[Seminar] [Niddefendu Behind the Device: Mobile Applikazzjoni Sigurtà]
 [Chris Wysopal] [Harvard University]
 [Dan huwa CS50.] [CS50.TV]
 

Tajba wara nofsinhar. Jisimni Chris Wysopal.
 Jien l-CTO u ko-fundatur tal Veracode.
 Veracode hija kumpanija tas-sigurtà applikazzjoni.
 Aħna test kull tip ta 'applikazzjonijiet differenti,
 u dak li jien ser jitkellmu dwar llum hija s-sigurtà mobbli applikazzjoni.
 Isfond tiegħi huwa Stajt kont qed tagħmel riċerka tas-sigurtà
 għal żmien twil ħafna, probabbilment madwar sakemm xi ħadd.
 I bdew fl-90s nofs,
 u kien żmien li kien pjuttost interessanti minħabba
 kellna bidla fundamentali fil-90s nofs.
 Kollha tal-kompjuter kulħadd f'daqqa kien hooked up għall-internet,
 u mbagħad kellna l-bidu ta 'applikazzjonijiet web,
 u dan huwa dak I iffukat fuq lott imbagħad.
 Huwa interessanti.
 Issa għandna bidla oħra paradigma jiġri bil-kompjuters,
 li hija l-bidla għal applikazzjonijiet mobbli.
 

Inħoss huwa tip ta 'żmien simili allura kien fl-90s tard
 meta konna jinvestigaw applikazzjonijiet web u jsibu difetti simili
 żbalji ta 'ġestjoni sessjoni u l-injezzjoni SQL
 li verament ma kienx jeżisti qabel, u kollha f'daqqa kienu kullimkien
 fl-applikazzjonijiet web, u issa ħafna mill-ħin I jonfqu
 qed tħares lejn applikazzjonijiet mobbli u tħares lejn dak li għaddej hemmhekk fis-selvaġġ.
 Applikazzjonijiet mobbli huma verament se jkun il-pjattaforma computing dominanti,
 hekk aħna verament bżonn li jqattgħu ħafna ħin jekk int fl-industrija tas-sigurtà
 jiffoka fuq applikazzjonijiet web.
 Kien hemm 29000000000 apps mobbli jitniżżel fl-2011.
 Huwa mbassar li jkun 76000000000 apps sa l-2014.
 Hemm 686000000 mezzi li ser jiġu mixtrija din is-sena,
 għalhekk dan huwa fejn in-nies se tkun qed twettaq
  il-maġġoranza tal-kompjuters klijent tagħhom miexi 'l quddiem.
 

I kien tkellem lil xi Viċi president fil Investimenti fedeltà
 ftit xhur ilu, u qal li biss raw aktar traffiku
 jagħmlu tranżazzjonijiet finanzjarji mill-klijentela tagħhom
 fuq mobbli applikazzjoni tagħhom milli fuq il-websajt tagħhom,
 hekk użu komuni għall-Web fil-passat kien
 verifika stock kwotazzjonijiet tiegħek, ġestjoni tal-portafoll tiegħek,
 u aħna qed attwalment jaraw li fl-2012 bidla
 li jkun aktar dominanti fuq il-pjattaforma mobbli.
 Ċertament jekk hemm għaddej li tkun kwalunkwe attività kriminali,
 kwalunkwe attività malizzjużi, li għaddej biex tibda tkun iffokata fuq il-pjattaforma mobbli
 matul iż-żmien bħala nies jaqilbu għal dan.
 Jekk inti tħares lejn il-pjattaforma mobbli,
 li tħares lejn ir-riskji tal-pjattaforma huwa utli li din tinqasam il-livelli differenti,
 bħad inti tagħmel dan fuq kompjuter desktop,
 u taħseb dwar il-livelli differenti, software, sistema operattiva,
 saff tan-netwerk, saff hardware, u naturalment, hemm vulnerabilitajiet fuq dawk saffi kollha.
 

L-istess ħaġa jiġri fuq il-mowbajl.
 Imma mobbli, jidher li xi wħud minn dawk saffi huma agħar.
 Għal waħda, il-saff tan-netwerk huwa aktar problematika fuq il-mowbajl
 peress li ħafna nies ikollhom fil-kariga tagħhom jew id-dar
 konnessjonijiet bil-fili jew li għandhom Wi-Fi konnessjonijiet siguri,
 u bil-lott ta 'apparat mobbli int ovvjament barra mid-dar
 jew barra mill-uffiċċju ħafna, u jekk inti qed tuża Wi-Fi hemm
 inti tista 'tuża prekarju Wi-Fi konnessjoni,
 xi ħaġa li l-pubbliku Wi-Fi konnessjoni,
 hekk meta naħsbu dwar apps mobbli għandna biex jieħdu kont
 li l-ambjent tan-netwerk huwa aktar riskjużi għal dawk l-applikazzjonijiet
 meta Wi-Fi qed tintuża.
 U meta I tikseb fis aktar mir-riskji mobbli applikazzjoni
 tkun taf tara għaliex li l-aktar importanti.
 Hemm riskji fil-livell hardware fuq apparat mobbli.
 Dan huwa qasam ta 'riċerka kontinwa.
 Nies sejħa dawn l-attakki tal-broadband jew attakki baseband
 fejn int jattakkaw il-Firmware thats jisimgħu fuq ir-radju.
 

Dawn huma verament attakki scary għaliex
 l-utent ma jkollhom jagħmlu xi ħaġa.
 Inti tista 'tolqot lottijiet ta' mezzi fil-firxa RF
 f'daqqa, u jidher li huwa simili kull meta din ir-riċerka bżieżaq up
 malajr jiġrilha kklassifikati fejn
 nies swoop fil madwar u jgħidu, "Hawn, tgħidilna dwar dan, u jekk jogħġbok stop jitkellem dwar dan."
 Hemm xi riċerka għaddejjin fil-qasam tal-broadband,
 iżda jidher li jkun hush hush ħafna.
 Naħseb li huwa aktar ta 'tip stat nazzjon ta' riċerka li għaddej.
 Żona ta 'riċerka attiva, għalkemm, huwa s-saff sistema operattiva,
 u għal darb'oħra, dan huwa differenti milli fil-dinja tal-kompjuter desktop
 minħabba fl-ispazju mobbli ikollok dawn it-timijiet ta 'nies imsejħa jailbreakers,
 u jailbreakers huma differenti minn riċerkaturi vulnerabbiltà regolari.
 Huma qed jippruvaw isibu vulnerabbiltajiet fis-sistema operattiva,
 iżda r-raġuni li qed tipprova ssib il-vulnerabbiltajiet mhuwiex li
 jidħlu fis-magna xi ħadd ieħor u kompromess dan.
 Huwa li jidħlu fis-kompjuter tagħhom stess.
 

Huma jixtiequ li jidħlu fis-mowbajl tagħhom stess, jimmodifikaw sistema operattiva mobbli tagħhom stess
 sabiex ikunu jistgħu imexxu l-applikazzjonijiet tal-għażla tagħhom
 u l-bidla affarijiet ma permessi amministrattivi kollha,
 u ma jridux li tgħid il-bejjiegħ dwar dan. Dawn mhux qed simili riċerkatur sigurtà li huwa riċerkatur sigurtà hat abjad
 li se tagħmel l-iżvelar responsabbli u għid l-bejjiegħ dwar dan.
 Huma jixtiequ li jagħmlu din ir-riċerka, u huma jridu li attwalment tippubblikaha
 fi jisfrutta jew rootkit jew kodiċi jailbreak,
 u huma jridu li jagħmlu dan strateġikament, bħal dritt wara
 il-vapuri bejjiegħ tas-sistema operattiva ġdida.
 Inti għandek din ir-relazzjoni tal-kontradittorju
 vulnerabilitajiet ta 'livell OS fuq il-mobile,
 li naħseb huwa pjuttost interessanti, u post wieħed naraw
 qed jagħmilha tant li hemm kodiċi tajjeb ippubblikat jisfruttaw hemmhekk
 għall-vulnerabbiltajiet fil-livell għadma,
 u Rajna dawk attwalment jintużaw minn kittieba malware.
 Huwa daqsxejn ftit differenti mill-dinja PC.
 U allura l-aħħar saff huwa s-saff ta 'fuq, il-saff tal-applikazzjoni.
 Dak hu li jien ser jitkellmu dwar llum.
 

Jeżistu Is-saffi l-oħra, u l-saffi oħra għandhom fiha,
 imma jien aktar ser jitkellmu dwar x'inhu għaddej fil-saff tal-applikazzjoni
 fejn kodiċi qed taħdem fil-sandbox.
 Huwa ma jkollu privileġġi amministrattivi.
 Huwa għandu juża l-APIs tal-mezz,
 iżda xorta, lott ta 'attività malizzjużi u ħafna ta' riskju jista 'jiġri f'dak saff
 minħabba li l-saff fejn l-informazzjoni hi.
 Apps jistgħu jaċċessaw l-informazzjoni kollha fuq l-apparat
 jekk ikollhom il-permessi dritt,
 u jistgħu aċċess għall-sensuri differenti fuq l-apparat,
 Sensor tal-GPS, mikrofonu, camera, dak li int.
 Anki jekk aħna qed biss jitkellem dwar fil-saff tal-applikazzjoni
 għandna ħafna ta 'riskju hemmhekk.
 Il-ħaġa oħra li l differenti dwar l-ambjent mobbli
 hija l-atturi kollha tas-sistema operattiva, kemm jekk tkun tut jew Android
 jew IOS jew Windows mobbli, kollha għandhom mudell multa permess grained,
 u dan huwa wieħed mill-modi li huma mibnija fis-sistema operattiva
 l-idea li mhuwiex bħala riskjuż kif taħseb.
 Anki jekk għandek kuntatti kollha tiegħek fuq hemmhekk, l-informazzjoni personali tiegħek,
 għandek ritratti tiegħek, inti għandek post tiegħek fuq hemmhekk,
 int ħażna pin bank tiegħek għall-login auto fuq hemmhekk, huwa sikur għaliex
 apps għandhom ikollhom ċerti permessi li jiksbu fil ċerti partijiet
 ta 'l-informazzjoni fuq il-mezz, u l-utent għandu jiġi ppreżentat bil-
 dawn il-permessi u jgħidu okay.
 

Il-problema bil huwa l-utent dejjem jgħid okay.
 Bħala persuna sigurtà, Naf li inti tista 'fil-pront lill-utent,
 ngħid xi ħaġa tassew ħżiena jiġri, tridu li jiġri?
 U jekk dawn qed fil-għaġla jew hemm xi ħaġa verament enticing fuq in-naħa l-oħra ta 'dan,
 bħal logħba se tkun installata li kont qed tistenna,
 dawn qed tmur biex ikklikkja okay.
 C'est pourquoi I say fuq slide tiegħi hawn just let me fling għasafar fil-majjali diġà,
 u tista 'tara fuq il-pjastra hawn hemm eżempji ta' kaxxa permess tut.
 Hija tgħid "Jekk jogħġbok stabbilit l-permessi ta 'applikazzjoni tut Ivvjaġġar
 wara tikklikkja buttuna hawn taħt, "u bażikament l-utent huwa biss se ngħid
 tistabbilixxi l-permessi u jiffrankaw.
 Hawn pront Android fejn juri l-affarijiet,
 u fil-fatt tqiegħed xi ħaġa li kważi qisu twissija.
 Huwa ltqajna tip ta 'sinjal rendiment hemm qal komunikazzjoni tan-network, telefonata,
 iżda l-utent se ikklikkja jinstallaw, right?
 U allura l-Apple wieħed huwa kompletament innokwa.
 Hija ma tagħti ebda tip ta 'twissija.
 Huwa biss Apple tixtieq tuża lokazzjoni attwali tiegħek.
 Of course int ser ikklikkja okay.
 

Hemm dan il-mudell permess fine-grained,
 u apps għandek jkollhom fajl manifest fejn jiddikjaraw
 l-permessi li għandhom bżonn, u li se tikseb murija lill-utent,
 u l-utent se jkollhom jgħidu I jagħtu dawn il-permessi.
 Imma ejja ikunu onesti.
 Utenti huma biss se dejjem ngħid okay.
 Ejja tagħti ħarsa lejn l-permessi li dawn apps qed jitolbu għal
 u wħud mill-permessi li qegħdin hemm.
 Din il-kumpannija Praetorian ma 'stħarriġ sena li għaddiet
 ta '53,000 applikazzjonijiet analizzati fis-swieq tas-suq u parti 3 Android,
 għalhekk dan huwa Android kollu.
 U l-app medja mitluba 3 permessi.
 Xi apps mitluba 117 permessi,
 dan ovvjament dawn huma fin ħafna grained u mod wisq kumplessi għall-utent biex jifhmu
 jekk dawn qed ippreżentata ma 'din app li teħtieġ dawn 117 permessi.
 Huwa bħall-ftehim ta 'liċenzja utent finali li l-45 paġni fit-tul.
 Forsi hekk dawn ser ikollhom għażla fejn huwa simili
 jistampaw il-permessi u tibgħatli email.
 

Imma jekk inti tħares lejn uħud mill-permessi interessanti top
 24% ta 'l-apps li huma jitniżżlu mill-53000
 talbet informazzjoni GPS mill-apparat.
 8% aqra l-kuntatti.
 4% bagħat SMS, u 3% rċevew SMS.
 2% rreġistrati awdjo.
 1% pproċessati sejħiet 'il barra.
 I do not know.
 Ma naħsibx 4% mill-apps fil-maħżen app verament bżonn biex jibagħtu messaġġi SMS,
 hekk naħseb li l-ħjiel li xi ħaġa mhux mixtieqa qed jiġri.
 8% tal-apps bżonn biex taqra kuntatti lista tiegħek. Huwa probabbilment ma jkunx meħtieġ.
 Waħda mill-affarijiet oħra interessanti dwar il-permessi hija
 jekk inti link fil-libreriji maqsuma fis-applikazzjoni tiegħek
 dawk jirtu l-permessi ta 'l-applikazzjoni,
 hekk jekk app tiegħek teħtieġ l-lista ta 'kuntatt jew teħtieġ l-post GPS li jiffunzjonaw
 u inti link fil-librerija reklamar, per eżempju,
 li ad librerija se tkun tista 'aċċess għall-kuntatti wkoll
 u ukoll ikunu jistgħu jaċċessaw il-post GPS,
 u l-iżviluppatur tal-app jaf xejn dwar il-kodiċi li l-ġirja fit-ad librerija.
 Huma qed biss jgħaqqdu li minħabba li jkunu jridu monetize app tagħhom.
 

Dan huwa fejn u jien ser nitkellmu dwar xi eżempji ta 'dan ma'
 applikazzjoni msejħa Pandora fejn iżviluppatur applikazzjoni
 tista bla ma jintebħu jiġu kxif ta 'informazzjoni
 mill-utenti tagħhom minħabba ta 'libreriji li ħadthom marbuta pulzieri
 Surveying-pajsaġġ hemmhekk, tħares lejn l-apps differenti
 li ġew irrappurtati fl-aħbarijiet bħala utenti malizzjużi jew tagħmel xi ħaġa ma riedx
 u mbagħad jispezzjona ħafna ta 'apps' nagħmlu ħafna ta 'analiżi binarja statika fuq apps mobbli,
 hekk konna spezzjonati lilhom u ħares lejn il-kodiċi nnifsu '
 aħna ħarāet bil nsejħu top 10 lista tagħna ta 'mġiba riskjuża fl-applikazzjonijiet.
 U huwa mqassam fi 2 taqsimiet, kodiċi malizzjuż,
 hekk dawn huma affarijiet ħżiena li l-apps jista 'jkun tagħmel li
 x'aktarx li jkunu xi ħaġa li individwu malizzjużi
 speċifikament tqiegħed fl-applikazzjoni, iżda huwa ftit fuzzy.
 Dan jista 'jkun xi ħaġa li l-iżviluppatur jaħseb huwa multa,
 iżda dan jispiċċa tiġi meqjusa bħala malizzjużi mill-utent.
 

U mbagħad it-tieni taqsima hu dak li nsejħu kodifikazzjoni vulnerabbiltajiet,
 u dawn huma affarijiet fejn l-iżviluppatur bażikament qed tagħmel żbalji
 jew biss ma jifhmu kif jiktbu l-app sikur,
  u li żied l-utent app f'riskju.
 Jien se jmorru permezz ta 'dawn fid-dettall u tagħti xi eżempji.
 Għar-referenza, jien ridt li tpoġġi l-OWASP mobbli top 10 lista.
 Dawn huma l-10 kwistjonijiet li grupp fil OWASP,
 il-Proġett Open Web Applikazzjoni Sigurtà, dawn ikollhom grupp ta 'ħidma
 taħdem fuq mobile top 10 lista.
 Huma għandhom famużi ħafna web top 10 lista, li huma l-top 10
 affarijiet ikbar riskju inti jista 'jkollhom f'applikazzjoni web.
 Huma qed tagħmel l-istess ħaġa għall-mobbli,
 u l-lista tagħhom hija xi ftit differenti minn tagħna.
 6 minn 10 huma l-istess.
 Huma għandhom 4 li huma differenti.
 Jien naħseb li jkollhom xi ftit ta 'take differenti fuq
 riskju fil apps mobbli fejn ħafna kwistjonijiet tagħhom
 huma verament kif l-applikazzjoni hija tikkomunika ma 'server back-end
 jew x'inhu għaddej fuq is-server back-end,
 apps mhux tant li jkollhom imġiba riskjuża li huma apps klijent biss sempliċi.
 

Dawk bl-aħmar hawn huma d-differenzi bejn il-listi 2.
 U xi wħud tim tar-riċerka tiegħi fil-fatt ikkontribwixxa għal dan il-proġett,
 hekk aħna ser tara x'jiġri matul iż-żmien, iżda naħseb li l-takeaway hawnhekk huwa
 aħna ma verament jafu x'inhi l-top 10 lista tkun apps mobbli minħabba
 li ħadthom ġie verament biss madwar għal 2 jew 3 snin issa,
 u ma kien hemm biżżejjed ħin biex verament riċerka l-sistemi operattivi
 u dak li qed kapaċi, u ma kien hemm żmien biżżejjed
 għall-komunità malizzjużi, jekk inti se, li jkunu qattgħu żmien biżżejjed
 jippruvaw attakk utenti permezz apps mobbli, so I jistennew dawn il-listi għal bidla ftit.
 Iżda għal issa, dawn huma l-ogħla 10 affarijiet li tinkwieta dwar.
 Inti jista 'jistaqsi fuq il-ġenb mobbli fejn ma l-code-mobile malizzjużi
 kif ma jiksbu fuq l-apparat?
 North Carolina Istat għandha proġett imsejjaħ il-Proġett Ġenoma Mobile Malware
 fejn huma ġbir malware mobbli kemm jistgħu u janalizzaha,
 u ħadthom maqsuma l-vettori injezzjoni li l-malware mobbli użi,
 u 86% tintuża teknika msejħa ippakkjar mill-ġdid,
 u dan huwa biss fuq il-pjattaforma Android
 inti tista 'verament tagħmel dan ippakkjar mill-ġdid.
 

Ir-raġuni hija kodiċi Android hija mibnija ma '
 kodiċi byte Java imsejħa Dalvik li huwa faċilment decompilable.
 X'inhu l-Guy ħażina tista 'tagħmel huwa
 jieħu applikazzjoni Android, jiddekkompilaw dan,
 daħħal kodiċi malizzjużi tagħhom, recompile dan,
 u mbagħad titqiegħed fil-maħżen app jidher li jkun verżjoni ġdida ta 'dik l-applikazzjoni,
 jew biss forsi jinbidlu l-isem ta 'l-applikazzjoni.
 Jekk kien xi tip ta 'logħba, jinbidel l-isem ftit,
 u għalhekk dan ippakkjar mill-ġdid huwa kif 86% ta 'malware mobbli gets mqassma.
 Hemm teknika msejħa aġġornament ieħor li huwa
 simili ħafna għal ippakkjar mill-ġdid, iżda inti fil-fatt ma tpoġġi l-kodiċi malizzjużi pulzieri
 Dak li għandek tagħmel huwa li inti tpoġġi fil-mekkaniżmu aġġornament żgħir.
 You decompile, inti tpoġġi fil-mekkaniżmu aġġornament, u inti recompile dan,
 u mbagħad meta l-app qed taħdem jiġbed l-malware fuq il-mezz.
 

Sa fejn l-maġġoranza huma dawn it-tekniki 2.
 M'hemmx download Drive-bys verament ħafna jew drive-by downloads fuq il-mowbajls,
 li jista 'jkun bħal attakk phishing.
 Ħej, check out dan is-sit verament jibred,
 jew għandek bżonn biex tmur din il-websajt u jimlew din il-formola
 iżommu kontinwa tagħmel xi ħaġa. Dawk huma phishing attakki.
 L-istess ħaġa jista 'jiġri fuq il-pjattaforma mobbli fejn
 jippuntaw lejn app mobbli download, jgħidu "Hi, dan huwa Bank of America."
 "Aħna naraw inti qed tuża din l-applikazzjoni."
 "Għandek tniżżel din l-applikazzjoni l-oħra."
 Teoretikament, li jistgħu jaħdmu.
 Forsi huwa biss mhux qed jintuża biżżejjed biex jiġi ddeterminat jekk huwa ta 'suċċess jew le,
 imma sabu li inqas minn 1% tal-ħin li teknika hija użata.
 Il-maġġoranza tal-ħin huwa verament kodiċi ppakkjat mill-ġdid.
 

Hemm kategorija msejħa standalone oħra
 fejn xi ħadd biss tibni applikazzjoni ġdida-fjamanta.
 Huma jibnu applikazzjoni li tkun intenzjonata li tkun xi ħaġa.
 Mhuwiex ippakkjar mill-ġdid ta 'xi ħaġa oħra, u li għandha l-kodiċi malizzjużi.
 Li użaw 14% tal-ħin.
 Issa nixtieq li nitkellmu dwar dak huwa l-kodiċi malizzjużi tagħmel?
 Waħda mill-ewwel malware hemmhekk
 inti tista 'tikkunsidra spyware.
 Bażikament Spies fuq l-utent.
 Hija tiġbor emails, messaġġi SMS.
 Hija tiddependi fuq il-mikrofonu.
 Hija ħsad-ktieb kuntatt, u tibgħatha off lil xi ħadd ieħor.
 Dan it-tip ta 'spyware teżisti fuq il-PC,
 għalhekk jagħmel sens perfetta għall-persuni li jipprova jagħmel dan fuq apparat mobbli.
 

Wieħed mill-ewwel eżempji ta 'dan kien programm imsejjaħ Secret SMS irreplika.
 Kien fis-Suq Android ftit ta 'snin ilu,
 u l-idea kienet jekk kellek aċċess għal xi ħadd cell Android
 li inti riedu spy fuq, hekk forsi huwa konjuġi tiegħek
 jew oħra sinifikanti tiegħek u inti tixtieq li spy fuq messaġġi bit-test tagħhom,
 inti tista 'tniżżel dan app u tinstallahom u kkonfigurat
 li jibgħat messaġġ SMS lilek ma 'kopja
 ta 'kull messaġġ SMS li ltqajna.
 Dan ovvjament huwa fi ksur tat-termini maħżen app ta 'servizz,
 u dan tneħħa mir-Suq Android fi żmien 18 siegħa ta 'ma jkun hemm,
 hekk numru żgħir ħafna ta 'persuni kienu f'riskju minħabba dan.
 Issa, naħseb jekk il-programm kienet tissejjaħ xi ħaġa forsi ftit inqas provokattiva
 bħal Secret SMS Replicator x'aktarx li ħadmu ħafna aħjar.
 Iżda kien tip ta ovvju.
 

Waħda mill-affarijiet li nistgħu nagħmlu biex jiddeterminaw jekk apps ikollhom din l-imġiba li ma rridux
 huwa li jispezzjonaw il-kodiċi.
 Dan huwa attwalment verament faċli li tagħmel fuq Android għaliex nistgħu jiddekkompilaw-apps.
 Fuq IOS inti tista 'tuża disassembler bħal IDA Pro
 li tħares lejn dak APIs l-app qed issejjaħ u dak li qed jagħmel.
 Aħna kiteb analizzatur statiku tagħna stess binarju għall-kodiċi tagħna
 u nagħmlu dan, u għalhekk dak li inti tista 'tagħmel huwa inti tista' tgħid
 ma l-apparat tagħmel xi ħaġa li hija bażikament spying fuq lili jew traċċar me?
 U Għandi xi eżempji hawn fuq l-iPhone.
 Dan ewwel eżempju huwa kif jaċċessaw l-UUID fuq it-telefon.
 Din hija xi ħaġa li Apple għadha kif pprojbiti għall-applikazzjonijiet ġodda,
 iżda l-applikazzjonijiet qodma li inti jista 'jkollok taħdem fuq il-mobile tiegħek xorta tista' tagħmel dan,
 u sabiex identifikatur uniku jistgħu jintużaw biex track inti
 madwar l-applikazzjonijiet differenti ħafna.
 

Min-Android, I jkollhom eżempju hawn 'jkollna post tal-mezz.
 Tista 'tara li jekk dik is-sejħa API huwa hemm li app huwa l-ittrakkjar,
 u tista 'tara jekk huwa jkollna post fin jew oħxon post.
 U mbagħad fuq il-qiegħ hawn, I jkollhom eżempju ta 'kif fuq il-tut
 applikazzjoni tista 'aċċess l-messaġġi email fl-inbox tieghek.
 Dawn huma t-tip ta 'affarijiet li inti tista' tispezzjona biex tara
 jekk l-app qed tagħmel dawk l-affarijiet.
 It-tieni kategorija kbira ta 'aġir malizzjuż, u dan huwa probabbilment l-akbar kategorija issa,
 huwa tisselezzjona mhux awtorizzat, messaġġi SMS primjum mhux awtorizzat
 jew pagamenti mhux awtorizzati.
 Ħaġa oħra li l-uniku dwar il-phone
 hija l-mezz huwa hooked għal kont kontijiet,
 u meta l-attivitajiet jiġri fuq it-telefon
 ikun jista 'joħloq spejjeż.
 Tista 'tixtri l-affarijiet fuq it-telefon,
 u meta inti tibgħat messaġġ premium test SMS int fil-fatt jagħtu flus
 lid-detentur jitqies in-numru tat-telefon fuq in-naħa l-oħra.
 Dawn twaqqfu biex tikseb kwotazzjonijiet istokk jew tikseb horoscope kuljum tiegħek jew affarijiet oħra,
 iżda jistgħu jiġu stabbiliti għall-ordni prodott billi jibgħat SMS test.
 Nies jagħtu flus lill-Salib l-Aħmar billi jibgħat messaġġ.
 Tista 'tagħti $ 10 li mod.
 

L-attakkanti, dak li ghamilt huwa li jitwaqqaf
 kontijiet fil-pajjiżi barranin, u li jintegraw fis-malware
 li l-phone se tibgħat messaġġ ta 'test premium SMS,
 jgħidu, għal xi ftit drabi kuljum, u fl-aħħar tax-xahar inti tirrealizza inti ħadthom jintefqu
 għexieren jew forsi anke mijiet ta 'dollari, u dawn walk away mal-flus.
 Dan ltqajna daqshekk ħżiena li dan kien l-ewwel ħaġa li l-Android
 Suq jew il-Google-post kien l-Suq Android fil-ħin,
 u issa huwa Google Play-ewwel ħaġa li Google bdiet verifika għall.
 Meta Google bdiet tqassam apps Android fil-maħżen app tagħhom
 huma qalu li ma kinux ser jiċċekkja għal xejn.
 Aħna ser iġbed apps ladarba aħna ħadthom ġiet innotifikata ħadthom miksur tagħna termini ta 'servizz,
 iżda aħna mhux qed tmur biex jiċċekkja għal xejn. Well, madwar sena ilu ltqajna daqshekk ħżiena ma 'dan il-primjum SMS malware messaġġ
 li dan huwa l-ewwel ħaġa li bdew verifika għall.
 Jekk app jista 'jibgħat messaġġi SMS
 huma wkoll manwalment jinfela dak l-applikazzjoni.
 Huma jfittxu l-APIs li jitolbu dan,
 u issa minn dakinhar Google espandiet,
 iżda din kienet l-ewwel ħaġa li bdiet tfittex.
 

Xi apps oħra li għamilt xi messaġġi SMS,
 dan Qicsomos Android, I raden huwa msejjaħ.
 Ma kien hemm dan l-avveniment attwali dwar il-mobbli fejn dan CarrierIQ ħareġ
 kif spyware tpoġġi fuq il-mezz mit-trasportaturi,
 sabiex in-nies riedu jkunu jafu jekk il-mobile tagħhom kienet vulnerabbli għal dan,
 u dan kien liberu li app ttestjati dan.
 Well, naturalment, dak li dan app ma kien bagħat messaġġi SMS premium,
 hekk mill-ittestjar biex tara jekk int infettat bl spyware
 inti mgħobbija malware fuq it-tagħmir tiegħek.
 Rajna l-istess ħaġa jiġri fl-aħħar Super Bowl.
 Kien hemm verżjoni fittizji tal-logħba tal-futbol Madden
 li bagħtu messaġġi SMS primjum.
 Hija fil-fatt ippruvaw joħolqu netwerk bot wisq fuq il-mezz.
 Hawn irrid niċċara xi eżempji.
 Interessanti biżżejjed, Apple kien pjuttost intelliġenti,
 u li ma jippermettux l-applikazzjonijiet li jibgħat messaġġi SMS fil-livelli kollha.
 Nru app jistgħu jagħmlu dan.
 Li mod tajjeb ħafna ta 'jwarrbu' klassi kollha ta 'vulnerabbiltà,
 iżda fuq Android tista 'tagħmel dan, u naturalment, fuq tut inti tista' tagħmel wisq.
 Huwa interessanti li fuq il-tut kulma għandek bżonn hija l-permessi internet
 li jibgħat messaġġ SMS.
 

Il-ħaġa oħra verament li aħna tfittex
 meta aħna qed tfittex biex tara jekk xi ħaġa huwa malizzjużi huwa biss xi tip ta '
 attività tan-netwerk mhux awtorizzat, bħal tħares lejn l-attività tan-netwerk
 l-app huwa suppost li jkollu li jkollha funzjonalità tagħha,
 u ħarsa lejn din l-attività l-oħra tan-netwerk.
 Forsi app, li jaħdem, għandha tikseb data fuq HTTP,
 imma jekk huwa nagħmlu l-affarijiet fuq email jew SMS jew Bluetooth jew xi ħaġa bħal dik
 issa li app jista 'potenzjalment malizzjużi, għalhekk dan huwa ħaġa oħra li inti tista' tispezzjona għall.
 U fuq dan slide hawn Għandi xi eżempji ta 'dak.
 Ħaġa oħra interessanti rajna malware ġara lura fl-2009,
 u dan ġara b'mod kbar.
 I do not know jekk huwa ġara tant minn dakinhar, imma kien app
 li impersonated applikazzjoni oħra.
 Kien hemm sett ta 'apps, u kien iddabbjati l-attakk 09Droid,
 u xi ħadd iddeċieda li kien hemm ħafna ta 'intrapriżi żgħar, banek midsize, reġjonali
 li ma kellux applikazzjonijiet bankarji online,
 hekk dak li għamlet kien li bnew madwar 50 applikazzjonijiet bankarji online
 li kull ma għamlet kien jieħu l-user name u password
 u jagħtu direzzjoni ġdida fil-website.
 U hekk li jqiegħdu dawn kollha fil-Suq Google,
 fil-Suq Android, u meta xi ħadd mfittxija biex tara jekk bank tagħhom
 kellhom applikazzjoni isibuha l-applikazzjoni fittizji,
 li tinġabar kredenzjali tagħhom u mbagħad dirottati lill-website tagħhom.
 Il-mod li dan fil-fatt sar-apps kienu up hemm għal ftit ġimgħat,
 u kien hemm eluf u eluf ta 'dawnlowds.
 

Il-mod kif dan wasal għall-dawl kien xi ħadd kien li għandhom problema
 ma 'waħda mill-applikazzjonijiet, u huma msejħa bank tagħhom,
 u huma msejħa appoġġ linja klijent tal-bank tagħhom u qal,
 "Jien li għandhom problema bl-applikazzjoni bankarju tiegħek mobbli."
 "Tista 'tgħin me out?"
 U qalu, "Aħna ma jkollhom applikazzjoni mobbli ta 'banek."
 Li beda l-investigazzjoni.
 Dak il-bank imsejħa Google, u mbagħad Google ħares u qal,
 "Ara naqra, l-istess awtur kiteb 50 applikazzjoni bankarji," u ħa lilhom kollha stabbiliti.
 Iżda ċertament dan jista 'jiġri mill-ġdid.
 Hemm il-lista tal-banek differenti hawn
 li kienu parti minn dan scam.
 Il-ħaġa oħra app tista 'tagħmel huwa preżenti l-UI ta' applikazzjoni oħra.
 Filwaqt huwa taħdem din tista pop up il-UI Facebook.
 Hija tgħid li inti għandek tpoġġi fil-username u password biex ikomplu
 jew imqiegħed kull user name u password UI għal websajt
 li forsi l-utent juża biss biex tipprova trick-utent
 fis tqegħid kredenzjali tagħhom pulzieri
 Dan huwa verament parallel dritta 'l-attakki phishing email
 fejn xi ħadd inti tibgħat messaġġ email
 u jagħtik bażikament UI foloz għal websajt
 li inti għandek aċċess għall.
 

Il-ħaġa oħra li aħna tfittex fil-kodiċi malizzjuż hija modifika tas-sistema.
 Inti tista 'tfittex l-API sejħiet li jeħtieġu privileġġ għerq
 biex tesegwixxi korrett.
 Nibdlu web prokura tal-mezz tkun xi ħaġa li applikazzjoni
 m'għandhomx ikunu jistgħu jagħmlu.
 Iżda jekk l-applikazzjoni jkollha kodiċi fil hemm biex tagħmel dan
 inti taf li huwa probabbilment applikazzjoni malizzjużi
 jew ħafna probabbli li jkun hemm applikazzjoni malizzjużi ħafna,
 u għalhekk dak li jiġri huwa li app jkollhom xi mod ta 'escaleren privileġġ.
 Dan ikollu xi eskalazzjoni privileġġ jisfruttaw
 fl-applikazzjoni, u allura ladarba eskalat privileġġi
 hija ser tagħmel dawn il-modifiki tas-sistema. Tista 'ssib malware li għandha eskalazzjoni privileġġ
 fiha anki mingħajr ma jkunu jafu kif l-eskalazzjoni privileġġ
 jisfruttaw jiġri, u li l-sbieħ, mod faċli
 biex tfittex malware.
 DroidDream kienet probabbilment l-biċċa l-aktar famużi ta 'malware Android.
 Naħseb li affettwa madwar 250,000 utenti matul ftit jiem
 qabel instab.
 Huma ppakkjati mill-ġdid 50 applikazzjoni fittizji,
 tpoġġihom fil-maħżen app Android,
 u essenzjalment hija użat kodiċi jailbreak Android teskala privileġġi
 u mbagħad jinstallaw kmand u kontroll u dawwar l-vittmi
 ġewwa xibka bot, imma int tista 'sabu dan
 jekk inti kienu scanning l-applikazzjoni u tfittex biss għal
 API jitlob li permess għerq meħtieġa biex tesegwixxi korrett.
 

U hemm eżempju hawn I jkollhom li qed tbiddel il-prokura,
 u dan fil-fatt hija disponibbli biss fuq il-Android.
 Tista 'tara jien giving you ħafna eżempji Android
 għaliex din hija fejn l-ekosistema malware aktar attivi huwa
 għaliex dan huwa verament faċli għall-attakkant biex tikseb kodiċi malizzjużi
 fil-Suq Android.
 Huwa mhux daqshekk faċli li tagħmel dan fil-Apple App Aħżen
 għaliex Apple teħtieġ iżviluppaturi biex jidentifikaw lilhom infushom
 u jiffirmaw il-kodiċi.
 Dawn fil-fatt tiċċekkja min int, u Apple huwa attwalment iskrutinju tal-applikazzjonijiet.
 Aħna ma tara ħafna ta 'malware veru fejn il-mezz huwa jkollna kompromessa.
 I se jitkellmu dwar xi eżempji fejn huwa verament privatezza thats jkollna kompromessa,
 u dak hu verament jiġri fuq il-mezz Apple.
 Ħaġa oħra biex tfittex kodiċi malizzjużi, kodiċi riskjużi fil-mezzi
 hija loġika jew ħin bombi, u bombi time huma probabbilment
 ħafna aktar faċli biex tfittex minn bombi loġika.
 Iżda ma bombi ħin, x'tista 'tagħmel huwa inti tista' tfittex għal
 postijiet fil-kodiċi meta l-ħin huwa ttestjat jew ħin assolut huwa fittxew
 qabel ċerta funzjonalità fil-app jiġri.
 U dan jista 'jsir biex jaħbu l-attività mill-utent,
 hekk din se ssir tard bil-lejl.
 DroidDream għamlet attività kollha tagħha 11:00-08:00 ħin lokali
 biex jipprova jagħmel dan waqt li l-utent jista 'ma jużaw apparat tagħhom.
 

Raġuni oħra biex tagħmel dan huwa jekk in-nies qed jużaw analiżi tal-imġiba ta 'applikazzjoni,
 jmexxu l-app fil-sandbox biex tara liema l-imġieba tal-applikazzjoni,
 huma jistgħu jużaw loġika abbażi tal-ħin biex jagħmlu l-attività
 meta l-app ma tkunx fil-sandbox.
 Per eżempju, maħżen app bħal Apple
 tmexxi l-applikazzjoni, iżda dawn probabbilment ma jmorrux kull applikazzjoni għal, ngħidu aħna, 30 jum
 qabel tapprovaha, sabiex inti tista 'tpoġġi
 loġika fl-applikazzjoni tiegħek li qal, okay, biss tagħmel il-ħaġa ħażina
 wara 30 jum marret minn jew wara 30 jum wara d-data jippubblika tal-applikazzjoni,
 u li jistgħu jgħinu l-kodiċi hide malizzjużi minn nies jispezzjona għaliha.
 Jekk il-kumpaniji kontra l-virus qed jitħaddmu affarijiet sandboxes
 jew l-imħażen app nfushom huma dan jista 'jgħin
 jaħbu li minn dik l-ispezzjoni.
 Issa, in-naħa flip ta 'dan huwa huwa faċli li ssib ma l-analiżi statika,
 hekk attwalment jispezzjona l-kodiċi inti tista 'tfittex għall-postijiet kollha
 meta l-applikazzjoni testijiet l-ħin u jispezzjonaw il-mod.
 U hawn I jkollhom xi eżempji fuq dawn it-3 pjattaformi differenti
 kif time jistgħu jiġu kkontrollati mill-maker app
 sabiex inti tkun taf dak li tfittex jekk inti qed jispezzjona l-app statikament.
 

I biss marru permezz mazz sħiħ ta 'attivitajiet malizzjużi differenti
 li aħna stajt tidher fil-selvaġġ, iżda liema huma l-aktar prevalenti?
 Dik l-istess studju minn North Carolina Istat Mobile Proġett Ġenoma
 ippubblikat xi data, u kien hemm bażikament 4 oqsma
 li huma raw fejn kien hemm ħafna attività.
 37% mill-apps ma eskalazzjoni privileġġ,
 sabiex ikunu kellhom xi tip ta 'kodiċi jailbreak fil hemm
 fejn huma ppruvaw teskala privileġġi sabiex ikunu jistgħu
 do jikkmanda API taħdem bħala s-sistema operattiva.
 45% mill-apps hemmhekk għamlet SMS premium,
 b'tali mod li persentaġġ kbir li qed tipprova monetize direttament.
 93% għamlu kontroll remot, sabiex ikunu ppruvaw jistabbilixxu nett bot, xibka bot mobbli.
 U 45% maħsuda informazzjoni li tidentifika
 bħal numri tat-telefon, UUIDs, post GPS, kontijiet utent,
 u dan jammonta għal aktar minn 100 minħabba li ħafna malware tipprova tagħmel ftit ta 'dawn l-affarijiet.
 

Jien ser jaqilbu għat-tieni nofs u jitkellmu dwar il-vulnerabbiltajiet kodiċi.
 Din hija t-tieni nofs ta 'l-attività riskjuża.
 Dan huwa fejn essenzjalment l-iżviluppatur qed tagħmel żbalji.
 A iżviluppatur leġittimu tikteb app leġittimu
 qed tagħmel żbalji jew injorant tar-riskji tal-pjattaforma mobbli.
 Huma biss ma jafux kif jagħmlu app mobbli sigura,
 jew xi kultant l-iżviluppatur ma care dwar it-tqegħid l-utent f'riskju.
 Kultant parti mill-mudell tan-negozju tagħhom jista 'jkun
 ħsad informazzjoni personali tal-utent.
 Dik hija l-tip tal-kategorija l-oħra, u hu għalhekk li xi ftit minn din malizzjużi
 versus jibda leġittimi ta 'fsada matul għaliex hemm differenza ta' opinjonijiet
 bejn dak l-utent irid u dak l-utent tqis riskjużi
 u dak l-iżviluppatur applikazzjoni tqis riskjużi. Of course, mhuwiex data tal-iżviluppatur applikazzjoni fil-maġġoranza tal-każijiet.
 

U mbagħad finalment, mod ieħor dan jiġri huwa żviluppatur jista 'link fil-
 librerija komuni li għandha vulnerabbiltajiet jew din l-imġiba riskjuża fiha
 unbeknownst lilhom.
 L-ewwel kategorija hija tnixxija data sensittiva,
 u dan huwa meta l-app jiġbor informazzjoni
 bħall-lokazzjoni, l-informazzjoni l-indirizz ktieb, sid informazzjoni
 u tibgħatha off-apparat.
 U ladarba huwa off-apparat, ma nafux x'inhu jiġri ma 'dik l-informazzjoni.
 Dan jista 'jinħażen insecurely mill-iżviluppatur applikazzjoni.
 Rajna iżviluppaturi applikazzjoni jiksbu kompromessa,
 u d-data li dawn qed ħażna gets jittieħdu.
 Dan ġara ftit xhur ilu għal żviluppatur fl Florida
 fejn numru kbir ta 'dan kien UUIDs iPad u ismijiet mezz
 kienu nixxew minħabba xi ħadd, naħseb li kien anonima,
 mitluba biex tagħmel dan, kissru fis-servers dan iżviluppatur
 u seraq miljuni ta 'iPad UUIDs
 u ismijiet kompjuter.
 Mhux l-informazzjoni l-aktar riskjużi,
 imma dak jekk dan kien il-ħażna ta 'utent ismijiet u passwords
 u l-indirizzi dar?
 Hemm lottijiet ta 'apps li jaħżnu dan it-tip ta' informazzjoni.
 Ir-riskju huwa hemmhekk.
 

Il-ħaġa oħra li jista 'jiġri hija jekk l-iżviluppatur ma tieħu kura
 biex jiżgura l-kanal tad-data, u li l-vulnerabbiltà ieħor big jien ser jitkellmu dwar,
 li d-data qed tintbagħat fil-ċar.
 Jekk l-utent huwa fuq pubblika netwerk Wi-Fi
 jew xi ħadd qed xamm l-internet x'imkien
 tul il-passaġġ li d-data qed tiġi esposta.
 One każ famużi ħafna ta 'dan tnixxija informazzjoni ġara ma Pandora,
 u din hija xi ħaġa li aħna riċerkati fuq Veracode.
 Aħna sema 'li kien hemm' naħseb li kien Kummissjoni Federali tal-Kummerċ
 investigazzjoni għaddej ma Pandora.
 Aħna qal, "X'qed jiġri hemmhekk? Nibdew jħaffru fil-applikazzjoni Pandora."
 U dak li aħna determinati kien l-applikazzjoni Pandora miġbura
 sess tiegħek u l-età tiegħek,
 u aċċessata wkoll post GPS tiegħek, u l-applikazzjoni Pandora
 għamilt dan għal dak li qal kien raġunijiet leġittimi.
 Il-mużika li kienu playing Pandora hija app-mużika streaming
 l-mużika huma kienu jilagħbu kien liċenzjat biss fl-Istati Uniti,
 sabiex ikunu kellha tivverifika biex jikkonformaw ma 'ftehim ta' liċenzji tagħhom li ma kellhomx
 għall-mużika li l-utent kien fl-Istati Uniti.
 Huma xtaqu wkoll li jikkonformaw mal-konsulenza tal-ġenituri
 madwar lingwa adult fil-mużika,
 u dan huwa programm volontarju, imma riedu biex jikkonformaw ma 'din
 u ma jimxux lirika espliċiti għat-tfal 13 u taħt.
 

Huma kellhom raġunijiet leġittimi għall-ġbir din id-data.
 App tagħhom kellhom l-permessi biex tagħmel dan.
 Utenti ħasbu li dan kien leġittimu. Imma dak li ġara?
 Huma marbuta fi 3 jew 4 libreriji ad differenti.
 Issa kollha f'daqqa dawn libreriji ad
 huma jkollna aċċess għal din l-istess informazzjoni.
 Il-libreriji ad, jekk inti tħares lejn il-kodiċi fil-libreriji ad
 dak li jagħmlu huwa kull ad librerija jgħid
 "Ma app tiegħi ikollu permess sabiex tikseb post GPS?"
 "Oh, dan ma? Okay, tell me l-post GPS."
 Kull ad librerija wieħed ma dan,
 u jekk l-app ma jkollux permess GPS
 mhux se tkun kapaċi tikseb dan, imma jekk dan huwa minnu, se ġġibu.
 Dan huwa fejn il-mudell ta 'negozju tal-libreriji ad
 hija kontra l-privatezza tal-utent.
 U kien hemm studji hemmhekk li se ngħid jekk taf l-età
 ta 'persuna u tafu post tagħhom
 fejn torqod bil-lejl, għax għandek GPS koordinati tagħhom
 waqt li forsi l-irqad, inti taf eżattament min dik il-persuna
 għaliex inti tista 'tiddetermina liema membru ta' dik familja hija dik il-persuna.
 Verament dan qed tidentifika li jirriklama
 eżattament min int, u jidher qisu kien leġittimu.
 I biss trid mużika streaming tiegħi, u dan huwa l-uniku mod biex tiksbu.
 

Well, aħna esposti dan.
 Aħna kiteb dan up f'diversi postijiet blog,
 u rriżulta li xi ħadd mill rivista Rolling Stone
 aqra wieħed mill-postijiet blog tagħna u kiteb blog tagħhom stess Rolling Stone dwar dan,
 u l-għada stess Pandora ħasbu li kienet idea tajba
 biex tneħħi l-libreriji ad mill-applikazzjoni tagħhom.
 Safejn naf li qed l-unika li għandha tkun imfaħħra.
 Jien naħseb li qed l-uniku tip freemium ta 'app li għamel dan.
 L-apps freemium oħra jkollhom l-istess imġieba,
 sabiex inti ħadthom ltqajna biex jaħsbu dwar liema tip ta 'data int tagħti
 dawn l-applikazzjonijiet freemium għaliex dan kollu ser jirreklama.
 Praetorian għamlet ukoll studju dwar libreriji maqsuma u qal,
 "Ejja nħarsu lejn dak kondiviża libreriji huma l-libreriji maqsuma top," u dan kien l-data.
 

Huma analizzati 53,000 apps,
 u n-numru 1 librerija maqsuma kienet AdMob.
 Kien fil-fatt fil-38% tal-applikazzjonijiet hemmhekk,
 sabiex 38% ta 'l-applikazzjonijiet li qed jużaw
 x'aktarx ħsad informazzjoni personali tiegħek
 u tibgħatu lill-netwerks ad. Apache u Android kienu 8% u 6%,
 u allura dawn oħrajn stabbiliti fil-qiegħ, Reklami Google, Flurry,
 Mob Belt u Millennial Media,
 dawn huma kollha kumpaniji ad, u mbagħad, interessanti biżżejjed,
 4% marbut fil-librerija Facebook
 probabbilment jagħmlu awtentikazzjoni permezz Facebook
 sabiex l-app jista jawtentikaw it Facebook.
 Iżda dan ifisser ukoll l-korporazzjoni Facebook kontrolli kodiċi
 thats taħdem fl-4% tal-apps mobbli Android hemmhekk,
 u jkollhom aċċess għad-data kollha li dan app għandu l-permess li jiksbu fil.
 Facebook essenzjalment tipprova li jbiegħu spazju ta 'pubbliċità.
 C'est mudell tan-negozju tagħhom.
 

Jekk inti tħares lejn din l-ekosistema sħiħa ma 'dawn il-permessi
 u libreriji maqsuma tibda biex tara li
 ikollok ħafna ta 'riskju f'applikazzjoni allegatament leġittimu.
 L-istess ħaġa simili li ġara ma Pandora
 ġara ma 'applikazzjoni msejħa Path,
 u Path ħasbu li kienu qed utli, żviluppaturi ambjent.
 Huma kienu biss tipprova li jagħtuk esperjenza utent kbira,
 u rriżulta li mingħajr ma jkun l-utent jew javżak l-utent 'xejn
 u dan ġara fuq l-iPhone u fuq Android,
 l-app Pandora kienet fuq iPhone u Android-
 li l-applikazzjoni Path kienet ħtif ktieb tiegħek indirizz kollu
 u uploading lill Path biss meta inti installati u dam l-applikazzjoni,
 u huma ma jgħidlek dwar dan.
 Huma ħasbu li kien verament utli għalik
 biex ikunu jistgħu jaqsmu ma 'l-poplu fil-ktieb l-indirizz tiegħek
 li inti qed tuża l-applikazzjoni Path.
 

Well, ovvjament Path ħasbu li dan kien kbir għall-kumpanija tagħhom.
 Mhux hekk kbira lill-utent.
 Inti taħseb li huwa ħaġa waħda jekk forsi teenager
 qed tuża din l-applikazzjoni u għexieren ta 'ħbieb tagħhom huma fil hemm,
 imma dak jekk huwa l-CEO ta 'kumpanija li jinstalla Path
 u mbagħad kollha f'daqqa indirizz ktieb kollu tagħhom huwa up hemm?
 Int ser tikseb lott ta 'informazzjoni ta' kuntatt potenzjalment siewja
 għal ħafna nies.
 A reporter mill-New York Times, inti tista 'tkun kapaċi tikseb l-numru tat-telefon
 għall-ex presidenti mill-ktieb l-indirizz tagħhom,
 dan ovvjament ħafna ta 'informazzjoni sensittiva gets trasferiti ma' xi ħaġa bħal din.
 Kien hemm tali flap big dwar dan li Path apoloġija.
 Huma bidlu app tagħhom, u anki impatt Apple.
 Apple qal, "Aħna qed tmur għall-seħħ bejjiegħa app għall-utenti fil-pront
 jekk dawn qed tmur biex jiġbru indirizz ktieb kollu tagħhom. "
 

Jidher qisu dak li qed jiġri hawnhekk huwa
 meta jkun hemm vjolazzjoni waħda privatezza kbir u jagħmel l-istampa
 naraw bidla hemmhekk.
 Iżda naturalment, hemm affarijiet oħra hemmhekk.
 L-applikazzjoni LinkedIn ħsad daħliet kalendarja tiegħek,
 iżda Apple ma jagħmlu l-utent tkun imħeġġa dwar dan.
 Daħliet kalendarja jista 'jkollhom informazzjoni sensittiva wisq minnhom.
 Fejn int ser ifasslu l-linja?
 Dan huwa verament tip ta 'post li qed jevolvi
 fejn hemm verament ebda standard tajba hemmhekk
 għall-utenti biex jifhmu meta informazzjoni tagħhom se tkun f'riskju
 u meta dawn qed tmur biex tkun taf huwa qed tittieħed.
 Aħna kiteb app fuq Veracode imsejħa Adios,
 u essenzjalment li inti permess għall-punt l-app fil-direttorju iTunes tiegħek
 u tħares lejn l-applikazzjonijiet kollha li ġew jaħsdu ktieb tiegħek indirizz sħiħ.
 U kif tista 'tara fuq din il-lista hawn, Għasafar Angry,
 AIM, AroundMe.
 Għaliex ma Għasafar Angry bżonn ktieb l-indirizz tiegħek?
 I do not know, iżda ma b'xi.
 

Din hija xi ħaġa li ħafna, ħafna applikazzjonijiet do.
 Inti tista 'tispezzjona l-kodiċi għal dan.
 Hemm APIs definiti sew għall-iPhone, Android u tut
 li jiksbu fil-ktieb indirizz.
 Inti tista 'verament faċilment jispezzjonaw għal dan, u dan huwa dak li għamilna fl-applikazzjoni Adios tagħna.
 Il-kategorija li jmiss, mhux sigur Sensitive Ħażna tad-Data,
 hija xi ħaġa fejn l-iżviluppaturi tieħu xi ħaġa bħal pinnijiet jew numru ta 'kont
 jew password u jaħżnu fil-ċar fuq il-mezz.
 Saħansitra agħar, dawn jistgħu jaħżnu f'żona fuq il-phone
 li hija globalment aċċessibbli, bħall-karta SD.
 Inti tara dan aktar spiss fuq Android għaliex Android tippermetti għal karta SD.
 Mezzi IPhone ma.
 Iżda aħna anke raw dan jiġri f'applikazzjoni Citigroup.
 Applikazzjoni bankarji tagħhom onlajn tinħażen-numri tal-kont insecurely,
 biss fil-ċar, hekk jekk int mitluf tiegħek mezz,
 essenzjalment int mitluf-kont bankarju tiegħek.
 Dan huwa għaliex I personalment ma tagħmel bankarju fuq iPhone tiegħi.
 Naħseb li huwa riskjużi wisq issa dritt li jagħmlu dawn it-tipi ta 'attivitajiet.
 

Skype għamlet l-istess ħaġa.
 Skype, naturalment, għandu bilanċ tal-kont, user name u password
 li l-aċċess dak il-bilanċ.
 Huma kienu ħażna kollha li l-informazzjoni fil-ċar fuq l-apparat mobbli.
 Għandi xi eżempji hawn 'ħolqien ta' fajls
 li ma jkollhom l-permessi dritt jew tikteb diska
 u ma jkollhom ebda encryption jiġri għal dak.
 Dan il-qasam li jmiss, mhux sigur Trażmissjoni data sensittiva,
 Stajt allużjoni għal dan għal xi ftit drabi, u minħabba pubbliku Wi-Fi
 din hija xi ħaġa li apps assolutament jeħtieġu li tagħmel,
 u dan huwa probabbilment dak li naraw tmur ħażin l-aktar. Jien ngħid-fatt, I think I jkollhom l-informazzjoni attwali,
 iżda huwa kważi nofs l-applikazzjonijiet mobbli
 screw up tagħmel SSL.
 Huma biss ma jużawx il-APIs korrett.
 I mean, kollha inti ħadthom ltqajna tagħmel hu li ssegwi l-istruzzjonijiet u jużaw l-APIs,
 iżda dawn affarijiet simili ma tikkontrolla jekk hemmx ċertifikat invalidu fl-aħħar oħra,
 ma jiċċekkjaw jekk il-tarf l-ieħor qed tipprova tagħmel attakk protokoll jiddegrada.
 

L-iżviluppaturi, li jkunu jridu jiksbu Checkbox tagħhom, id-dritt?
 Ħtieġa tagħhom hi li nużaw dan li jbiegħu. Huma ħadthom użat dan biex ibiegħu.
 Ir-rekwiżit mhuwiex li jużaw dan biex ibiegħu fiż-żgur,
 u għalhekk dan huwa għaliex l-applikazzjonijiet kollha li jużaw SSL biex tiżgura data
 kif huwa li jiġi trażmess barra mill-mezz verament bżonn li jiġu spezzjonati
 biex tiżgura li ġiet implimentata b'mod korrett.
 U hawn għandi xi eżempji fejn tista 'tara l-applikazzjoni
 jista 'jkun bl-użu HTTP minflok HTTPS.
 F'xi każijiet apps se jaqgħu lura għal HTTP
 jekk l-HTTPS ma tkunx qed taħdem.
 I jkollhom sejħa oħra hawn fuq Android fejn dawn stajt b'diżabilità il-verifika taċ-ċertifikat,
 hekk attakk bniedem in-the-nofs jista 'jiġri.
 Ċertifikat invalidu se jiġu aċċettati.
 Dawn huma l-każijiet kollha fejn attakkanti ser tkun kapaċi tikseb fuq
 l-istess Wi-Fi konnessjoni kif l-utent u l-aċċess l-informazzjoni kollha
 li l-jiġu mibgħuta fuq l-internet.
 

U finalment, l-aħħar kategorija għandi hawnhekk huwa password hardcoded u keys.
 Aħna fil-fatt tara ħafna ta 'żviluppaturi jużaw l-istess stil kodifikazzjoni
 li huma għamlu meta kienu bini ta 'applikazzjonijiet web server,
 hekk dawn qed tinbena server applikazzjoni Java, u dawn qed hardcoding-ċavetta.
 Ukoll, meta int bini ta 'applikazzjoni server, yeah,
 hardcoding-ċavetta ma tkunx idea tajba.
 Dan jagħmilha diffiċli għall-bidla.
 Imma mhux daqshekk ħżiena fuq in-naħa server minħabba li jkollu aċċess għall-ġenb server?
 Biss l-amministraturi.
 Imma jekk inti tieħu l-istess kodiċi u inti jitferra jikkonsenjaha lill mobbli applikazzjoni
 issa kulħadd li għandu dak mobbli applikazzjoni għandha aċċess għal dak ewlieni hardcoded,
 u għandna attwalment tara dan ħafna drabi, u għandi xi statistiċi
 dwar kif spiss naraw dan iseħħ.
 Hija fil-fatt kien fl-eżempju kodiċi li MasterCard ippubblikat
 dwar kif jużaw is-servizz tagħhom.
 Il-kodiċi eżempju wera kif inti ħu l-password
 u poġġih fil string hardcoded hemm dritt,
 u nafu kif iżviluppaturi imħabba li kopja u paste kodiċi informattivi
 meta jkunu qed tipprova tagħmel xi ħaġa, sabiex inti kopja u paste tal-kodiċi snippet
 li huma taw bħala eżempju kodiċi, u inti għandek applikazzjoni prekarju.
 

U hawn aħna għandna xi eżempji.
 Dan l-ewwel wieħed huwa wieħed naraw ħafna fejn hardcode
 id-dritt data fis-URL li gets mibgħuta.
 Kultant naraw password string = il-password.
 Li pjuttost faċli li jiġu skoperti, jew password string fuq tut u Android.
 Huwa attwalment pjuttost faċli biex jikkontrolla minħabba li kważi dejjem
 l-ismijiet iżviluppatur il-varjabbli li s jkollu l-password
 xi varjazzjoni ta 'password.
 Semmejt li nagħmlu analiżi statika fuq Veracode,
 hekk aħna stajt analizzati diversi mijiet Android u IOS applikazzjonijiet.
 Imxejna mibnija mudelli sħiħ minnhom, u aħna qed kapaċi jiġu skennjati lilhom
 għal vulnerabilitajiet differenti, speċjalment il-vulnerabilitajiet I kien jitkellem dwar,
 u I għandhom xi data hawn.
 68.5% ta 'l-apps Android ħarisna lejn
 kienu maqsuma kodiċi kriptografika,
 li għalina, aħna ma jistgħux jikxfu jekk inti ssir rutina tiegħek kripto stess,
 mhux li dan idea tajba, iżda dan huwa attwalment tuża l-APIs ippubblikati
 li huma fuq il-pjattaforma iżda jagħmlu lilhom b'tali mod
 li l-kripto tkun vulnerabbli, 68.5.
 U dan huwa għal nies li huma tibgħatilna l-applikazzjonijiet tagħhom fil-fatt minħabba
 jaħsbu li hija idea tajba li tagħmel ittestjar tas-sigurtà.
 Dawn huma diġà nies li huma probabbilment jaħsbu fiż-żgur,
 dan huwa probabbilment saħansitra agħar.
 

I ma jitkellmu dwar il-kontroll injezzjoni feed line.
 Hija xi ħaġa li aħna jiċċekkja għal, iżda dan m'huwiex riskjużi kwistjoni.
 Tnixxija informazzjoni, dan huwa fejn dejta sensittiva qed tintbagħat off-apparat.
 Sibna li f'40% tal-applikazzjonijiet.
 Time u l-istat, dawk huma razza kwistjonijiet tat-tip kundizzjoni, tipikament pjuttost diffiċli biex jisfruttaw,
 so I ma jitkellmu dwar dan, imma aħna ħares lejn dan.
 23% kellhom kwistjonijiet injezzjoni SQL.
 Ħafna nies ma jafux li ħafna ta 'applikazzjonijiet
 jużaw database żgħir SQL ftit fuq aħħar lura tagħhom jaħżnu data.
 Ukoll, jekk id-data li int ħtif fuq in-netwerk
 kordi attakk injezzjoni SQL fiha
 xi ħadd jista 'jikkomprometti l-apparat permezz ta' dan,
 u hekk naħseb insibu madwar 40% ta 'applikazzjonijiet web jkollhom din il-problema,
 li hija problema epidemija kbira.
 Aħna jsibuha 23% tal-ħin fl apps mobbli
 u li probabbilment minħabba li ħafna aktar applikazzjonijiet web tuża SQL minn mobbli.
 

U allura aħna xorta tara xi cross-site scripting, kwistjonijiet ta 'awtorizzazzjoni,
 u mbagħad ġestjoni Credential, li fejn għandek password hardcoded tiegħek.
 Fil-5% tal-applikazzjonijiet naraw li.
 U allura aħna għandna xi dejta dwar IOS.
 81% kellhom kwistjonijiet tqandil żball. Dan huwa aktar ta 'problema kodiċi kwalità,
 iżda 67% kellhom kwistjonijiet kriptografiċi, u għalhekk mhux daqshekk ħażin daqs Android.
 Forsi l-APIs huma ftit aktar faċli, l-eżempju kodiċijiet ftit aħjar fuq IOS.
 Iżda xorta perċentwali għolja ħafna.
 Kellna 54% bil tnixxija informazzjoni,
 madwar 30% bi żbalji ta 'ġestjoni buffer.
 Li postijiet fejn jista 'potenzjalment ikun hemm kwistjoni korruzzjoni memorja.
 Jirriżulta li li mhux bħala ħafna ta 'problema għall-isfruttament
 fuq IOS minħabba l-kodiċi għandu jiġi ffirmat,
 hekk huwa diffiċli għall-attakkant biex tesegwixxi kodiċi arbitrarju fuq IOS.
 Kwalità Kodiċi, traversal direttorju, iżda mbagħad kredenzjali ġestjoni hawn fuq 14.6%,
 hekk agħar milli fuq il-Android.
 Għandna nies ma jġorrux passwords korrett.
 U allura l-iżbalji numeriċi u overflow buffer,
 dawk huma aktar ser ikunu kwistjonijiet kodiċi kwalità fuq IOS.
 

Li ma kien għall-preżentazzjoni tiegħi. I do not know jekk aħna qed barra ta 'żmien jew le.
 I do not know jekk hemm xi mistoqsijiet.
 [Male] A kwistjoni malajr madwar frammentazzjoni u s-suq Android.
 Apple inqas tippossjedi patching.
 Huma jagħmlu xogħol tajjeb ta 'jkollna hemmhekk billi inqas minn hekk fl-ispazju Android.
 Inti kważi bżonn biex jailbreak telefon tiegħek li jibqgħu attwali
 mar-rilaxx attwali ta 'Android.
 Yeah, dan huwa problema kbira u hekk jekk taħseb dwar-
 [Male] Għaliex ma tistax tirrepeti dan?
 

Oh, id-dritt, sabiex il-kwistjoni kien dak dwar frammentazzjoni
 tas-sistema operattiva fuq il-pjattaforma Android?
 Kif ma li jaffettwaw il-riskiness ta 'dak l-apparat?
 U fil-fatt huwa problema kbira għaliex dak li jiġri huwa
 l-apparat anzjani, meta xi ħadd jidħol bi jailbreak għal dak l-apparat,
 essenzjalment li l-eskalazzjoni privileġġ, u sakemm dik is-sistema operattiva tkun aġġornata
 kwalunkwe malware jistgħu mbagħad jużaw dak vulnerabbiltà li tikkomprometti totalment l-apparat,
 u dak li aħna qed tara fuq il-Android huwa sabiex tikseb sistema operattiva ġdida
 Google trid tqiegħed l-sistema operattiva, u allura l-manifattur hardware
 għandu customize, u mbagħad it-trasportatur irid customize u jipprovduh.
 Inti għandek bażikament 3 partijiet li jiċċaqalqu hawn,
 u huwa jiggradwaw li t-trasportaturi ma 'kura,
 u l-manifatturi tal-hardware ma 'kura, u Google mhix prodding minnhom biżżejjed
 li tagħmel xejn, hekk essenzjalment minn nofs tal-mezzi hemmhekk
 għandhom sistemi operattivi li għandhom dawn il-vulnerabilitajiet eskalazzjoni privileġġ fihom,
 u hekk jekk ikollok malware fuq mezz Android tiegħek huwa ħafna aktar ta 'problema.
 

Okay, nirringrazzjak ħafna.
 [Applause]
 [CS50.TV]