[Seminar] [Apărarea spatele dispozitivului: Mobile Application Security]
 [Chris Wysopal] [Universitatea Harvard]
 [Acest lucru este CS50.] [CS50.TV]
 

Bună ziua. Numele meu este Chris Wysopal.
 Sunt CTO și co-fondator al Veracode.
 Veracode este o companie de securitate aplicație.
 Am testat toate tipurile de diferite aplicații,
 și ceea ce am de gând să vorbesc despre ziua de azi este de securitate a aplicațiilor mobile.
 Fundal mea este am făcut cercetare în domeniul securității
 pentru un timp foarte lung, probabil la fel de mult ca oricine.
 Am început la mijlocul anilor '90,
 și a fost un timp în care a fost destul de interesant, deoarece
 am avut o schimbare de paradigmă la mijlocul anilor '90.
 Toate calculator o toată lumea brusc a fost conectat la internet,
 și apoi am avut începuturile aplicatii web,
 și asta e ceea ce m-am axat pe un lot atunci.
 Este interesant.
 Acum avem o altă schimbare de paradigmă se întâmplă cu calcul,
 care este trecerea la aplicații mobile.
 

Simt că e un fel de timp asemănător, atunci a fost la sfârșitul anilor '90
 atunci când am fost de investigare aplicații web și de a găsi defecte, cum ar fi
 erori de gestionare a sesiune si SQL injection
 care de fapt nu a existat înainte, și toate dintr-o dată au fost peste tot
 în aplicații web, și acum o mulțime de timp, mi-am petrecut
 se uita la aplicații mobile și se uită la ce se întâmplă acolo, în sălbăticie.
 Aplicații mobile sunt într-adevăr va fi platforma de calcul dominant,
 așa că avem cu adevărat nevoie să-și petreacă o mulțime de timp, dacă sunteți în industria de securitate
 concentrându-se pe aplicatii web.
 Au fost 29 miliarde de aplicații mobile descărcate în 2011.
 Este prezis să fie 76 de miliarde de aplicații până în 2014.
 Există 686 milioane dispozitive, care urmează a fi achiziționate în acest an,
 astfel încât acest lucru este în cazul în care oamenii sunt de gând să faci
  cea mai mare parte a lor de calcul client merge înainte.
 

Am fost să vorbesc cu un vice-presedinte la Fidelity Investments
 în urmă cu câteva luni, și a spus că au văzut doar mai mult trafic
 face tranzacțiile financiare de la baza lor de clienti
 cu privire la cererea lor mobil decât pe site-ul lor,
 astfel o utilizare comună pentru Web în trecut a fost
 verificarea cotații dvs. bursiere, gestionarea portofoliului,
 și suntem de fapt, văzând că în 2012 trecerea de
 să fie dominat pe platforma mobilă.
 Desigur, în cazul în care nu va fi nici o activitate infracțională,
 orice activitate de malware, se va începe să se concentreze pe platforma de mobil
 în timp, oamenii trece peste asta.
 Dacă te uiți la platforma de mobil,
 să se uite la riscurile platformei este util să-l rupe în jos, în diferite straturi,
 la fel ca tine ar face pe un computer desktop,
 și te gândești la diferite straturi, software-ul, sistemul de operare,
 strat de rețea, strat de hardware, și, bineînțeles, există vulnerabilități pe toate acele straturi.
 

Același lucru se întâmplă pe telefonul mobil.
 Dar mobil, se pare că unele dintre aceste straturi sunt mai rău.
 Pentru unul, stratul de rețea este mai problematică pe mobil
 pentru că o mulțime de oameni au în birou sau acasă
 fir de conexiuni sau au sigure conexiuni Wi-Fi,
 și cu o mulțime de dispozitive mobile esti, evident, în afara casei
 sau în afara biroului foarte mult, și dacă utilizați Wi-Fi acolo
 s-ar putea să fie folosind o conexiune nesigure Wi-Fi,
 ceva care este o conexiune Wi-Fi public,
 așa că atunci când ne gândim despre aplicații mobile trebuie să ia în considerare
 că mediul de rețea este mai riscant pentru acele aplicații
 atunci când este utilizat Wi-Fi.
 Și când voi ajunge în mai multe din riscurile de aplicații mobile
 veți vedea de ce e mai important.
 Există riscuri la nivel de hardware-ul de pe dispozitive mobile.
 Acesta este un domeniu de cercetare in curs de desfasurare.
 Oamenii numesc aceste atacuri de bandă largă sau atacuri de banda de
 în cazul în care te ataca firmware-ul care asculta la radio.
 

Acestea sunt cu adevărat atacuri înfricoșătoare deoarece
 utilizatorul nu trebuie să facă nimic.
 Puteți lovi o mulțime de dispozitive în raza de RF
 la o dată, și se pare ca ori de câte ori aceasta cercetare bule sus
 ea repede se clasifică în care
 oameni năpusti în jur și spune, "Aici, spune-ne despre asta, și vă rugăm să nu mai vorbim despre asta."
 Există unele de cercetare se întâmplă în zona de bandă largă,
 dar se pare a fi foarte hush hush.
 Cred că e mai mult de un tip de stat națiune de cercetare care se întâmplă.
 Un domeniu de cercetare activ, deși, este stratul de sistem de operare,
 și, din nou, acest lucru este diferit decât în ​​lumea de calcul desktop
 pentru că în spațiul mobil aveți aceste echipe de oameni numit Jailbreakers,
 și Jailbreakers sunt diferite de cercetatori de vulnerabilitate regulate.
 Ei încearcă să găsească vulnerabilități în sistemul de operare,
 dar motivul pentru care ei încearcă să găsească vulnerabilitățile nu este acela de a
 pătrundă în mașină altcuiva și compromis o.
 Este pentru a rupe în computerul lor.
 

Ei doresc să pătrundă în propria lor mobile, modifica sistemul de operare lor mobil
 astfel încât să poată rula aplicațiile de alegerea lor
 și de a schimba lucrurile, cu permisiuni administrative complete,
 și ei nu doresc să-i spuneți vânzătorului cu privire la acest lucru. Ei nu sunt ca un cercetator de securitate, care este un cercetator de securitate pălărie albă
 care este de gând să facă dezvăluirea responsabil și spune vânzătorul despre asta.
 Ei doresc să facă acest lucru de cercetare, și ei doresc să-l publice în realitate
 într-o exploata sau un rootkit sau un cod de jailbreak,
 și doresc să o fac strategic, ca imediat după
 navele furnizor noul sistem de operare.
 Ai această relație contradictorie
 cu vulnerabilități la nivel de sistem de operare de pe telefonul mobil,
 care cred că este destul de interesant, și un loc o vedem
 este o face, astfel încât nu există cod de bună publicat exploata acolo
 de vulnerabilități la nivel de kernel,
 și ne-am văzut pe cei de fapt să fie utilizate de către autorii de malware.
 Este un pic diferit de lumea PC.
 Și apoi stratul final este stratul superior, stratul de aplicație.
 Asta e ceea ce am de gând să vorbesc despre ziua de azi.
 

Existe Celelalte straturi, iar celelalte straturi joace în ea,
 dar eu sunt cea mai mare parte de gând să vorbesc despre ceea ce se întâmplă la stratul de cerere
 în cazul în care codul se execută în cutia cu nisip.
 Ea nu are privilegii administrative.
 Ea trebuie să utilizeze API-uri ale dispozitivului,
 dar totuși, o mulțime de activități rău intenționat și o mulțime de risc se poate întâmpla la acest strat
 pentru că stratul în care toate informațiile sunt.
 Apps pot accesa toate informațiile de pe dispozitiv
 dacă au permisiunile potrivite,
 și pot accesa diferite senzorii de pe dispozitiv,
 Senzor GPS, microfon, camera foto, ceea ce ai.
 Chiar dacă vorbim doar despre la stratul de cerere
 avem o mulțime de risc acolo.
 Un alt lucru care este diferit despre mediul mobil
 este toți jucătorii sistemului de operare, fie că este vorba BlackBerry sau Android
 sau iOS sau Windows Mobile, toate au un model fin permisiune granulat,
 iar acesta este unul dintre modurile în care le-au construit în sistemul de operare
 ideea că nu este la fel de riscant ca crezi.
 Chiar dacă ai toate contactele pe acolo, toate informațiile dumneavoastră personale,
 aveți fotografii, aveți locația pe acolo,
 te stocarea PIN-ul bancar de autentificare auto pe acolo, e sigur că
 aplicații trebuie să aibă anumite permisiuni pentru a ajunge la anumite părți
 informațiilor de pe dispozitiv, iar utilizatorul trebuie să fie prezentate cu
 aceste permisiuni și spune bine.
 

Problema cu acesta este utilizatorul întotdeauna spune bine.
 Ca o persoană de securitate, știu că pot cere utilizatorului,
 spune ceva foarte rău se va întâmpla, nu vrei să se întâmple?
 Și dacă acestea sunt într-o grabă sau nu e ceva foarte ispititor pe de altă parte de faptul că,
 ca un joc va fi instalat pe care le-am fost de așteptare pentru,
 au de gând să faceți clic pe ok.
 De aceea am spus pe diapozitiv mea aici doar ca să-mi arunca păsări la porci deja,
 și puteți vedea pe slide aici există exemple de o cutie BlackBerry permisiune.
 Acesta spune: "Vă rugăm să setați permisiunile de aplicații BlackBerry de călătorie
 după clic pe butonul de mai jos ", și, practic, utilizatorul este doar de gând să spun
 setați permisiunile și de a salva.
 Iată un prompt de Android în cazul în care arată lucrurile,
 și-l pune de fapt, ceva care arata aproape ca un avertisment.
 Are un fel de semn de randament se spune de rețea de comunicare, telefon,
 dar utilizatorul este de gând să faceți clic pe instala, corect?
 Și apoi cel Apple este complet inofensiv.
 Nu oferă nici un fel de avertisment.
 E doar Apple ar dori să utilizeze locația curentă.
 Desigur, ai de gând să faceți clic pe ok.
 

Nu este acest model de permisiune cu granulatie fina,
 și aplicații trebuie să aibă un fișier manifest în care se declară
 permisiunile de care au nevoie, și care vor fi afișat pentru utilizator,
 iar utilizatorul va trebui să spun că am acorde aceste permisiuni.
 Dar hai sa fim sinceri.
 Utilizatorii sunt doar de gând să spun mereu bine.
 Să aruncăm o privire rapidă la permisiunile pe care aceste aplicații sunt cer
 și unele dintre permisiunile care sunt acolo.
 Aceasta companie Pretorian a făcut un sondaj de anul trecut
 de 53.000 de aplicații analizate în piețele Android Market și 3rd party,
 deci acest lucru este tot Android.
 Și aplicația mediu solicitat de 3 permisiuni.
 Unele aplicații solicitat 117 de permisiuni,
 deci, evident, acestea sunt foarte fină și mult prea complex pentru un utilizator de a înțelege
 în cazul în care acestea sunt prezentate cu această aplicație care are nevoie de aceste 117 de permisiuni.
 E ca final acordul de licență pentru utilizatorul care este de 45 de pagini.
 Poate că în curând vor avea o opțiune în cazul în care e ca si cum
 imprima permisiunile și trimite-mi un e-mail.
 

Dar, dacă te uiți la unele dintre permisiunile de top interesante
 24% din aplicațiile pe care le descărcate din 53000
 informații GPS solicitate de aparat.
 8% citit de contact.
 4% trimis SMS-uri, iar 3% au primit SMS.
 2% înregistrată audio.
 1% prelucrate apelurile efectuate.
 Nu știu.
 Nu cred că 4% din aplicațiile din App Store într-adevăr nevoie pentru a trimite mesaje text SMS,
 deci cred că e un indiciu ca ceva nedorit se intampla.
 8% dintre aplicații au nevoie pentru a citi lista de contacte. Probabil nu este necesar.
 Unul dintre alte lucruri interesante despre permisiuni este
 dacă vă legați în biblioteci partajate în aplicația dumneavoastră
 cei care moștenesc permisiunile de la aplicare,
 așa că, dacă aplicația are nevoie de lista de contacte sau are nevoie de localizare GPS pentru a funcționa
 și vă link-ul într-o bibliotecă de publicitate, de exemplu,
 că biblioteca anunț va fi, de asemenea, posibilitatea de a accesa contactele
 și, de asemenea, să poată accesa locația GPS,
 și dezvoltatorul aplicației nu știe nimic despre codul care se execută în biblioteca de anunțuri.
 Ei doar conectarea că în deoarece doresc să valorificați app lor.
 

Acest lucru este în cazul în care-și voi vorbi despre câteva exemple de acest lucru cu
 o aplicație numită Pandora, unde un dezvoltator de aplicații
 ar putea fi involuntar scurgeri de informații
 de la utilizatorii lor din cauza bibliotecilor care le-au legate de inch
 Topografie peisajul de acolo, se uită la toate diferite aplicații
 care au fost raportate în știri ca ceva ce utilizatorii de malware sau de a face nu a vrut
 și apoi inspectarea o mulțime de aplicații, facem o mulțime de analize binare statice pe aplicații mobile,
 așa că le-am inspectat și sa uitat la codul de sine-
 am venit cu ceea ce noi numim top 10 lista noastră de comportamente riscante în aplicații.
 Și este împărțit în două secțiuni, cod malitios,
 astfel încât acestea sunt lucruri rele care aplicațiile ar putea face ca
 sunt susceptibile de a fi ceva care o persoană rău intenționat
 a pus în mod specific în cererea, dar este un pic neclare.
 Ar putea fi ceva care un dezvoltator crede că este bine,
 dar se termină prin a fi gandit ca malware de către utilizator.
 

Și apoi de-a doua secțiune este ceea ce noi numim de codificare vulnerabilități,
 și acestea sunt lucruri în care dezvoltatorul, practic, este de a face greșeli
 sau pur și simplu nu înțeleg cum să scrie aplicația în siguranță,
  și că a pune utilizatorul app la risc.
 Am de gând să treacă prin acestea în detaliu și să dea câteva exemple.
 Pentru referință, am vrut sa pus OWASP lista mobile top 10.
 Acestea sunt cele 10 probleme pe care un grup de la OWASP,
 Proiectul Open WEB aplicații de securitate, ele au un grup de lucru
 lucrează la o listă de mobil top 10.
 Ei au un foarte celebru listă de web top 10, care sunt în top 10
 mai riscante lucruri pe care le poate avea într-o aplicație web.
 Ei fac acelasi lucru pentru mobil,
 și lista lor este un pic diferit de al nostru.
 6 din 10 sunt aceleași.
 Ei au 4, care sunt diferite.
 Cred că ei au un pic de un alt ia pe
 risc în aplicații mobile în cazul în care o mulțime de problemele lor
 sunt într-adevăr modul în care cererea se comunica la un server back-end
 sau ce se întâmplă pe serverul back-end,
 nu atât de mult aplicații care au un comportament riscant, care sunt aplicații client doar simple.
 

Cele din roșie de aici sunt diferentele dintre cele 2 liste.
 Și o parte din echipa mea de cercetare a contribuit de fapt la acest proiect,
 așa că vom vedea ce se va intampla in timp, dar cred că aici este Takeaway
 nu știm cu adevărat ce top 10 este în aplicații mobile, deoarece
 le-am fost de fapt doar în jurul valorii de 2 sau 3 ani,
 și nu a fost suficient timp pentru cercetare într-adevăr sistemele de operare
 și de ce sunt capabili de, și nu a existat suficient timp
 pentru comunitatea de malware, dacă vreți, a petrecut suficient timp
 încercarea de a ataca utilizatorii prin aplicații mobile, asa ca ma astept aceste liste pentru a schimba un pic.
 Dar pentru moment, acestea sunt primele 10 lucruri să vă faceți griji.
 S-ar putea întreba pe partea de telefonie mobilă în care face codul de-mobil malware
 cum se ajunge pe la aparat?
 Carolina de Nord de stat are un proiect numit Proiectul genomului Mobile Malware
 în cazul în care acestea sunt la fel de mult de colectare malware-ului mobil, deoarece acestea pot și analiza-l,
 și le-am defalcate vectorii de injectare care utilizează malware mobil,
 și 86% folosesc o tehnica numita de reambalare,
 și acesta este doar pe platforma Android
 se poate face într-adevăr acest lucru reambalare.
 

Motivul este codul Android este construit cu
 un cod de octet Java numit Dalvik, care este ușor de decompilable.
 Ce tipul cel rău se poate face este
 lua o aplicație Android, ea decompila,
 introduceți codul lor malitios, ea recompila,
 și apoi pune-l în App Store care se prezintă ca o nouă versiune a acestei cereri,
 sau pur și simplu poate schimba numele aplicației.
 Dacă ar fi fost un fel de joc, schimba numele ușor,
 și așa mai departe acest lucru este modul în care reambalarea 86% din malware-ului mobil devine distribuite.
 Există o altă actualizare tehnica numita, care este
 foarte similar cu reambalare, dar tu de fapt nu pune codul malitios inch
 Ceea ce face este să vă pune într-un mecanism de actualizare mic.
 Ai separe, ai pus într-un mecanism de actualizare, și tu-l recompilați,
 și apoi când aplicația se execută o trage în jos malware pe dispozitiv.
 

De departe cea mai mare parte sunt cele 2 tehnici.
 Nu este de descărcare într-adevăr mult drive-bys sau drive-by downloads de pe telefoane mobile,
 care ar putea fi ca un atac de tip phishing.
 Hei, a verifica afară acest site foarte cool,
 sau aveți nevoie pentru a merge la acest site și completați acest formular
 să păstreze în continuare a face ceva. Cei care sunt atacuri de tip phishing.
 Același lucru se poate întâmpla pe platforma de mobil în cazul în care
 indică o aplicație de telefonie mobilă pentru a descărca, spune "Bună, acesta este Bank of America."
 "Noi vedem utilizați această aplicație."
 "Ar trebui să descărcați această altă aplicație."
 Teoretic, ar putea funcționa.
 Poate că pur și simplu nu este folosit suficient pentru a determina dacă acesta este de succes sau nu,
 dar aceștia au constatat că mai puțin de 1% din momentul în care tehnica este utilizată.
 Cea mai mare parte a timpului este într-adevăr un cod reambalat.
 

Mai este o categorie numită standalone
 în cazul în care cineva construiește doar o aplicație nou-nouț.
 Ei construiesc o aplicație care pretinde a fi ceva.
 Nu este o reambalare de altceva, și care are codul malitios.
 Care este folosit de 14% din timp.
 Acum vreau să vorbesc despre ceea ce este codul malitios faci?
 Unul dintre primele malware acolo
 ați putea lua în considerare un spyware.
 Este practic spioni pe ghidul.
 Se colectează e-mailuri, mesaje SMS.
 Se pare la microfon.
 Se recoltează carte de contact, și îl trimite pe altcineva.
 Acest tip de spyware exista pe PC-ul,
 deci are sens perfect pentru oameni de a încerca să facă acest lucru pe dispozitive mobile.
 

Unul dintre primele exemple de acesta a fost un program numit Secret SMS Replicator.
 Acesta a fost în Android Marketplace o pereche de ani în urmă,
 iar ideea a fost dacă ați avut acces la telefon Android cuiva
 pe care ai vrut să spioneze, deci poate e soțul tău
 sau alte dvs. semnificative și pe care doriți să spioneze pe mesaje de text,
 ai putea descărca această aplicație și instalați-l și configura
 pentru a trimite un mesaj text SMS pentru a vă cu o copie
 de fiecare mesaj text SMS au primit.
 Acest lucru este în mod evident în încălcări ale App Store termenii de serviciu,
 și aceasta a fost scos din Android Marketplace în termen de 18 de ore de a fi acolo,
 astfel încât un număr foarte mic de oameni au fost la risc din cauza asta.
 Acum, cred că în cazul în care programul a fost numit ceva, poate un pic mai puțin provocatoare
 cum ar fi Secret SMS Replicator probabil că ar fi lucrat mult mai bine.
 Dar a fost un fel de evidentă.
 

Unul dintre lucrurile pe care le putem face pentru a determina dacă aplicații au acest comportament pe care nu vrem
 este de a inspecta codul.
 Aceasta este de fapt foarte ușor să faci pe Android pentru că putem decompila aplicațiile.
 Pe iOS puteți utiliza un disassembler ca IDA Pro
 să se uite la ceea ce Apis aplicația este de asteptare si ce face.
 Am scris propriul nostru analizor statică binar pentru codul nostru
 și vom face acest lucru, și așa mai departe ceea ce ai putea face este de ai putea spune
 este dispozitivul face ceva care este, în principiu spionaj pe mine sau mă de urmărire?
 Și am câteva exemple aici pe iPhone.
 Acest prim exemplu este modul de accesare a UUID de pe telefon.
 Aceasta este de fapt ceva care Apple tocmai a interzis pentru noi aplicații,
 dar aplicațiile vechi pe care le-ar putea fi rulează pe telefonul tău poate face în continuare acest lucru,
 și pentru ca identificator unic pot fi folosite pentru a va urmări
 în multe aplicații diferite.
 

Pe Android, am un exemplu aici de a obține locația dispozitivului.
 Puteți vedea că în cazul în care apelul API este acolo, care app este de urmărire,
 și puteți vedea dacă se face locație fin sau grosier de locație.
 Și apoi pe partea de jos de aici, am un exemplu de cât de pe BlackBerry
 o aplicație poate accesa mesajele e-mail în Inbox.
 Acestea sunt genul de lucruri pe care le poate inspecta a vedea
 dacă aplicația este de a face aceste lucruri.
 Cea de a doua mare categorie de comportament rău intenționat, și acest lucru este, probabil, cea mai mare categorie acum,
 este apelarea neautorizat, premium neautorizate mesaje text SMS
 sau plăți neautorizate.
 Un alt lucru care este unic despre telefon
 este dispozitivul este conectat la un cont de facturare,
 și atunci când activitățile se întâmplă la telefon
 se poate crea taxe.
 Puteți achiziționa lucruri la telefon,
 și atunci când trimiteți un mesaj premium SMS text pe care îl dai de fapt bani
 titularului de cont de numărul de telefon pe de altă parte.
 Acestea au fost înființate pentru a obține cotații bursiere sau a obține horoscopul de zi cu zi sau de alte lucruri,
 dar ele pot fi configurate pentru a comanda un produs prin trimiterea unui text SMS.
 Oamenii dau bani pentru a Crucii Roșii prin trimiterea unui mesaj text.
 Puteți da 10 dolari în acest fel.
 

Atacatorii, ceea ce le-am făcut este că înființat
 conturi în țări străine, și se încorpora în malware
 că telefonul va trimite un mesaj text premium SMS,
 spun, de câteva ori pe zi, iar la sfârșitul lunii, vă dați seama că ați cheltuit
 zeci sau poate chiar sute de dolari, și au mers pe jos cu banii.
 Acest ajuns așa de rău că acest lucru a fost primul lucru pe care Android
 Piață sau Google locul-a fost Android Marketplace la momentul respectiv,
 și este acum Google Play-primul lucru pe care Google a început verificarea.
 Atunci când Google a început să distribuie aplicații Android în magazinul lor app
 au spus că nu au de gând să verifice pentru nimic.
 Vom trage aplicații odată ce am fost anunțat că au spart termenii de serviciu,
 dar noi nu vom verifica pentru nimic. Ei bine, despre un an în urmă a ajuns atât de rău cu acest mesaj text malware premium SMS
 că acesta este primul lucru pe care a început verificarea.
 În cazul în care o aplicație poate trimite mesaje text SMS
 se examineze în continuare manual această cerere.
 Se uita pentru API-urile care necesită acest lucru,
 și acum de atunci Google sa extins,
 dar acest lucru a fost primul lucru pe care au început să caute.
 

Unele alte aplicații care au făcut unele mesaje text SMS,
 acest Android Qicsomos, cred că se numește.
 Nu a fost acest eveniment curent pe telefonul mobil în cazul în care acest lucru CarrierIQ a ieșit
 ca a pus spyware pe dispozitivul de către transportatorii,
 astfel încât oamenii au vrut să știe dacă telefonul lor a fost vulnerabil la acest lucru,
 și acest lucru a fost o aplicație gratuită care a testat asta.
 Ei bine, desigur, ceea ce a făcut această aplicație a fost trimis premium mesaje text SMS,
 astfel de testare pentru a vedea dacă sunteți infectat cu spyware
 încărcate malware-ului pe dispozitiv.
 Am văzut același lucru se întâmplă în ultimul Super Bowl.
 Nu a fost o versiune fals a jocului de fotbal Madden
 care a trimis premium de mesaje text SMS.
 Este de fapt, a încercat să creeze o rețea bot prea pe dispozitiv.
 Aici am câteva exemple.
 Destul de interesant, Apple a fost destul de inteligent,
 și ele nu permit aplicații pentru a trimite mesaje text SMS la toate.
 Nici o aplicație o poate face.
 Asta este o modalitate foarte bună de a scăpa de o intreaga clasa de vulnerabilitate,
 dar pe Android, puteți face acest lucru, și, desigur, pe BlackBerry poți face prea.
 Este interesant că pe BlackBerry tot ce ai nevoie este de permisiuni de internet
 pentru a trimite un mesaj text SMS.
 

Un alt lucru pe care într-adevăr ne uităm pentru
 atunci când sunteți în căutarea pentru a vedea dacă ceva este rău intenționat este orice fel de
 activitatea de rețea neautorizate, ca uita-te la activitatea de rețea
 app ar trebui să aibă pentru a avea funcționalitatea acestuia,
 si uita-te la această altă activitate rețea.
 Poate că o aplicație, de a lucra, are pentru a obține date peste HTTP,
 dar în cazul în care se face lucrurile pe e-mail sau SMS sau Bluetooth sau ceva de genul asta
 acum că aplicația ar putea fi rău intenționat, astfel încât acesta este un alt lucru pe care il puteti inspecta pentru.
 Și pe acest slide aici am câteva exemple de asta.
 Un alt lucru interesant pe care l-am văzut cu malware sa întâmplat în 2009,
 și sa întâmplat într-un mare fel.
 Nu știu dacă sa întâmplat atât de mult de atunci, dar a fost o aplicatie
 că imitat o altă aplicație.
 Nu a fost un set de aplicații, și a fost numit atacul 09Droid,
 și cineva a decis că au existat o mulțime de bănci mici, regionale, de dimensiuni medii
 care nu au avut aplicații on-line banking,
 astfel încât ceea ce au făcut a fost au construit aproximativ 50 de aplicații on-line banking
 că tot ce au făcut a fost să ia numele de utilizator și parola
 și vă va redirecționa către site-ul web.
 Și așa au pus toate acestea în Marketplace Google,
 în Android Marketplace, iar atunci când cineva căutat pentru a vedea dacă banca lor
 a avut o aplicație care le-ar găsi aplicarea fals,
 care a colectat prerogativelor lor și apoi le redirecționat către site-ul lor.
 Modul în care acest fapt a devenit, aplicațiile au fost acolo de câteva săptămâni,
 și au existat mii și mii de download-uri.
 

Modul în care acest a venit la lumina a fost cineva avea o problemă
 cu una din aplicațiile, și au numit banca lor,
 și au chemat linie de suport clienti banca lor și a spus,
 "Am o problemă cu aplicația de mobile banking."
 "Poți să mă ajuți?"
 Și au zis: "Noi nu avem o aplicație de mobile banking."
 Care a început ancheta.
 Că banca numit Google, și apoi Google a privit și a spus,
 "Wow, același autor a scris 50 de aplicatii bancare," și le-a luat pe toți în jos.
 Dar cu siguranță acest lucru ar putea întâmpla din nou.
 Nu este lista completă a diferitelor bănci aici
 care au făcut parte din această înșelătorie.
 Un alt lucru o aplicație poate face este prezent UI de altă aplicație.
 În timp ce se rulează s-ar putea pop-up UI Facebook.
 Se spune că trebuie să pună în numele de utilizator și parola pentru a continua
 sau pune orice nume de utilizator și o parolă UI pentru un site web
 ca poate utilizatorul folosește doar pentru a încerca să păcălească utilizatorul
 în punerea prerogativelor lor inch
 Acest lucru este într-adevăr o paralelă dreaptă a atacurilor de e-mail de tip phishing
 în cazul în care cineva vă trimite un mesaj de e-mail
 și vă oferă, practic, un UI fals pentru un site web
 că aveți acces la.
 

Un alt lucru pe care îl căutăm în cod malitios este modificarea sistemului.
 Poti sa te uiti pentru toate apelurile API care necesită privilegii root
 pentru a executa în mod corect.
 Schimbarea proxy web a dispozitivului ar fi ceva care o cerere
 nu ar trebui să fie capabil să facă.
 Dar dacă cererea are cod în acolo pentru a face acest lucru
 știi că este, probabil, o aplicație malware
 sau foarte foarte probabil să fie o aplicație malware,
 și așa mai departe ceea ce se va întâmpla este că app ar avea un fel de escaladarea privilegiu.
 Aceasta ar avea unele escaladarea privilegiu exploata
 în cerere, și apoi după ce a escaladat privilegii
 s-ar face aceste modificări de sistem. Puteți găsi malware care are privilegiul de escaladare
 în ea chiar și fără să știe cum escaladarea privilegiu
 exploata se va întâmpla, și asta e un mod frumos, ușor
 pentru a căuta malware.
 DroidDream a fost, probabil, cel mai faimos piesa de malware Android.
 Cred că a afectat aproximativ 250.000 de utilizatori de peste câteva zile
 înainte de a fi găsit.
 Ei au reambalat 50 de aplicații false,
 le-a pus în App Store Android,
 și, în esență, folosit cod jailbreak Android pentru a escalada privilegii
 și apoi a instala o comandă și de control și să se întoarcă toate victimele
 într-o plasă bot, dar ai putea fi detectat acest
 dacă ați fost scanarea aplicarea și în căutarea doar pentru
 API cheamă că rădăcină permisiunea necesară pentru a executa în mod corect.
 

Și acolo e un exemplu aici, am care se schimbă proxy,
 iar acest fapt este valabil doar pe Android.
 Puteți vedea Îți dau o mulțime de exemple de pe Android
 deoarece acest lucru este în cazul în care ecosistemul malware cel mai activ este
 pentru că este foarte ușor pentru un atacator pentru a obține cod malitios
 în Android Marketplace.
 Nu e atât de ușor să faci asta în Apple App Store
 deoarece Apple cere dezvoltatorilor să se identifice
 și să semneze codul.
 Ei verifica de fapt, cine ești, și Apple este de fapt examinarea cererilor.
 Noi nu vedem o mulțime de adevărat malware în cazul în care dispozitivul este obtinerea compromisă.
 Voi vorbi despre câteva exemple în care este într-adevăr viața privată, care este obtinerea compromis,
 și asta e ceea ce se întâmplă cu adevărat pe dispozitivul Apple.
 Un alt lucru să se uite pentru cod malware, cod riscant în dispozitivele
 este bombe logice sau de timp, și bombe cu ceas sunt, probabil,
 mult mai ușor pentru a căuta decât bombe logice.
 Dar cu bombe de timp, ceea ce poate face este poti sa te uiti pentru
 locuri în codul în care timpul este testat sau un timp absolut este privit de
 înainte de anumite funcționalități în aplicația se întâmplă.
 Și acest lucru ar putea fi făcut pentru a ascunde faptul că activitatea de utilizator,
 așa se întâmplă noaptea târziu.
 DroidDream făcut toată activitatea sa între 23 și 8 AM ora locală
 pentru a încerca să-l facă în timp ce utilizatorul ar putea să nu fie cu ajutorul unui dispozitiv lor.
 

Un alt motiv pentru a face acest lucru este în cazul în care oamenii folosesc analiza comportamentala a unei cereri,
 rulează aplicația într-un sandbox pentru a vedea ce este comportamentul a cererii,
 ei pot folosi logica pe bază de timp pentru a face activitatea
 atunci când aplicația nu este în cutia cu nisip.
 De exemplu, un magazin app ca Apple
 rulează aplicația, dar ele probabil că nu rula fiecare aplicație de, să zicem, 30 zile
 înainte de ao aproba, astfel încât să puteți pune
 logica în aplicația care a spus, bine, doar fac ceea ce rău
 după 30 de zile a trecut prin sau după 30 de zile după data publicării cererii,
 și că poate ajuta la codul malitios ascunde de la oameni de inspecție pentru ea.
 În cazul în care companiile anti-virus se execută lucruri în nisipuri
 sau magazinele app sine sunt acest lucru poate ajuta
 ascunde faptul că de la acea inspecție.
 Acum, de cealalta parte de care este ușor de a găsi cu analiza statica,
 asa ca de fapt inspectarea codul poti sa te uiti pentru toate locurile
 în cazul în care cererea de teste de timp și de a inspecta în acest fel.
 Și aici am câteva exemple cu privire la aceste trei platforme diferite
 cât timp pot fi verificate de către producătorul app
 astfel încât să știi ce să caute, dacă sunteți inspectarea aplicația static.
 

Tocmai am trecut printr-o grămadă de diferite activități rău intenționate
 pe care le-am văzut în sălbăticie, dar care sunt cele mai prevalente?
 Că același studiu de la North Carolina State Mobile Genome Project
 a publicat unele date, și au fost, practic, 4 zone
 că au văzut în cazul în care a existat o mulțime de activitate.
 37% dintre aplicații au privilegiilor,
 așa că a trebuit un anumit tip de cod jailbreak acolo
 în cazul în care au încercat să escaladeze privilegii, astfel încât acestea ar putea
 te comenzi API rulează ca sistem de operare.
 45% din aplicațiile de acolo a făcut SMS-uri premium,
 astfel că este un procent foarte mare, care este încercarea de a valorifica în mod direct.
 93% au făcut acest control de la distanță, așa că au încercat să înființeze o rețea bot, un bot net mobil.
 Și 45% recoltate informații de identificare
 cum ar fi numere de telefon, UUID, localizare GPS, conturi de utilizator,
 și acest lucru se adaugă până la mai mult de 100, deoarece cele mai multe malware încearcă să facă o câteva dintre aceste lucruri.
 

Am de gând să treacă la cea de a doua jumătate a anului și a vorbi despre vulnerabilitățile cod.
 Aceasta este cea de a doua jumătate a activității de riscant.
 Acest lucru este în cazul în care, în esență, dezvoltatorul este de a face erori.
 Un dezvoltator legitim scris o aplicație legitimă
 este de a face erori sau este ignorant cu privire la riscurile de platforma de mobil.
 Ei pur și simplu nu știu cum să facă o aplicație mobilă securizată,
 sau, uneori, dezvoltatorul nu-i pasa de a pune utilizatorul în pericol.
 Uneori, o parte din modelul lor de afaceri ar putea fi
 recoltarea de informații personale ale utilizatorului.
 Asta e un fel de cealaltă categorie, și de aceea o parte din acest malware
 versus începe legitime de a sângera peste, deoarece nu există diferență de opinii
 între ceea ce utilizatorul dorește și ceea ce utilizatorul consideră riscant
 și ceea ce dezvoltatorul de aplicații consideră riscant. Desigur, nu e de date dezvoltator de aplicații, în cele mai multe cazuri.
 

Și apoi în cele din urmă, un alt mod de acest lucru se întâmplă este un dezvoltator s-ar putea lega în
 o bibliotecă partajată care are vulnerabilitati sau acest comportament riscant în ea
 fără știrea lor.
 Prima categorie este scurgeri de date sensibile,
 iar acest lucru este atunci când aplicația colectează informații
 cum ar fi amplasarea, informații de carte adresa, informații despre proprietar
 și transmite că de pe dispozitivul.
 Și după ce a fost oprit aparatul, nu știm ce se întâmplă cu aceste informații.
 Acesta ar putea fi stocate nesigur de către dezvoltator de aplicații.
 Am văzut dezvoltatorii de aplicații se compromisă,
 iar datele pe care ei stocarea devine luate.
 Acest lucru sa întâmplat în urmă cu câteva luni, la un dezvoltator în Florida
 în cazul în care un număr foarte mare de-a fost iPad UUID și nume de dispozitive
 s-au scurs pentru că cineva, cred că a fost anonim,
 a pretins de a face acest lucru, a intrat în serverele acest dezvoltator
 și a furat milioane de iPad UUID
 și numele de calculator.
 Nu informațiile cele mai riscante,
 dar ceea ce în cazul în care a fost stocarea de nume de utilizator și parole
 și adresele de domiciliu?
 Există o mulțime de aplicații care stochează acest tip de informații.
 Riscul este acolo.
 

Un alt lucru care se poate întâmpla este în cazul în care dezvoltatorul nu are grijă
 pentru a asigura canalul de date, și asta este o altă vulnerabilitate mare, am de gând să vorbesc despre,
 care datele sunt transmise în clar.
 În cazul în care utilizatorul este pe o rețea Wi-Fi publică
 sau cineva este sniffing pe internet undeva
 de-a lungul căii de date, care este expus.
 Un caz foarte celebru de această scurgere de informații sa întâmplat cu Pandora,
 și acest lucru este ceva ce am cercetat la Veracode.
 Am auzit că a existat o Cred că a fost o Comisia Federală de Comerț
 investigație întâmplă cu Pandora.
 Am spus, "Ce se întâmplă acolo? Să începem săpat în aplicația Pandora."
 Și ceea ce am stabilit a fost de aplicare Pandora colectate
 sexul și vârsta dumneavoastră,
 și-l accesat, de asemenea, locația GPS și aplicația Pandora
 a făcut acest lucru pentru ceea ce au spus motive legitime.
 Muzica pe care ei jucau-Pandora este o aplicatie-streaming de muzică
 muzica pe care o jucau a fost autorizat numai în Statele Unite,
 așa că a trebuit să verifice să respecte acordurile de licență pe care le-au avut
 pentru muzica care utilizatorul a fost în Statele Unite.
 De asemenea, au vrut să se conformeze cu Parental Advisory
 în jurul limbaj adult în muzică,
 și deci este un program de voluntariat, dar au vrut să se conformeze cu care
 și nu joacă versuri explicite pentru copii de 13 și sub.
 

Ei au avut motive legitime pentru colectarea acestor date.
 App lor a avut permisiunea de a face acest lucru.
 Utilizatorii de crezut că acest lucru a fost legitim. Dar ce sa întâmplat?
 Ei au legat în 3 sau 4 biblioteci de anunțuri diferite.
 Acum, toate dintr-o toate aceste biblioteci bruște de anunțuri
 sunt de a avea acces la aceeași informație.
 Bibliotecile de anunțuri, dacă te uiți la codul în bibliotecile de anunțuri
 ceea ce fac ei este de fiecare bibliotecă anunț spune
 "Are app meu permisiunea de a obține localizare GPS?"
 "Oh, nu? Bine, spune-mi locația GPS."
 Fiecare bibliotecă anunț face asta,
 și dacă aplicația nu are permisiunea GPS
 ea nu va fi capabil să-l, dar dacă o face, îl va primi.
 Acest lucru este în cazul în care modelul de afaceri al bibliotecilor de anunțuri
 se opune intimitatea utilizatorului.
 Și acolo a fost studii acolo, care va spune dacă știți vârsta
 de o persoană și știți locația lor
 în cazul în care dormi la noapte, pentru că aveți coordonatele GPS
 în timp ce, probabil, dorm, știți exact cine este acea persoană
 pentru ca poti determina care membru al gospodăriei este acea persoană.
 Într-adevăr acest lucru este identificarea de agenții de publicitate
 exact cine esti, si se pare ca a fost legitim.
 Vreau doar muzica mea de streaming, și aceasta este singura modalitate de a obține.
 

Ei bine, ne-am expus aceasta.
 Am scris asta în mai multe posturi pe blog,
 și sa dovedit că cineva de la revista Rolling Stone
 citit unul dintre mesajele de pe blogul nostru și a scris blog-ul lor în Rolling Stone despre ea,
 și a doua zi Pandora crezut că a fost o idee bună
 pentru a elimina bibliotecile de anunțuri de la aplicarea lor.
 În măsura în care știu că sunt doar acestea ar trebui să fie apreciat.
 Cred că sunt singurul tip freemium de app care a făcut acest lucru.
 Toate celelalte aplicatii freemium avea același comportament,
 așa că ai să te gândești la ce fel de date dai
 aceste aplicatii freemium, pentru că totul merge la agenții de publicitate.
 Pretorian a făcut, de asemenea, un studiu cu privire la biblioteci partajate și a spus,
 "Să ne uităm la ceea ce împărtășit bibliotecile sunt bibliotecile partajate de top", iar acest lucru a fost de date.
 

Ei au analizat 53.000 de aplicații,
 și numărul 1 biblioteca partajată a fost AdMob.
 Acesta a fost, de fapt, în 38% din cererile de acolo,
 astfel încât 38% din cererile pe care îl utilizați
 sunt susceptibile de recoltarea informațiile personale
 și-l trimite la rețelele de anunțuri. Apache și Android au fost de 8% și 6%,
 și apoi aceste altele în jos în partea de jos, Google Ads, Flurry,
 Mob City și Milenare mass-media,
 acestea sunt toate companiile de anunțuri, iar apoi, destul de interesant,
 4% legat în bibliotecă Facebook
 probabil pentru a face autentificarea prin Facebook
 astfel încât aplicația poate autentifica Facebook.
 Dar asta înseamnă, de asemenea, corporația Facebook controlează cod
 care se execută în 4% din Android mobile acolo,
 și au acces la toate datele care app care are permisiunea de a ajunge la.
 Facebook încearcă, în esență, să vândă spațiu publicitar.
 Asta e modelul lor de afaceri.
 

Dacă te uiți la tot acest ecosistem cu aceste permisiuni
 și bibliotecile partajate de a începe să vedeți că
 aveți o mulțime de risc într-o aplicație presupune legitim.
 Același lucru asemănător sa întâmplat cu Pandora
 sa întâmplat cu o aplicație numită Path,
 Cale și au crezut că au fost dezvoltatori de ajutor, prietenos.
 Ei au fost doar încercarea de a vă oferi o experiență de utilizare mare,
 și sa dovedit că fără a solicita utilizatorului sau spune utilizatorul nimic-
 și acest lucru sa întâmplat pe iPhone și pe Android,
 app Pandora a fost pe iPhone și Android-
 că cererea Path a fost hapsân întreaga agendă
 și încărcați-l la Path doar atunci când ați instalat și a fugit de aplicare,
 și nu ți-a spus despre acest lucru.
 Ei au crezut ca a fost foarte util pentru tine
 pentru a fi capabil de a împărtăși cu toate persoanele din agenda dvs.
 că sunteți utilizând aplicația Path.
 

Ei bine, în mod evident, Calea crezut că acest lucru a fost mare pentru compania lor.
 Nu este atât de mare pentru utilizator.
 Trebuie să cred că e un lucru dacă poate un adolescent
 este folosind această aplicație și zeci de prieteni sunt acolo,
 dar ce se întâmplă dacă este CEO-ul de o companie care instalează Path
 și apoi dintr-o dată cartea lor adrese întreg este de până acolo?
 Ai de gând pentru a obține o mulțime de informații de contact potențial valoroase
 pentru o mulțime de oameni.
 Un reporter de la New York Times, s-ar putea fi capabil de a obține numărul de telefon
 președinți de ex de la cartea lor de adrese,
 deci, evident, o mulțime de informații sensibile este transferat cu ceva de genul asta.
 Nu a fost astfel de un lambou mare despre acest lucru care Cale a cerut scuze.
 Au schimbat app lor, și chiar afectate Apple.
 Apple a spus, "Mergem pentru a forța furnizorii de aplicații pentru a solicita utilizatorilor
 în cazul în care acestea sunt de gând să colecteze întreaga agendă. "
 

Se pare ca ceea ce se întâmplă aici este
 atunci când există o mare violare a vieții private și-l face presa
 vom vedea o schimbare acolo.
 Dar, desigur, există alte lucruri acolo.
 Cererea LinkedIn recoltele înregistrările din agendă,
 dar Apple nu face utilizatorul va cere despre asta.
 Calendar intrări pot avea informații sensibile în ele prea.
 În cazul în care ai de gând să tragem linie?
 Acest lucru este într-adevăr un fel de loc de evoluție
 în cazul în care nu există cu adevărat nici un standard bun de acolo
 pentru utilizatorii să înțeleagă atunci când informațiile lor va fi la risc
 și atunci când acestea sunt de gând să știu că a fi luate.
 Am scris un app la Veracode numit Adios,
 și, în esență, a permis să vă punctul de aplicația la directorul iTunes
 si uita-te la toate aplicațiile care s-au recoltat cartea ta adresa completă.
 Și, după cum puteți vedea pe această listă aici, Angry Birds,
 AIM, AroundMe.
 De ce are nevoie de Angry Birds agenda ta?
 Nu știu, dar o face într-un fel.
 

Aceasta este ceva care multe, multe aplicații face.
 Puteți inspecta codul pentru acest lucru.
 Există API-uri bine definite pentru iPhone, Android și BlackBerry
 pentru a ajunge la agenda.
 Puteți inspecta foarte ușor pentru aceasta, și aceasta este ceea ce am făcut în cererea noastră Adios.
 Următoarea categorie, nesigure Sensibil stocare a datelor,
 este ceva în cazul în care dezvoltatorii să ia ceva de genul un cod PIN sau un număr de cont
 sau o parolă și păstrați-l în clar pe dispozitiv.
 Chiar mai rău, ei s-ar putea stoca într-o zonă de pe telefon
 care este accesibil la nivel global, cum ar fi cardul SD.
 Veți vedea acest lucru mai des pe Android Android, deoarece permite un card SD.
 Dispozitive iPhone nu.
 Dar am văzut chiar și acest lucru se întâmplă într-o aplicație CitiGroup.
 Aplicarea lor online banking stocate numerele de cont nesigur,
 doar în clar, deci, dacă ți-ai pierdut dispozitivul dvs.,
 în esență, ți-ai pierdut contul tău bancar.
 Acesta este de ce eu personal nu fac banking pe iPhone-ul meu.
 Cred că e prea riscant chiar acum pentru a face aceste tipuri de activități.
 

Skype a făcut același lucru.
 Skype, desigur, are un sold de cont, un nume de utilizator și o parolă
 că a accesa acest echilibru.
 Ei au fost stocarea toate aceste informații în clar pe dispozitivul mobil.
 Am câteva exemple aici de creare a fișierelor
 că nu aveți permisiunile corecte sau se scrie pe disc
 și nu au nici o criptare întâmpla pentru asta.
 Această zonă următor, nesigure Sensibil Transmisii de date,
 Am făcut aluzie la acest lucru de câteva ori, și din cauza publice Wi-Fi
 acest lucru este ceva care apps absolut nevoie pentru a face,
 și acest lucru este, probabil, ceea ce vedem merge prost cel mai. Aș spune-de fapt, cred că am date reale,
 dar e aproape de jumătate din aplicații mobile
 bară face SSL.
 Ei pur și simplu nu folosesc corect API-urile.
 Adică, tot ce trebuie să faceți este să urmați instrucțiunile și de a folosi API-uri,
 dar ele nu lucruri ca nu a verifica dacă există un certificat nevalid la celălalt capăt,
 nu a verifica dacă celălalt capăt este încercarea de a face un atac de downgrade protocol.
 

Dezvoltatorii, care doresc pentru a obține caseta lor, corect?
 Cerința lor este de a folosi acest lucru pentru a vinde. Ei au folosit aceasta pentru a vinde.
 Cerința nu este de a folosi aceasta pentru a vinde în siguranță,
 și astfel încât acesta este motivul pentru toate aplicațiile care folosesc SSL pentru a asigura securitatea datelor
 așa cum este transmis de pe dispozitivul într-adevăr trebuie să fie inspectate
 pentru a vă asigura că a fost pusă în aplicare în mod corect.
 Și aici am câteva exemple, unde puteți vedea o aplicație
 ar putea fi, folosind în loc de HTTP HTTPS.
 În unele cazuri, aplicațiile vor cădea înapoi la HTTP
 dacă HTTPS nu este de lucru.
 Eu am un alt apel aici, pe Android, unde le-am dezactivat verificarea certificatului,
 astfel încât un atac man-in-the-mijloc se poate întâmpla.
 Un certificat nevalid vor fi acceptate.
 Acestea sunt toate cazurile în care atacatorii sunt de gând să fie în măsură de a obține pe
 aceeași conexiune Wi-Fi ca utilizatorul și acces la toate datele
 care a fost trimis pe internet.
 

Și, în sfârșit, ultima categorie am aici este parola hardcoded și cheile.
 Vedem de fapt, o mulțime de dezvoltatorii folosesc același stil de codificare
 care au făcut atunci când au fost construirea de aplicații de server web,
 astfel încât acestea să construiesc o aplicație server Java, și ei hardcoding cheia.
 Ei bine, atunci când sunteți construirea o aplicație server, da,
 hardcoding cheia nu este o idee bună.
 Este dificil să se schimbe.
 Dar nu e așa de rău pe partea de server pentru că cine are acces la partea de server?
 Numai administratorii.
 Dar dacă luați același cod și îl toarnă peste la o aplicație mobilă
 acum toată lumea care are ca aplicație de telefonie mobilă are acces la acea cheie hardcoded,
 și vom vedea de fapt, aceasta o mulțime de ori, și am unele statistici
 pe cât de des vom vedea acest lucru.
 Acesta a fost de fapt în exemplul de cod care MasterCard a publicat
 cu privire la modul de a utiliza serviciul lor.
 Codul de exemplu, a arătat modul în care s-ar lua doar parola
 și pune-l într-un șir hardcoded chiar acolo,
 și știm cum dezvoltatorii place să copiați și inserați fragmente de cod
 atunci când ei încearcă să facă ceva, astfel încât să copiați și inserați fragmentul de cod
 pe care le-a dat ca exemplu de cod, și aveți o aplicație nesigur.
 

Și aici avem câteva exemple.
 Aceasta prima una este unul vom vedea o mulțime în cazul în care hardcode
 dreptul de date într-un URL care este trimis.
 Uneori, vom vedea parola șir = parola.
 Asta e destul de ușor de a detecta, sau parolă șir pe BlackBerry si Android.
 Este de fapt destul de ușor pentru a verifica pentru că aproape întotdeauna
 numele dezvoltator variabila care se deține parola
 o variantă a parolei.
 Am menționat că vom face analiza statica la Veracode,
 așa că ne-am analizat mai multe sute de aplicații Android și iOS.
 Ne-am construit modele pline de ei, și noi suntem în stare să le scaneze
 pentru diferite vulnerabilități, în special vulnerabilitățile care vorbeam,
 și am unele date aici.
 68,5% dintre aplicații Android ne-am uitat la
 au spart codul de criptare,
 care pentru noi, nu putem detecta dacă ați făcut propria rutina cripto,
 nu că este o idee bună, dar acest lucru este, de fapt, folosind API-uri publicate
 care sunt pe platforma ci le face în așa fel
 ca cripto-ar fi vulnerabil, 68,5.
 Și acest lucru este pentru oameni care sunt ne trimite cererile lor de fapt, deoarece
 ei cred că este o idee bună de a face teste de securitate.
 Acestea sunt deja oameni care sunt, probabil, de gândire în siguranță,
 așa că, probabil, chiar mai rău.
 

Nu am vorbit despre controlul linie de injecție de alimentare.
 E ceva ce verifica, dar nu e riscant ca o problemă.
 Scurgere de informații, acest lucru este în cazul în care datele sensibile sunt trimise de pe dispozitiv.
 Am constatat că în 40% din cererile.
 Timp și de stat, acestea sunt probleme de tip stare de rasă, de obicei, destul de greu de a exploata,
 așa că nu am vorbit despre asta, dar ne-am uitat la ea.
 23% au avut probleme de SQL injection.
 O mulțime de oameni nu știu că o mulțime de aplicații
 folositi un mic baze de date SQL puțin pe sfârșitul lor înapoi pentru a stoca date.
 Ei bine, în cazul în care datele pe care sunteți hapsân în rețea
 are siruri de atac SQL injection în ea
 cineva poate compromite dispozitivul prin care,
 și așa cred că vom găsi aproximativ 40% din aplicații web au această problemă,
 care este o problemă uriașă epidemie.
 Ne pare 23% din timp în aplicații mobile
 și că este, probabil, pentru că mult mai multe aplicatii web folosesc SQL decât mobil.
 

Și apoi vom vedea încă unele cross-site scripting, aspecte de autorizare,
 și apoi management acreditare, care este în cazul în care aveți parola hardcoded.
 În 5% din cererile vedem că.
 Și apoi ne-am unele date cu privire la iOS.
 81% au avut probleme de eroare de manipulare. Acest lucru este mai mult o problemă de calitate cod,
 dar 67% au avut probleme criptografice, deci nu la fel de rău ca și Android.
 Poate că API-urile sunt un pic mai ușor, codurile de exemplu un pic mai bine pe iOS.
 Dar, totuși, un procent foarte mare.
 Am avut 54% cu scurgeri de informații,
 aproximativ 30% cu erorile de management tampon.
 Asta-i locuri unde nu ar putea fi o problemă de corupere a memoriei.
 Se pare că nu-i la fel de mult de o problemă de exploatare
 pe iOS pentru că tot codul trebuie să fie semnat,
 asa ca e greu pentru un atacator sa execute cod arbitrar pe iOS.
 Calitate de cod, director traversarea, dar apoi management acreditările aici, la 14,6%,
 așa mai rău decât pe Android.
 Avem oameni care nu se manipulează parolele corect.
 Și apoi erorile numerice și buffer overflow,
 cei care sunt mai mult vor fi probleme de calitate cod pe iOS.
 

Asta a fost tot pentru prezentarea mea. Nu știu dacă mai avem timp sau nu.
 Nu știu dacă există întrebări.
 [MALE] O întrebare rapidă în jurul fragmentarea și pe piața Android.
 Apple a cel puțin detine patch-uri.
 Ei fac o treabă bună de a obține o acolo, în timp ce mai puțin în spațiul Android.
 Aproape nevoie pentru a jailbreak telefonul a rămâne la curent
 cu versiunea curentă de Android.
 Da, asta este o problemă foarte mare și, deci, dacă vă gândiți-
 [MALE] De ce nu-l repet?
 

Oh, da, așa că întrebarea a fost ceea ce cu privire la fragmentarea
 a sistemului de operare pe platforma Android?
 Cum care afectează gradul de risc al acestor dispozitive?
 Și de fapt este o problemă uriașă, deoarece ceea ce se întâmplă este
 dispozitivele mai vechi, atunci când cineva vine cu un jailbreak pentru acel dispozitiv,
 în esență, că e privilegiu escaladarea, și până la faptul că sistemul de operare este actualizat
 orice malware poate folosi apoi ca vulnerabilitate a compromite total dispozitivul,
 și ceea ce vedem pe Android este, în scopul de a obține un nou sistem de operare
 Google are pentru a pune sistemul de operare, iar apoi producătorul hardware-ului
 trebuie să-l personaliza, iar apoi transportatorul trebuie să-l personaliza și dă-l.
 Aveți practic trei părți în mișcare aici,
 și este de cotitură că transportatorii nu-mi pasă,
 și producătorii de hardware nu-mi pasă, iar Google nu le este suficient de prodding
 să facă ceva, așa că, în esență, mai mult de jumătate dintre dispozitivele de acolo
 au sisteme de operare care nu au aceste vulnerabilități escaladarea privilegiu în ele,
 și, deci, dacă aveți malware pe dispozitiv Android este mult mai mult de o problemă.
 

Bine, vă mulțumesc foarte mult.
 [Aplauze]
 [CS50.TV]