00:55:40,780 --> 00:55:44,280
Inti kważi bżonn biex jailbreak telefon tiegħek li jibqgħu attwali

801
00:55:44,280 --> 00:55:46,660
mar-rilaxx attwali ta 'Android.

802
00:55:46,660 --> 00:55:50,960
Yeah, dan huwa problema kbira u hekk jekk taħseb dwar-

803
00:55:50,960 --> 00:55:52,280
[Male] Għaliex ma tistax tirrepeti dan?

804
00:55:52,280 --> 00:55:55,610
>> Oh, id-dritt, sabiex il-kwistjoni kien dak dwar frammentazzjoni

805
00:55:55,610 --> 00:56:00,410
tas-sistema operattiva fuq il-pjattaforma Android?

806
00:56:00,410 --> 00:56:05,890
Kif ma li jaffettwaw il-riskiness ta 'dak l-apparat?

807
00:56:05,890 --> 00:56:09,700
U fil-fatt huwa problema kbira għaliex dak li jiġri huwa

808
00:56:09,700 --> 00:56:15,110
l-apparat anzjani, meta xi ħadd jidħol bi jailbreak għal dak l-apparat,

809
00:56:15,110 --> 00:56:19,960
essenzjalment li l-eskalazzjoni privileġġ, u sakemm dik is-sistema operattiva tkun aġġornata

810
00:56:19,960 --> 00:56:25,350
kwalunkwe malware jistgħu mbagħad jużaw dak vulnerabbiltà li tikkomprometti totalment l-apparat,

811
00:56:25,350 --> 00:56:30,200
u dak li aħna qed tara fuq il-Android huwa sabiex tikseb sistema operattiva ġdida

812
00:56:30,200 --> 00:56:34,690
Google trid tqiegħed l-sistema operattiva, u allura l-manifattur hardware

813
00:56:34,690 --> 00:56:39,390
għandu customize, u mbagħad it-trasportatur irid customize u jipprovduh.

814
00:56:39,390 --> 00:56:43,070
Inti għandek bażikament 3 partijiet li jiċċaqalqu hawn,

815
00:56:43,070 --> 00:56:47,210
u huwa jiggradwaw li t-trasportaturi ma 'kura,

816
00:56:47,210 --> 00:56:50,400
u l-manifatturi tal-hardware ma 'kura, u Google mhix prodding minnhom biżżejjed

817
00:56:50,400 --> 00:56:54,430
li tagħmel xejn, hekk essenzjalment minn nofs tal-mezzi hemmhekk

818
00:56:54,430 --> 00:57:00,590
għandhom sistemi operattivi li għandhom dawn il-vulnerabilitajiet eskalazzjoni privileġġ fihom,

819
00:57:00,590 --> 00:57:08,440
u hekk jekk ikollok malware fuq mezz Android tiegħek huwa ħafna aktar ta 'problema.

820
00:57:08,440 --> 00:57:10,350
>> Okay, nirringrazzjak ħafna.

821
00:57:10,350 --> 00:57:12,310
[Applause]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]