1
00:00:00,000 --> 00:00:02,610
>> [Семинар] [Одбрана Иза Уређајем: Мобилна апликација Безбедност]

2
00:00:02,610 --> 00:00:04,380
[Крис Висопал] [Универзитет Харвард]

3
00:00:04,380 --> 00:00:07,830
[Ово је ЦС50.] [ЦС50.ТВ]

4
00:00:07,830 --> 00:00:10,360
>> Добар дан. Моје име је Крис Висопал.

5
00:00:10,360 --> 00:00:13,360
Ја сам ЦТО и суоснивач Верацоде.

6
00:00:13,360 --> 00:00:15,880
Верацоде је безбедност апликација компанија.

7
00:00:15,880 --> 00:00:18,230
Ми тестирамо све врсте различитих апликација,

8
00:00:18,230 --> 00:00:25,060
и шта ћу данас говорити је безбедност мобилних апликација.

9
00:00:25,060 --> 00:00:28,630
Моја позадина је сам радила истраживање безбедности

10
00:00:28,630 --> 00:00:31,970
за веома дуго, вероватно отприлике онолико дуго колико било ко.

11
00:00:31,970 --> 00:00:35,000
Почео сам средином 90-их,

12
00:00:35,000 --> 00:00:37,370
и било је време да је било прилично интересантно јер

13
00:00:37,370 --> 00:00:39,220
смо имали промену парадигме у средином 90-их.

14
00:00:39,220 --> 00:00:43,520
Одједном рачунару свима био закачен на интернет,

15
00:00:43,520 --> 00:00:46,550
а онда смо имали почетке веб апликација,

16
00:00:46,550 --> 00:00:49,330
и то је оно што сам фокусиран на много тада.

17
00:00:49,330 --> 00:00:51,160
То је интересантно.

18
00:00:51,160 --> 00:00:53,930
Сада имамо још једну промену парадигме дешава са рачунара,

19
00:00:53,930 --> 00:00:58,710
који је помак за мобилне апликације.

20
00:00:58,710 --> 00:01:03,680
>> Осећам да је то нека врста сличног времена онда је то било у касним 90-их

21
00:01:03,680 --> 00:01:07,650
када смо били истражује веб апликација и проналажење кварова као што

22
00:01:07,650 --> 00:01:11,800
грешке управљање сесија и СКЛ ињецтион

23
00:01:11,800 --> 00:01:14,940
који заиста није постојала пре, и одједном су свуда били

24
00:01:14,940 --> 00:01:19,360
у веб апликацијама, а сада много времена проводим

25
00:01:19,360 --> 00:01:27,950
гледа на мобилним апликацијама и гледа шта се дешава тамо у дивљини.

26
00:01:27,950 --> 00:01:32,060
Мобилне апликације су заиста ће бити доминантна рачунарска платформа,

27
00:01:32,060 --> 00:01:35,060
па ми стварно треба да потрошите много времена и ако сте у безбедносној индустрији

28
00:01:35,060 --> 00:01:39,280
фокусирајући се на веб апликацијама.

29
00:01:39,280 --> 00:01:43,420
Било је 29 милијарде мобилних апликација скинута у 2011.

30
00:01:43,420 --> 00:01:47,920
То је предвидео да буде 76 милијарди апликација до 2014.

31
00:01:47,920 --> 00:01:54,040
Постоји 686 милиона уређаја које ће се купити ове године,

32
00:01:54,040 --> 00:01:57,060
па ово је место где људи иду да се ради

33
00:01:57,060 --> 00:01:59,600
 већина њиховог клијента рачунарства иде напред.

34
00:01:59,600 --> 00:02:04,220
>> Разговарао сам са потпредсједница Фиделити Инвестментс

35
00:02:04,220 --> 00:02:08,780
Пре пар месеци, а он је рекао да управо видели више саобраћаја

36
00:02:08,780 --> 00:02:12,610
ради финансијске трансакције из њихове базе клијената

37
00:02:12,610 --> 00:02:16,230
на њихове мобилне апликације него на њиховом сајту,

38
00:02:16,230 --> 00:02:20,610
тако честа употреба за Веб у прошлости био

39
00:02:20,610 --> 00:02:23,800
провере своје цитате залиха, управљање свој портфолио,

40
00:02:23,800 --> 00:02:28,060
и ми заправо видимо да у 2012 прекидач преко

41
00:02:28,060 --> 00:02:30,960
да буде доминантан на мобилне платформе.

42
00:02:30,960 --> 00:02:34,530
Свакако, ако постоји ће бити криминална делатност,

43
00:02:34,530 --> 00:02:38,900
било злонамерна активност, то ће почети да се фокусира на мобилној платформи

44
00:02:38,900 --> 00:02:44,210
током времена као људи прелазе на то.

45
00:02:44,210 --> 00:02:48,320
Ако погледате на мобилној платформи,

46
00:02:48,320 --> 00:02:54,380
да погледате ризика платформе то је корисно да га разбити у различитим слојевима,

47
00:02:54,380 --> 00:02:59,010
баш као што би то урадио на стоном рачунару,

48
00:02:59,010 --> 00:03:02,860
а ви размислите о различитим слојевима, софтвер, оперативни систем,

49
00:03:02,860 --> 00:03:07,730
мрежни слој, слој хардвер, и наравно, ту је рањивост на свим тим слојевима.

50
00:03:07,730 --> 00:03:10,510
>> Иста ствар се дешава на мобилном.

51
00:03:10,510 --> 00:03:14,880
Али мобилни, изгледа да су неки од тих слојева су лошије.

52
00:03:14,880 --> 00:03:19,840
За једну, мрежни слој је више проблематично на мобилном

53
00:03:19,840 --> 00:03:25,650
јер многи људи имају у својој канцеларији или код куће

54
00:03:25,650 --> 00:03:30,780
виред везе или они имају сигурне Ви-Фи везе,

55
00:03:30,780 --> 00:03:36,530
и са много мобилних уређаја сте очигледно си ван куће

56
00:03:36,530 --> 00:03:40,520
или ван канцеларије много, а ако користите Ви-Фи тамо

57
00:03:40,520 --> 00:03:42,820
можда користите небезбедну Ви-Фи везе,

58
00:03:42,820 --> 00:03:45,570
нешто што је јавни Ви-Фи веза,

59
00:03:45,570 --> 00:03:48,840
па кад размишљамо о мобилним апликацијама морамо да узмемо у обзир

60
00:03:48,840 --> 00:03:53,770
да мрежа окружење је ризичније за оне апликације

61
00:03:53,770 --> 00:03:57,640
када Ви-Фи користи.

62
00:03:57,640 --> 00:04:02,410
И кад сам се у више од ризика мобилних апликација

63
00:04:02,410 --> 00:04:04,910
видећете зашто је то важније.

64
00:04:04,910 --> 00:04:09,710
Постоје ризици на хардверском нивоу на мобилним уређајима.

65
00:04:09,710 --> 00:04:11,670
Ово је област току истраживања.

66
00:04:11,670 --> 00:04:15,910
Људи зову ове широкопојасне напади или напади Басебанд

67
00:04:15,910 --> 00:04:21,870
где сте нападају фирмвер који се слуша на радију.

68
00:04:21,870 --> 00:04:25,430
>> То су заиста страшне нападе, јер

69
00:04:25,430 --> 00:04:27,280
корисник не мора ништа да радите.

70
00:04:27,280 --> 00:04:30,760
Можете да удари много уређаја унутар опсега РФ

71
00:04:30,760 --> 00:04:36,690
одједном, и чини се као да сваки пут када ово истраживање бубблес горе

72
00:04:36,690 --> 00:04:40,750
она брзо добија класификован где

73
00:04:40,750 --> 00:04:46,600
људи кидисати на око и кажем, "Ево, реците нам нешто о томе, и молим вас престану да причају о томе."

74
00:04:46,600 --> 00:04:49,460
Има нека истраживања дешава у области широкопојасног,

75
00:04:49,460 --> 00:04:51,980
али изгледа да је веома Хусх Хусх.

76
00:04:51,980 --> 00:04:56,910
Мислим да је више од националне државе врсти истраживања која се дешава.

77
00:04:56,910 --> 00:05:02,140
Подручје активног истраживања, иако, је оперативни систем слој,

78
00:05:02,140 --> 00:05:08,910
и, ово је поново другачије него у десктоп рачунарства света

79
00:05:08,910 --> 00:05:14,840
јер у мобилном простору имате ове тимове људи зову Јаилбреакерс,

80
00:05:14,840 --> 00:05:18,670
и Јаилбреакерс су другачији од редовних истраживача угрожености.

81
00:05:18,670 --> 00:05:21,970
Они покушавају да пронађу рањивости у оперативном систему,

82
00:05:21,970 --> 00:05:27,000
али разлог они покушавају да пронађу рањивости није да

83
00:05:27,000 --> 00:05:31,810
провали у машину туђи и компромис га.

84
00:05:31,810 --> 00:05:34,280
То је да се пробије у свом рачунару.

85
00:05:34,280 --> 00:05:38,820
>> Они желе да се пробије у свом мобилном телефону, модификовати оперативни систем своје мобилне екипе

86
00:05:38,820 --> 00:05:41,050
тако да они могу покренути апликације по свом избору

87
00:05:41,050 --> 00:05:44,510
и променити ствари са пуним административним дозволама,

88
00:05:44,510 --> 00:05:49,050
и они не желе да кажу продавац о томе.

89
00:05:49,050 --> 00:05:52,960
Они не воле сигурносни истраживач који је бели шешир истраживач безбедности

90
00:05:52,960 --> 00:05:56,600
који ће учинити одговорно откривање и реци продавцу о томе.

91
00:05:56,600 --> 00:06:01,270
Они желе да ураде ово истраживање, и они желе да заправо га објави

92
00:06:01,270 --> 00:06:06,400
у екплоит или рооткит или јаилбреак кода,

93
00:06:06,400 --> 00:06:10,010
и они желе да то урадите стратешки, као после

94
00:06:10,010 --> 00:06:13,570
Продавац испоручује нови оперативни систем.

95
00:06:13,570 --> 00:06:16,350
Имате ову супарничком однос

96
00:06:16,350 --> 00:06:19,000
са рањивостима ОС-нивоу на мобилни,

97
00:06:19,000 --> 00:06:23,150
што мислим да је веома интересантно, а једно место је видимо

98
00:06:23,150 --> 00:06:29,210
се то чини тако да тамо постоји добра објавио екплоит код

99
00:06:29,210 --> 00:06:31,750
за рањивости језгро нивоу,

100
00:06:31,750 --> 00:06:35,040
и видели смо оне заправо се користе злонамерних писаца.

101
00:06:35,040 --> 00:06:38,450
То је мало другачији од ПЦ свету.

102
00:06:38,450 --> 00:06:42,530
И онда завршни слој је горњи слој, слој апликација.

103
00:06:42,530 --> 00:06:45,250
То је оно што ћу говорити о данас.

104
00:06:45,250 --> 00:06:48,970
>> Остали слојеви постоје, а остали слојеви играју у њега,

105
00:06:48,970 --> 00:06:53,310
али ја углавном идем да причам о томе шта се дешава на апликативном нивоу

106
00:06:53,310 --> 00:06:55,560
где је број ради у сандбок.

107
00:06:55,560 --> 00:06:58,670
Он нема администраторске привилегије.

108
00:06:58,670 --> 00:07:02,170
Она мора да користи АПИ на уређају,

109
00:07:02,170 --> 00:07:06,970
али ипак, много злонамерних активности и доста ризика може да се деси у том слоју

110
00:07:06,970 --> 00:07:09,220
јер је то слој где су све информације.

111
00:07:09,220 --> 00:07:12,330
Апликације могу да приступе све информације о уређају

112
00:07:12,330 --> 00:07:15,390
ако они имају право дозволе,

113
00:07:15,390 --> 00:07:17,540
и они могу да приступе различите сензоре на уређају,

114
00:07:17,540 --> 00:07:23,950
ГПС сензор, микрофон, камера, оно што имате.

115
00:07:23,950 --> 00:07:27,380
Иако смо само говоримо о на апликационом слоју

116
00:07:27,380 --> 00:07:33,700
имамо доста ризика тамо.

117
00:07:33,700 --> 00:07:38,450
Друга ствар која се разликује о мобилном окружењу

118
00:07:38,450 --> 00:07:45,060
се сви играчи оперативног система, било БлацкБерри или Андроид

119
00:07:45,060 --> 00:07:53,410
или иОС или Виндовс Мобиле, сви они имају фину зрнасту дозволу модел,

120
00:07:53,410 --> 00:07:56,990
и ово је један од начина да се уграђене у оперативни систем

121
00:07:56,990 --> 00:08:01,230
идеја да то није као ризично као што мислите.

122
00:08:01,230 --> 00:08:04,550
Иако имате све своје контакте на ту, сви ваши лични подаци,

123
00:08:04,550 --> 00:08:09,080
имате своје фотографије, имате своју локацију на тамо,

124
00:08:09,080 --> 00:08:14,820
ви складиштење свој банковни иглу за ауто логовање на ту, то је сигурно зато што

125
00:08:14,820 --> 00:08:19,430
апликације морају да имају одређене дозволе да се у појединим деловима

126
00:08:19,430 --> 00:08:25,080
информације о уређају, као и корисник мора да буде представљен са

127
00:08:25,080 --> 00:08:29,230
ове дозволе и кажем у реду.

128
00:08:29,230 --> 00:08:32,590
>> Проблем са њим је корисник увек каже у реду.

129
00:08:32,590 --> 00:08:35,240
Као безбедности лице, знам да могу да затражи од корисника,

130
00:08:35,240 --> 00:08:40,100
рећи нешто стварно лоше ће се десити, да ли желите да се то деси?

131
00:08:40,100 --> 00:08:44,680
А ако су у журби, или је нешто заиста мами на другој страни да,

132
00:08:44,680 --> 00:08:47,760
као игра ће бити инсталиран да су они чекали,

133
00:08:47,760 --> 00:08:50,860
они ће кликнете ок.

134
00:08:50,860 --> 00:08:56,630
Зато ја кажем на мом слајду овде само ми већ Хитац птице на свиње,

135
00:08:56,630 --> 00:09:03,150
и можете да видите на слајду овде има примера БлацкБерри дозволе кутији.

136
00:09:03,150 --> 00:09:05,990
Он каже: "Молим вас поставите апликације дозволе БлацкБерри путовања

137
00:09:05,990 --> 00:09:09,720
након клика дугме испод ", а у суштини је само корисник ће рећи

138
00:09:09,720 --> 00:09:12,240
подесите дозволе и сачувати.

139
00:09:12,240 --> 00:09:18,010
Ево андроид брз где се показује ствари,

140
00:09:18,010 --> 00:09:20,260
и то је заправо ставља нешто што готово личи на упозорење.

141
00:09:20,260 --> 00:09:25,090
Има неку врсту приноса знак тамо кажу мрежа за комуникацију, телефонски позив,

142
00:09:25,090 --> 00:09:28,120
али корисник ће кликом инсталира, зар не?

143
00:09:28,120 --> 00:09:32,940
А онда је један Аппле је потпуно безопасно.

144
00:09:32,940 --> 00:09:34,300
То не даје било какву упозорења.

145
00:09:34,300 --> 00:09:37,380
То је само Аппле жели да користи вашу тренутну локацију.

146
00:09:37,380 --> 00:09:39,670
Наравно да ћеш да кликнете ок.

147
00:09:39,670 --> 00:09:42,260
>> Има ово фине структуре дозвола модела,

148
00:09:42,260 --> 00:09:45,890
и апликације морају имати манифест фајл где прогласи

149
00:09:45,890 --> 00:09:49,410
дозволе им је потребно, и да ће се приказати кориснику,

150
00:09:49,410 --> 00:09:53,480
и корисник ће морати да каже да одобри ове дозволе.

151
00:09:53,480 --> 00:09:55,080
Али, будимо искрени.

152
00:09:55,080 --> 00:09:58,400
Корисници су само ће увек рећи у реду.

153
00:09:58,400 --> 00:10:04,460
Хајде да брзи поглед на дозволама које ове апликације су тражили

154
00:10:04,460 --> 00:10:06,850
и неки од дозвола које су тамо.

155
00:10:06,850 --> 00:10:09,950
Ова компанија преторијанска урадио анкету прошле године

156
00:10:09,950 --> 00:10:14,170
од 53.000 апликација анализираних у Андроид Маркет и 3рд парти тржиштима,

157
00:10:14,170 --> 00:10:16,770
тако да је ово све Андроид.

158
00:10:16,770 --> 00:10:19,670
А просечна апликација затражила 3 ​​дозволе.

159
00:10:19,670 --> 00:10:23,370
Неке апликације тражио 117 дозволе,

160
00:10:23,370 --> 00:10:27,480
тако очигледно су веома добро зрнасту и сувише сложен за корисника да разумеју

161
00:10:27,480 --> 00:10:31,600
ако они представили са овом апликацијом која треба ових 117 дозволе.

162
00:10:31,600 --> 00:10:37,270
То је као корисника уговора о лиценцирању крајњег који је дуго 45 страна.

163
00:10:37,270 --> 00:10:40,240
Можда ускоро ће имати опцију где је као

164
00:10:40,240 --> 00:10:43,100
принт дозволе и пошаљите ми е-маил.

165
00:10:43,100 --> 00:10:45,480
>> Али ако погледате неке од најбољих занимљивих дозволе

166
00:10:45,480 --> 00:10:50,840
24% од апликација које су преузете из 53.000

167
00:10:50,840 --> 00:10:57,230
затражио информације од ГПС уређаја.

168
00:10:57,230 --> 00:10:59,810
8% чита контакте.

169
00:10:59,810 --> 00:11:03,770
4% је послао СМС поруку, а 3% примљених СМС.

170
00:11:03,770 --> 00:11:07,730
2% забележен звук.

171
00:11:07,730 --> 00:11:11,210
1% обрађује одлазне позиве.

172
00:11:11,210 --> 00:11:13,140
Не знам.

173
00:11:13,140 --> 00:11:17,520
Не мислим 4% од апликација у Апп Сторе стварно треба да пошаљу СМС текстуалне поруке,

174
00:11:17,520 --> 00:11:21,410
тако да мислим да је то наговештај да се нешто недостојно се дешава.

175
00:11:21,410 --> 00:11:24,350
8% од апликација треба да прочита вашу листу контаката.

176
00:11:24,350 --> 00:11:26,510
То вероватно није потребно.

177
00:11:26,510 --> 00:11:30,990
Једна од осталих интересантних ствари о дозволама је

178
00:11:30,990 --> 00:11:36,740
ако повежете у дељене библиотеке у вашој апликацији

179
00:11:36,740 --> 00:11:39,780
они наслеђују дозволе апликације,

180
00:11:39,780 --> 00:11:46,570
тако да ако ваш апликација треба листу контаката или треба ГПС локацију да функционише

181
00:11:46,570 --> 00:11:49,940
и везу у рекламној библиотеци, на пример,

182
00:11:49,940 --> 00:11:53,170
да библиотека оглас ће такође бити у могућности да приступите контакте

183
00:11:53,170 --> 00:11:57,630
а такође моћи да приступе ГПС локацију,

184
00:11:57,630 --> 00:12:01,990
и програмер апликације не зна ништа о коду који је покренут у библиотеци огласа.

185
00:12:01,990 --> 00:12:05,370
Они само повезивање да у јер желе да уновчите своје апликације.

186
00:12:05,370 --> 00:12:09,820
>> Ово је место где и ја ћу говорити о неким примерима са

187
00:12:09,820 --> 00:12:13,930
Апликација се зове Пандора где апликација програмер

188
00:12:13,930 --> 00:12:18,910
Можда несвесно се одаје информације

189
00:12:18,910 --> 00:12:24,580
од својих корисника због библиотеке су они повезани унутра

190
00:12:24,580 --> 00:12:30,110
Геодетски пејзаж тамо, гледа на свим различитим апликацијама

191
00:12:30,110 --> 00:12:34,310
који су пријављени у вестима као злонамерни или раде нешто корисници не желе

192
00:12:34,310 --> 00:12:39,360
а затим инспекцију доста апликација-радимо много статичке анализе бинарног на мобилне апликације,

193
00:12:39,360 --> 00:12:42,010
па смо их прегледали и погледао код саме-

194
00:12:42,010 --> 00:12:49,640
смо дошли до онога што називамо нашу топ 10 листа ризичних понашања у апликацијама.

195
00:12:49,640 --> 00:12:54,180
И то је оборио на 2 секције, злонамерног кода,

196
00:12:54,180 --> 00:12:57,600
па то су лоше ствари које могу да се апликације могу да раде

197
00:12:57,600 --> 00:13:06,520
ће вероватно бити нешто што злонамерни појединац

198
00:13:06,520 --> 00:13:10,060
је посебно ставио у пријави, али то је мало нејасно.

199
00:13:10,060 --> 00:13:13,300
То може бити нешто што програмер мисли да је у реду,

200
00:13:13,300 --> 00:13:16,350
али она завршава се мисли као злонамерни корисник.

201
00:13:16,350 --> 00:13:19,830
>> А онда други део је оно што ми зовемо кодирање рањивости,

202
00:13:19,830 --> 00:13:24,600
и то су ствари где у основи програмер је прављење грешака

203
00:13:24,600 --> 00:13:27,200
или једноставно не разумем како да безбедно напише апликацију,

204
00:13:27,200 --> 00:13:30,260
 и да је стављање апликација корисника у опасности.

205
00:13:30,260 --> 00:13:34,060
Идем да прође кроз њих детаљно и дати неке примере.

206
00:13:34,060 --> 00:13:39,620
За референцу, хтео сам да подигнем ОВАСП мобилни Топ 10 листа.

207
00:13:39,620 --> 00:13:43,590
То су 10 питања која група на ОВАСП,

208
00:13:43,590 --> 00:13:48,900
Пројекат Опен Веб апликација безбедности, они имају радну групу

209
00:13:48,900 --> 00:13:50,620
ради на мобилном Топ 10 листа.

210
00:13:50,620 --> 00:13:54,600
Они имају веома познати веб Топ 10 листа, који су 10 најбољих

211
00:13:54,600 --> 00:13:57,180
најризичнији ствари које можете имати у веб апликацији.

212
00:13:57,180 --> 00:13:59,090
Они раде исту ствар за мобилни,

213
00:13:59,090 --> 00:14:01,750
а њихов списак је мало другачији од нашег.

214
00:14:01,750 --> 00:14:03,670
6 од 10 су исти.

215
00:14:03,670 --> 00:14:06,020
Они имају 4 који су другачији.

216
00:14:06,020 --> 00:14:10,550
Мислим да они имају мало другачији преузме

217
00:14:10,550 --> 00:14:14,490
Ризик у мобилним апликацијама где много својих проблема

218
00:14:14,490 --> 00:14:20,490
се заиста како апликација комуницира са бацк-енд серверу

219
00:14:20,490 --> 00:14:23,100
или шта се дешава на бацк-енд сервера,

220
00:14:23,100 --> 00:14:29,220
не толико апликације које имају ризично понашање које су само једноставне клијент апликације.

221
00:14:29,220 --> 00:14:36,640
>> Они у црвено овде су разлике између 2 листа.

222
00:14:36,640 --> 00:14:40,740
А неки од мог тима истраживања је заправо допринео овом пројекту,

223
00:14:40,740 --> 00:14:44,570
па ћемо видети шта ће се десити током времена, али мислим да је овде понети

224
00:14:44,570 --> 00:14:47,550
ми не знамо шта је списак 10 најбољих у мобилним апликацијама, јер

225
00:14:47,550 --> 00:14:50,510
они су заиста само је око 2 до 3 година,

226
00:14:50,510 --> 00:14:57,750
и није било довољно времена да се заиста истраживање оперативне системе

227
00:14:57,750 --> 00:15:00,450
и шта су све способни, а није било довољно времена

228
00:15:00,450 --> 00:15:06,870
за злонамерног заједницу, ако хоћете, да је провео довољно времена

229
00:15:06,870 --> 00:15:12,910
покушавају да нападну корисницима преко мобилних апликација, тако да очекујем ове листе да промените мало.

230
00:15:12,910 --> 00:15:18,720
Али за сада, ово су топ 10 ствари о којима треба водити.

231
00:15:18,720 --> 00:15:24,150
Можда се питате на мобилном страни где ради злонамерни код мобилне-

232
00:15:24,150 --> 00:15:28,880
како то да се на уређају?

233
00:15:28,880 --> 00:15:35,210
Северна Каролина држава има пројекат под називом Мобилни злонамерних Геном Пројекта

234
00:15:35,210 --> 00:15:39,520
где су прикупљање што више мобилни злонамерних програма као што могу и да анализирају,

235
00:15:39,520 --> 00:15:45,270
и они оборио ињекције векторе који мобилни малвер користи,

236
00:15:45,270 --> 00:15:51,490
и 86% користи технику названу препакивање,

237
00:15:51,490 --> 00:15:54,160
и то је само на Андроид платформи

238
00:15:54,160 --> 00:15:56,720
да ли заиста овај препакивања.

239
00:15:56,720 --> 00:16:03,100
>> Разлог је андроид код је изграђен са

240
00:16:03,100 --> 00:16:08,130
Јава бајт код назива Далвик који је лако децомпилабле.

241
00:16:08,130 --> 00:16:12,460
Шта лош момак може да уради је

242
00:16:12,460 --> 00:16:16,590
узети Андроид апликацију, декомпајлира га,

243
00:16:16,590 --> 00:16:20,120
убаци свој злонамерни код, компајлирате га,

244
00:16:20,120 --> 00:16:28,070
а затим га ставите у Апп Сторе одаје утисак да нова верзија те апликације,

245
00:16:28,070 --> 00:16:30,330
или само можда промени име апликације.

246
00:16:30,330 --> 00:16:35,140
Ако је то била нека врста игре, нешто променити име,

247
00:16:35,140 --> 00:16:42,860
и тако то препакивање је како 86% од мобилног малваре буде дистрибуиран.

248
00:16:42,860 --> 00:16:45,810
Постоји још једна техника зове обнова која је

249
00:16:45,810 --> 00:16:50,030
веома сличан препакивања, али ви заправо не стави злонамерни код унутра

250
00:16:50,030 --> 00:16:52,870
Шта да урадите је да ставите у малом механизам ажурирања.

251
00:16:52,870 --> 00:16:56,660
Ви декомпајлира, ставите у механизам за ажурирање, а ви га компајлирате,

252
00:16:56,660 --> 00:17:02,360
а онда када апликација ради оно вуче низ злонамерних програма на уређају.

253
00:17:02,360 --> 00:17:06,300
>> До сада већина су оне 2 технике.

254
00:17:06,300 --> 00:17:12,710
Нема баш много Скините дриве-бис или дриве-би преузимања на мобилни телефон,

255
00:17:12,710 --> 00:17:15,890
који би могао бити као пхисхинг напада.

256
00:17:15,890 --> 00:17:18,200
Хеј, погледајте ово стварно кул сајт,

257
00:17:18,200 --> 00:17:21,020
или треба да идем на овај сајт и попуните овај формулар

258
00:17:21,020 --> 00:17:24,420
да наставља нешто.

259
00:17:24,420 --> 00:17:26,230
Они су пхисхинг напада.

260
00:17:26,230 --> 00:17:28,160
Иста ствар може да се деси на мобилној платформи, где су

261
00:17:28,160 --> 00:17:33,830
указују на апликације за мобилне уређаје да преузмете, каже: "Здраво, ово је Банк оф Америца."

262
00:17:33,830 --> 00:17:36,070
"Ми видимо да користите ову апликацију."

263
00:17:36,070 --> 00:17:38,540
"Требало би да преузмете ову другу апликацију."

264
00:17:38,540 --> 00:17:41,170
Теоретски, то би могло да упали.

265
00:17:41,170 --> 00:17:48,610
Можда једноставно се не користи довољно да се утврди да ли је успешан или не,

266
00:17:48,610 --> 00:17:51,680
али су открили да мање од 1% од времена које се користи техником.

267
00:17:51,680 --> 00:17:56,130
Већина времена то је заиста препакују код.

268
00:17:56,130 --> 00:17:58,710
>> Постоји још једна категорија се зове самостална

269
00:17:58,710 --> 00:18:01,420
где је неко управо гради потпуно нову апликацију.

270
00:18:01,420 --> 00:18:04,020
Они граде апликацију која тврди да јесте нешто.

271
00:18:04,020 --> 00:18:07,360
То није препакивање нешто друго, а то има злонамерни код.

272
00:18:07,360 --> 00:18:11,230
То се користи 14% времена.

273
00:18:11,230 --> 00:18:17,880
Сада желим да причам о томе шта је злонамерни код ради?

274
00:18:17,880 --> 00:18:23,070
Један од првих малваре тамо

275
00:18:23,070 --> 00:18:25,490
можете да размислите о шпијунски софтвер.

276
00:18:25,490 --> 00:18:27,620
То је у основи спиес на корисника.

277
00:18:27,620 --> 00:18:30,470
Она сакупља мејлове, СМС поруке.

278
00:18:30,470 --> 00:18:32,340
Испоставило на микрофон.

279
00:18:32,340 --> 00:18:37,330
Она жетве контакт књигу, а она га шаље ван неком другом.

280
00:18:37,330 --> 00:18:40,870
Овај тип шпијунског софтвера постоји на рачунару,

281
00:18:40,870 --> 00:18:46,200
тако да има смисла за људе да покушају да ураде ово на мобилним уређајима.

282
00:18:46,200 --> 00:18:53,230
>> Један од првих примера то је програм који се зове тајна СМС репликатор.

283
00:18:53,230 --> 00:18:56,250
То је било у Андроид Маркетплаце пре пар година,

284
00:18:56,250 --> 00:18:59,960
а идеја је била да ли сте имали приступ Андроид телефону нечији

285
00:18:59,960 --> 00:19:03,450
да сте желели да шпијунира, па можда је то ваш супружник

286
00:19:03,450 --> 00:19:07,600
или своје значајне друге и желите да шпијунира њихове текстуалне поруке,

287
00:19:07,600 --> 00:19:11,200
можете да преузмете ову апликацију и инсталирати га и конфигурисати га

288
00:19:11,200 --> 00:19:16,540
да пошаље СМС поруку на вас са копијом

289
00:19:16,540 --> 00:19:21,710
сваког СМС текстуалне поруке су добили.

290
00:19:21,710 --> 00:19:27,220
Ово очигледно је у питању кршење Апп Сторе службе,

291
00:19:27,220 --> 00:19:32,040
и ово је уклоњен са Андроид Маркетплаце у року од 18 сати је тамо био,

292
00:19:32,040 --> 00:19:36,760
па веома мали број људи су били у опасности због тога.

293
00:19:36,760 --> 00:19:42,510
Сада, мислим да ако је програм под називом нешто можда мало мање провокативан

294
00:19:42,510 --> 00:19:48,690
као тајна СМС Реплицатор вероватно би много боље радили.

295
00:19:48,690 --> 00:19:52,870
Али било је некако очигледно.

296
00:19:52,870 --> 00:19:58,680
>> Једна од ствари које можете урадити да се утврди да ли апликације имају овакво понашање које не желимо

297
00:19:58,680 --> 00:20:01,410
је да проверите код.

298
00:20:01,410 --> 00:20:06,250
То је заправо стварно лако да урадите на Андроиду, јер можемо декомпајлира апликације.

299
00:20:06,250 --> 00:20:11,050
На иОС можете да користите као дисассемблер ИДА Про

300
00:20:11,050 --> 00:20:17,190
да погледате шта Апис апликација се зове и шта ради.

301
00:20:17,190 --> 00:20:20,680
Написали смо своју бинарну статички анализатор за нашег кода

302
00:20:20,680 --> 00:20:24,940
и ми смо то урадили, па шта можете да урадите је могло би се рећи

303
00:20:24,940 --> 00:20:30,490
нема ништа уређај који је у основи шпијунира мене или ме трацкинг?

304
00:20:30,490 --> 00:20:33,360
И ја имам неке примере овде на иПхоне.

305
00:20:33,360 --> 00:20:41,440
Овај први пример је како приступити УУИД на телефону.

306
00:20:41,440 --> 00:20:47,060
То је заправо нешто што Аппле је управо забранила за нове апликације,

307
00:20:47,060 --> 00:20:52,540
али старе апликације које сте можда раде на вашем телефону може још учинити,

308
00:20:52,540 --> 00:20:56,500
и тако да јединствени идентификатор се може користити за праћење те

309
00:20:56,500 --> 00:21:00,440
у многим различитим апликацијама.

310
00:21:00,440 --> 00:21:07,180
>> На Андроид, ја имам овде од добијања локације уређаја пример.

311
00:21:07,180 --> 00:21:10,310
Можете видети да ли је АПИ позив је ту да се апликација за праћење,

312
00:21:10,310 --> 00:21:15,000
и можете да видите да ли то постаје фино место или груба локација.

313
00:21:15,000 --> 00:21:18,860
А онда на дну овде, имам пример како на БлацкБерри

314
00:21:18,860 --> 00:21:25,130
апликација може приступити е-поруке у пријемном сандучету.

315
00:21:25,130 --> 00:21:27,660
То су врсте ствари које можете да видите инспекцију

316
00:21:27,660 --> 00:21:32,360
ако апликација ради те ствари.

317
00:21:32,360 --> 00:21:38,320
Друга велика категорија злонамерног понашања, а то је вероватно сада највећа категорија,

318
00:21:38,320 --> 00:21:43,950
је неовлашћено бирање, неовлашћено премиум СМС поруке

319
00:21:43,950 --> 00:21:46,080
или неовлашћена плаћања.

320
00:21:46,080 --> 00:21:48,930
Још једна ствар која је јединствена за телефон

321
00:21:48,930 --> 00:21:52,700
је уређај закачен на рачуну,

322
00:21:52,700 --> 00:21:55,960
и када се активности на телефону

323
00:21:55,960 --> 00:21:58,510
она може да створи оптужбе.

324
00:21:58,510 --> 00:22:00,700
Можете да купите ствари преко телефона,

325
00:22:00,700 --> 00:22:04,390
и када шаљете Премиум СМС текстуалне поруке ви заправо давање новца

326
00:22:04,390 --> 00:22:11,590
на рачун носиоца телефонског броја на другој страни.

327
00:22:11,590 --> 00:22:17,420
Они су поставили да би вредност акција или добити свој дневни хороскоп или друге ствари,

328
00:22:17,420 --> 00:22:21,680
али се могу подесити да наручите производ слањем СМС текст.

329
00:22:21,680 --> 00:22:26,970
Људи дају новац Црвеном крсту слањем текстуалне поруке.

330
00:22:26,970 --> 00:22:30,650
Можете дати $ 10 на тај начин.

331
00:22:30,650 --> 00:22:34,190
>> Нападачи, шта су урадили је да су поставили

332
00:22:34,190 --> 00:22:38,750
рачуни у страним земљама, а они уградили у малваре

333
00:22:38,750 --> 00:22:42,840
да ће телефон послати премија СМС текстуалне поруке,

334
00:22:42,840 --> 00:22:47,700
кажу, неколико пута дневно, а на крају месеца схватите да сте провели

335
00:22:47,700 --> 00:22:52,090
десетине или чак стотине долара, и они отићи са новцем.

336
00:22:52,090 --> 00:22:57,280
То је било тако лоше да је ово прва ствар која Андроид

337
00:22:57,280 --> 00:23:00,760
Тржиште или Гоогле место-то је андроид Тржиште у то време,

338
00:23:00,760 --> 00:23:04,430
и сада је Гоогле Плаи-прва ствар да је Гоогле почео проверу за.

339
00:23:04,430 --> 00:23:08,700
Када је Гоогле почео са дистрибуцијом Андроид апликације у њиховом Апп Сторе

340
00:23:08,700 --> 00:23:11,350
они су рекли да нису хтели да провери за било шта.

341
00:23:11,350 --> 00:23:15,630
Ми ћемо повући апликације када смо обавештени су разбили наше услове коришћења услуге,

342
00:23:15,630 --> 00:23:17,520
али ми не идемо да проверите за било шта.

343
00:23:17,520 --> 00:23:24,350
Па, пре око годину дана што је толико лоше с овим премијум СМС текстуалне поруке малваре

344
00:23:24,350 --> 00:23:28,030
да је ово била прва ствар коју су почели проверу.

345
00:23:28,030 --> 00:23:31,770
Ако апликација можете да шаљете СМС текстуалне поруке

346
00:23:31,770 --> 00:23:34,750
они даље ручно проверавати те апликације.

347
00:23:34,750 --> 00:23:38,770
Они траже АПИ који позивају ово,

348
00:23:38,770 --> 00:23:40,580
а сада од тада Гоогле је проширио,

349
00:23:40,580 --> 00:23:46,900
али ово је била прва ствар коју су почели тражите.

350
00:23:46,900 --> 00:23:50,690
>> Неке друге апликације које су радили неке СМС текстуалне поруке,

351
00:23:50,690 --> 00:23:56,980
ово андроид Кицсомос, претпостављам да се зове.

352
00:23:56,980 --> 00:24:02,670
Било је то тренутни догађај на мобилном где ово ЦарриерИК изашао

353
00:24:02,670 --> 00:24:07,720
као шпијунски ставити на уређају од стране превозника,

354
00:24:07,720 --> 00:24:10,820
па људи су желели да знају да ли им је телефон био рањив на ово,

355
00:24:10,820 --> 00:24:13,890
и то је био слободан апп који тестира да.

356
00:24:13,890 --> 00:24:17,520
Па, наравно, оно што ова апликација урадио је то послао премиум СМС текстуалне поруке,

357
00:24:17,520 --> 00:24:20,090
па тако проверава да ли сте заражени са спиваре

358
00:24:20,090 --> 00:24:24,930
Ви учитан малвер на вашем уређају.

359
00:24:24,930 --> 00:24:27,310
Видели смо иста ствар се деси у последњем Супер Боул.

360
00:24:27,310 --> 00:24:33,180
Било је лазна верзија Мадден фудбалској утакмици

361
00:24:33,180 --> 00:24:38,320
који је послао премиум СМС текстуалне поруке.

362
00:24:38,320 --> 00:24:45,750
То је заправо покушао да створи бот мреже превише на уређају.

363
00:24:45,750 --> 00:24:48,090
Ево ја имам неке примере.

364
00:24:48,090 --> 00:24:52,640
Занимљиво, Аппле је прилично паметан,

365
00:24:52,640 --> 00:24:58,470
и они не дозвољавају апликацијама да шаљу СМС текстуалне поруке.

366
00:24:58,470 --> 00:25:00,350
Не апликација може да уради.

367
00:25:00,350 --> 00:25:03,530
То је одличан начин за добијање ослободити од целе класе рањивости,

368
00:25:03,530 --> 00:25:09,040
али на Андроид можете да урадите, и наравно, на БлацкБерри можете то учинити превише.

369
00:25:09,040 --> 00:25:13,060
Интересантно је да на БлацкБерри све што је потребно је интернет дозволе

370
00:25:13,060 --> 00:25:18,370
да пошаљете СМС текстуалне поруке.

371
00:25:18,370 --> 00:25:21,580
>> Друга ствар заиста да тражимо

372
00:25:21,580 --> 00:25:24,780
када ми тражимо да видимо да ли је нешто злонамерно је само било какав

373
00:25:24,780 --> 00:25:28,100
неовлашћена мрежна активност, попут погледајте активности мрежног

374
00:25:28,100 --> 00:25:31,570
апликација треба да има да има своју функционалност,

375
00:25:31,570 --> 00:25:35,380
а погледајте ову другу мрежну активност.

376
00:25:35,380 --> 00:25:43,380
Можда апликација, да ради, мора да добије податке преко ХТТП,

377
00:25:43,380 --> 00:25:47,500
али ако се ствари раде преко емаил-а или СМС-а или Блуетоотх-а или тако нешто

378
00:25:47,500 --> 00:25:52,890
Сада да апликација може потенцијално бити злонамеран, тако да је ово још једна ствар коју можете прегледати за.

379
00:25:52,890 --> 00:26:00,430
И на овом слајду овде имам неке примере који.

380
00:26:00,430 --> 00:26:05,950
Још једна занимљива ствар коју смо видели са злонамерних програма догодило давне 2009,

381
00:26:05,950 --> 00:26:07,600
и то се догодило у великом начин.

382
00:26:07,600 --> 00:26:11,390
Ја не знам да ли се то догодило много од тада, али је апликација

383
00:26:11,390 --> 00:26:15,140
да имперсонатед другу апликацију.

384
00:26:15,140 --> 00:26:21,700
Било је скуп апликација, и то је назван напад 09Дроид,

385
00:26:21,700 --> 00:26:29,770
и неко је одлучио да је било доста малих, регионалних, средња банака

386
00:26:29,770 --> 00:26:32,260
да није имао банкарске апликације на мрежи,

387
00:26:32,260 --> 00:26:36,870
па оно што су урадили било они изградили око 50 Онлине Банкинг апликације

388
00:26:36,870 --> 00:26:39,410
да све што су урадили је узети корисничко име и лозинку

389
00:26:39,410 --> 00:26:42,190
и преусмери те на сајт.

390
00:26:42,190 --> 00:26:47,470
И тако они ставили ово све горе у Гоогле Маркетплаце,

391
00:26:47,470 --> 00:26:51,530
у Андроид Маркетплаце, а када неко тражили да виде да ли је њихов банка

392
00:26:51,530 --> 00:26:56,000
имао неку апликацију они ће наћи лажне пријаве,

393
00:26:56,000 --> 00:27:01,230
који прикупљају своје акредитиве, а затим преусмеравају их на њиховом сајту.

394
00:27:01,230 --> 00:27:06,640
Начин да се то заправо постао-су апликације биле тамо за неколико недеља,

395
00:27:06,640 --> 00:27:09,050
и било је хиљаде и хиљаде преузимања.

396
00:27:09,050 --> 00:27:12,910
>> Начин је дошло до изражаја је неко имао проблем

397
00:27:12,910 --> 00:27:15,740
са једном од апликација, и они звали своју банку,

398
00:27:15,740 --> 00:27:18,390
и они звали корисничку подршку линију своје банке и рекао,

399
00:27:18,390 --> 00:27:21,180
"Имам проблем са банкарском апликације мобилни."

400
00:27:21,180 --> 00:27:23,460
"Можете ли ми помоћи?"

401
00:27:23,460 --> 00:27:26,540
И они су рекли, "Ми немамо банкарску апликацију мобилног."

402
00:27:26,540 --> 00:27:28,120
То почела истрагу.

403
00:27:28,120 --> 00:27:31,200
То се зове Гоогле банка, а онда Гоогле погледао и рекао,

404
00:27:31,200 --> 00:27:37,220
"Вау, исти аутор је писао 50 банковних апликација," и одвели их све доле.

405
00:27:37,220 --> 00:27:43,410
Али свакако то могло поновити.

406
00:27:43,410 --> 00:27:51,790
Постоји списак свих различитих банака овде

407
00:27:51,790 --> 00:27:55,870
да су били део ове преваре.

408
00:27:55,870 --> 00:28:02,050
Друга ствар апликација може да уради је присутан интерфејс за друге апликације.

409
00:28:02,050 --> 00:28:06,430
Док се то ради може појавити на Фацебоок УИ.

410
00:28:06,430 --> 00:28:09,540
Он каже да морате да ставите у ваше корисничко име и лозинку да бисте наставили

411
00:28:09,540 --> 00:28:15,090
или ставити било који корисничко име и лозинку интерфејс за сајт

412
00:28:15,090 --> 00:28:18,420
да можда корисник користи само да покуша да превари корисника

413
00:28:18,420 --> 00:28:21,340
у стављајући своје акредитиве за

414
00:28:21,340 --> 00:28:25,590
Ово је заиста право паралелно на е-пхисхинг напада

415
00:28:25,590 --> 00:28:28,210
где вам неко пошаље е-поруку

416
00:28:28,210 --> 00:28:33,050
и даје вам основи лажне УИ за сајт

417
00:28:33,050 --> 00:28:37,320
да имате приступ.

418
00:28:37,320 --> 00:28:41,590
>> Друга ствар тражимо у злонамерног кода је систем модификација.

419
00:28:41,590 --> 00:28:48,160
Можете погледати за све АПИ позиве које захтевају роот привилегије

420
00:28:48,160 --> 00:28:50,870
да правилно изврши.

421
00:28:50,870 --> 00:28:56,160
Промена веб проки уређаја ће бити нешто што апликација

422
00:28:56,160 --> 00:28:59,530
не би требало да буде у стању да уради.

423
00:28:59,530 --> 00:29:03,030
Али, ако апликација има код у тамо да то уради

424
00:29:03,030 --> 00:29:05,960
Ви знате да је то вероватно злонамерна апликација

425
00:29:05,960 --> 00:29:09,620
или веома високо вероватно да ће бити злонамерна апликација,

426
00:29:09,620 --> 00:29:13,910
па шта ће се десити је да ће апликација имати неки начин ескалира привилегију.

427
00:29:13,910 --> 00:29:17,200
То би имало неки привилегија ескалација екплоит

428
00:29:17,200 --> 00:29:20,730
у апликацији, а онда када је ескалирао привилегије

429
00:29:20,730 --> 00:29:23,800
то ће учинити ове измене система.

430
00:29:23,800 --> 00:29:28,010
Можете наћи малваре који има привилегију ескалацију

431
00:29:28,010 --> 00:29:32,550
у њему чак и не знајући како привилегију ескалацију

432
00:29:32,550 --> 00:29:37,960
експлоатишу ће се десити, а то је леп, једноставан начин

433
00:29:37,960 --> 00:29:41,220
да траже малвера.

434
00:29:41,220 --> 00:29:46,030
ДроидДреам је вероватно најпознатији комад Андроид злонамерних програма.

435
00:29:46,030 --> 00:29:50,530
Мислим да је то утицало око 250.000 корисника током неколико дана

436
00:29:50,530 --> 00:29:52,810
пре него што је пронађен.

437
00:29:52,810 --> 00:29:56,890
Они препакованих 50 лажних пријава,

438
00:29:56,890 --> 00:30:00,370
стави их у Андроид Апп Сторе,

439
00:30:00,370 --> 00:30:10,940
и у суштини то користи Андроид јаилбреак код ескалирају привилегије

440
00:30:10,940 --> 00:30:16,380
а затим инсталирајте команду и контролу и окрените све жртве

441
00:30:16,380 --> 00:30:20,690
у бот мрежу, али сте могли детектовати ово

442
00:30:20,690 --> 00:30:24,170
ако сте скенирање апликацију и само траже

443
00:30:24,170 --> 00:30:32,230
АПИ позива да тражи дозволу да корен правилно извршава.

444
00:30:32,230 --> 00:30:40,150
>> И ту је пример овде имам који се мења проки,

445
00:30:40,150 --> 00:30:46,380
и то је заправо доступан само на Андроид.

446
00:30:46,380 --> 00:30:49,070
Можете видети Дајем ти пуно примера на Андроид

447
00:30:49,070 --> 00:30:53,990
јер ово је место где најактивнији злонамерних екосистем је

448
00:30:53,990 --> 00:30:58,690
јер то је стварно лако за нападача да се злонамерни код

449
00:30:58,690 --> 00:31:01,470
у Андроид Маркетплаце.

450
00:31:01,470 --> 00:31:06,480
То није тако лако да то уради у Аппле Апп Сторе

451
00:31:06,480 --> 00:31:10,250
јер Аппле захтева програмерима да се идентификују

452
00:31:10,250 --> 00:31:12,790
и потписати код.

453
00:31:12,790 --> 00:31:20,340
Они заправо провери ко си ти, а Аппле је заправо испитују апликације.

454
00:31:20,340 --> 00:31:27,450
Ми не видимо много истинског малваре где се уређај узимајући компромитовани.

455
00:31:27,450 --> 00:31:32,250
Ја ћу говорити о неким примерима где је заиста приватности која постаје угрожена,

456
00:31:32,250 --> 00:31:38,460
и то је оно што се стварно дешава на Аппле уређају.

457
00:31:38,460 --> 00:31:44,090
Још једна ствар коју треба тражити злонамерног кода, ризично код у уређајима

458
00:31:44,090 --> 00:31:50,300
је логички или темпиране бомбе, и темпиране бомбе су вероватно

459
00:31:50,300 --> 00:31:53,370
много лакше да траже од логичких бомби.

460
00:31:53,370 --> 00:31:57,030
Али са временским бомбама, шта можете да урадите је да можете тражити

461
00:31:57,030 --> 00:32:04,760
места у коду где је тестирана време или апсолутног времена тражили

462
00:32:04,760 --> 00:32:08,190
пре сигурно функционалност у апп деси.

463
00:32:08,190 --> 00:32:14,200
И то би могло да се уради да сакрије ту делатност од стране корисника,

464
00:32:14,200 --> 00:32:17,510
тако се то дешава касно ноћу.

465
00:32:17,510 --> 00:32:24,350
ДроидДреам урадио све своје активности између 11 увече и 8 ујутру по локалном времену,

466
00:32:24,350 --> 00:32:30,650
да покуша да то уради док корисник не може да се користи њихов уређај.

467
00:32:30,650 --> 00:32:38,680
>> Други разлог да то урадите је ако људи користе анализу понашања за апликацију,

468
00:32:38,680 --> 00:32:43,430
покретање апликације у сандбок да видимо шта понашање апликације је,

469
00:32:43,430 --> 00:32:51,090
они могу да користе време на бази логике да уради активност

470
00:32:51,090 --> 00:32:54,640
када апликација није у песку.

471
00:32:54,640 --> 00:33:01,520
На пример, Апп Сторе као Аппле

472
00:33:01,520 --> 00:33:07,940
покреће апликацију, али они вероватно не трчите сваку апликацију за, рецимо, 30 дана

473
00:33:07,940 --> 00:33:10,550
пре одобравања, тако да можете ставити

474
00:33:10,550 --> 00:33:14,120
логика у вашој апликацији то рекао, у реду, само уради лошу ствар

475
00:33:14,120 --> 00:33:20,490
после 30 дана је прошло, или након 30 дана након објаве датума аплицирања,

476
00:33:20,490 --> 00:33:27,020
и који могу да помогну да злонамерни код се сакрити од људи инспекцијских за њега.

477
00:33:27,020 --> 00:33:30,050
Ако анти-вирус компаније раде ствари у сандбоксес

478
00:33:30,050 --> 00:33:36,370
или апп сами продавнице су ово може да помогне

479
00:33:36,370 --> 00:33:39,260
сакрити да из те инспекције.

480
00:33:39,260 --> 00:33:43,020
Сада, друга страна да је то лако наћи са статичке анализе,

481
00:33:43,020 --> 00:33:46,170
па заправо инспекцију код можете погледати на свим местима

482
00:33:46,170 --> 00:33:54,010
где апликација тестира време и инспекцију на тај начин.

483
00:33:54,010 --> 00:33:58,850
И овде имам неке примере на ове 3 различите платформе

484
00:33:58,850 --> 00:34:05,640
како се време може проверити од стране произвођача апликација

485
00:34:05,640 --> 00:34:10,520
тако да знате шта да тражите, ако сте инспекцију апликацију статично.

486
00:34:10,520 --> 00:34:14,570
>> Само сам кроз гомилу различитих злонамерних активности

487
00:34:14,570 --> 00:34:18,969
које смо видели у дивљини, али оне које су најчешћи?

488
00:34:18,969 --> 00:34:23,940
Та иста студија из Нортх Царолина Стате Мобилни Геном Пројекта

489
00:34:23,940 --> 00:34:28,560
објавио неке податке, а у основи су 4 подручја

490
00:34:28,560 --> 00:34:32,850
да су видели где је било много активности.

491
00:34:32,850 --> 00:34:35,370
37% од апликација јесте привилегија ескалацију,

492
00:34:35,370 --> 00:34:38,429
па они су имали неку врсту јаилбреак кода тамо

493
00:34:38,429 --> 00:34:42,070
где су покушали да ескалирају привилегије, тако да су могли

494
00:34:42,070 --> 00:34:48,360
Не АПИ команде приказују као оперативни систем.

495
00:34:48,360 --> 00:34:52,520
45% од апликација тамо урадио премиум СМС,

496
00:34:52,520 --> 00:34:57,260
тако да је огроман проценат који покушава да директно уновчите.

497
00:34:57,260 --> 00:35:02,640
93% урадио даљински управљач, па су покушали да оснују бот мрежу, а мобилни бот мрежу.

498
00:35:02,640 --> 00:35:08,990
И 45% убрани идентификационе информације

499
00:35:08,990 --> 00:35:16,230
као бројеви телефона, УУИДСове, ГПС локације, корисничких налога,

500
00:35:16,230 --> 00:35:22,870
и ово додаје до више од 100, јер је већина злонамерних програма покушава да уради неке од ових ствари.

501
00:35:22,870 --> 00:35:27,070
>> Идем да се пребаците на другу половину и разговарају о рањивости код.

502
00:35:27,070 --> 00:35:29,480
Ово је друга половина ризично активности.

503
00:35:29,480 --> 00:35:33,450
Ово је место где у суштини програмер прави грешке.

504
00:35:33,450 --> 00:35:37,210
Легитиман програмер писање легитимно апликацију

505
00:35:37,210 --> 00:35:41,830
прави грешке или је незналица од ризика мобилне платформе.

506
00:35:41,830 --> 00:35:44,780
Они једноставно не знају како да направе безбедну апликацију за мобилне уређаје,

507
00:35:44,780 --> 00:35:47,700
или понекад програмер не брине о стављање корисника у опасности.

508
00:35:47,700 --> 00:35:50,850
Понекад део њиховог пословног модела може да буде

509
00:35:50,850 --> 00:35:54,610
жетве личне податке корисника.

510
00:35:54,610 --> 00:35:58,090
То је нека врста друге категорије, и то је разлог зашто неки овај злонамерни

511
00:35:58,090 --> 00:36:03,200
против легитимних почне да крвари преко јер постоји разлика у мишљењима

512
00:36:03,200 --> 00:36:10,440
између онога што корисник жели и шта корисник сматра ризично

513
00:36:10,440 --> 00:36:13,050
и шта апликација програмер сматра ризично.

514
00:36:13,050 --> 00:36:18,380
Наравно, то није подаци апликацију програмера у већини случајева.

515
00:36:18,380 --> 00:36:22,030
>> И онда на крају, још један начин се то деси је програмер може повезати у

516
00:36:22,030 --> 00:36:28,600
схаред либрари који има рањивости или ово ризично понашање у њему

517
00:36:28,600 --> 00:36:32,480
без нечијег знања да њих.

518
00:36:32,480 --> 00:36:37,060
Прва категорија је осетљив података цурења,

519
00:36:37,060 --> 00:36:40,030
а то је када апликација прикупља податке

520
00:36:40,030 --> 00:36:44,980
као локацију, информације, информације адресара власника

521
00:36:44,980 --> 00:36:48,000
и шаље да искључите уређај.

522
00:36:48,000 --> 00:36:53,050
А када је ван уређаја, ми не знамо шта се дешава са том информацијом.

523
00:36:53,050 --> 00:36:57,170
Могло би се несигурно чувају од стране програмера апликација.

524
00:36:57,170 --> 00:37:02,070
Видели смо програмерима апликација се компромитован,

525
00:37:02,070 --> 00:37:05,820
и подаци да они складиштење добија узети.

526
00:37:05,820 --> 00:37:10,970
То се десило пре неколико месеци да програмер доле на Флориди

527
00:37:10,970 --> 00:37:21,660
где огроман број-ње је иПад УУИДСове и имена уређаја

528
00:37:21,660 --> 00:37:25,270
су процуреле јер је неко, мислим да је био анониман,

529
00:37:25,270 --> 00:37:29,460
тврдио да се то уради, провалили у сервере овог програмера је

530
00:37:29,460 --> 00:37:34,920
и украли милионе иПад УУИДСове

531
00:37:34,920 --> 00:37:37,390
и рачунарске имена.

532
00:37:37,390 --> 00:37:40,260
Не најризичнији информације,

533
00:37:40,260 --> 00:37:46,820
али шта ако је то било складиштење корисничких имена и лозинки

534
00:37:46,820 --> 00:37:48,170
и кућне адресе?

535
00:37:48,170 --> 00:37:51,100
Постоји много апликација које чувају ту врсту информација.

536
00:37:51,100 --> 00:37:53,230
Ризик је тамо.

537
00:37:53,230 --> 00:37:56,620
>> Друга ствар која се може десити ако је програмер не води рачуна

538
00:37:56,620 --> 00:38:01,370
да се обезбеди канал података, а то је још једна велика рањивост ћу говорити о,

539
00:38:01,370 --> 00:38:05,160
који подаци се шаљу у јасан.

540
00:38:05,160 --> 00:38:09,040
Ако корисник је на јавној Ви-Фи мрежу

541
00:38:09,040 --> 00:38:12,330
или неко њушка интернету негде

542
00:38:12,330 --> 00:38:19,260
на путу који подаци се изложен.

543
00:38:19,260 --> 00:38:23,790
Један веома познат случај ове информације цурења десило са Пандора,

544
00:38:23,790 --> 00:38:27,250
и то је нешто што смо истраживали у Верацоде.

545
00:38:27,250 --> 00:38:33,200
Чули смо да је било-Мислим да је Савезна трговинска комисија

546
00:38:33,200 --> 00:38:35,310
Истрага дешава са Пандори.

547
00:38:35,310 --> 00:38:39,830
Рекли смо, "Шта се дешава тамо? Почнимо копање у Пандора апликације."

548
00:38:39,830 --> 00:38:46,690
И оно што смо утврђено је Пандора апликација прикупљени

549
00:38:46,690 --> 00:38:51,270
Ваш пол и старост твоја,

550
00:38:51,270 --> 00:38:56,660
и она такође приступити своју ГПС локацију, као и Пандора апликацију

551
00:38:56,660 --> 00:39:00,200
урадио то за шта су рекли били легитимни разлози.

552
00:39:00,200 --> 00:39:05,360
Музика која су играли-Пандора је апликација-музички стриминг

553
00:39:05,360 --> 00:39:07,530
музика су играли је лиценциран само у Сједињеним Америчким Државама,

554
00:39:07,530 --> 00:39:13,020
па су морали да провере у складу са својим лиценцним уговорима који су имали

555
00:39:13,020 --> 00:39:17,240
за музику да корисник био у Сједињеним Државама.

556
00:39:17,240 --> 00:39:25,070
Они су такође желели да се повинује Парентал Адвисори

557
00:39:25,070 --> 00:39:33,790
око језика за одрасле у музици,

558
00:39:33,790 --> 00:39:37,500
и тако да је добровољни програм, али су желели да се придржавају да

559
00:39:37,500 --> 00:39:43,010
и не играју експлицитне текст за децу 13 и испод.

560
00:39:43,010 --> 00:39:46,280
>> Имали легитимне разлоге за прикупљање ове податке.

561
00:39:46,280 --> 00:39:49,160
Њихова апликација имали дозволе да то уради.

562
00:39:49,160 --> 00:39:52,000
Корисници мислио да је ово легитиман. Али шта се десило?

563
00:39:52,000 --> 00:39:55,810
Они повезан у 3 или 4 различите огласне библиотекама.

564
00:39:55,810 --> 00:39:59,140
Сада одједном свих ових огласних библиотекама

565
00:39:59,140 --> 00:40:02,970
добијате приступ овим истим информацијама.

566
00:40:02,970 --> 00:40:05,830
Огласне библиотеке, ако погледате код у ад библиотекама

567
00:40:05,830 --> 00:40:08,430
оно што они раде је свака библиотека оглас каже

568
00:40:08,430 --> 00:40:11,340
"Да ли мој апликација има дозволу за добијање ГПС локацију?"

569
00:40:11,340 --> 00:40:14,890
"О, то не? Ок, реци ми ГПС локацију."

570
00:40:14,890 --> 00:40:16,620
Сваки оглас библиотека то ради,

571
00:40:16,620 --> 00:40:19,740
и ако апликација нема ГПС дозволу

572
00:40:19,740 --> 00:40:23,460
она неће бити у стању да га добију, али ако се то деси, то ће га добити.

573
00:40:23,460 --> 00:40:26,240
Ово је место где пословни модел огласних библиотека

574
00:40:26,240 --> 00:40:31,160
се противи приватности корисника.

575
00:40:31,160 --> 00:40:34,980
И било је студије тамо да ће рећи ако знате узраст

576
00:40:34,980 --> 00:40:38,430
лица и знате њихову локацију

577
00:40:38,430 --> 00:40:42,530
где спавају ноћу, јер ви имате своје ГПС координате

578
00:40:42,530 --> 00:40:46,030
док они можда спавате, ви тачно знате ко је та особа

579
00:40:46,030 --> 00:40:50,230
јер можете да утврдите који члан те породице је та особа.

580
00:40:50,230 --> 00:40:54,780
Стварно ово је идентификовање оглашавачима

581
00:40:54,780 --> 00:40:59,530
тачно ко сте ви, и изгледа као да је легитимна.

582
00:40:59,530 --> 00:41:02,800
Ја само желим свој стримовање музике, а то је једини начин да га добијете.

583
00:41:02,800 --> 00:41:05,370
>> Па, изложени смо ово.

584
00:41:05,370 --> 00:41:08,030
Ми ово написао у неколико блогу,

585
00:41:08,030 --> 00:41:13,280
и испоставило се да је неко из Роллинг Стоне магазина

586
00:41:13,280 --> 00:41:18,810
прочитајте један од наших блогу и написао свој блог у Роллинг Стоне о томе,

587
00:41:18,810 --> 00:41:22,120
и сутрадан Пандора је мислио да је добра идеја

588
00:41:22,120 --> 00:41:27,600
за уклањање огласне библиотеке од њихове примене.

589
00:41:27,600 --> 00:41:31,270
Колико ја знам они су једини-они треба похвалити.

590
00:41:31,270 --> 00:41:35,770
Мислим да су једини фреемиум врста апликација која је урадила ово.

591
00:41:35,770 --> 00:41:38,660
Сви остали фреемиум апликације имају исту понашање,

592
00:41:38,660 --> 00:41:41,780
па мораш да размислите о томе шта врсте података дајете

593
00:41:41,780 --> 00:41:48,330
ови фреемиум апликације, јер све ће оглашивачима.

594
00:41:48,330 --> 00:41:53,390
Преторијанска такође урадио је студију о дељених библиотека и рекао,

595
00:41:53,390 --> 00:41:57,100
"Хајде да погледамо шта схаред библиотеке су топ схаред либрариес," а то је било подаци.

596
00:41:57,100 --> 00:41:59,420
>> Они су анализирали 53.000 апликација,

597
00:41:59,420 --> 00:42:01,900
а схаред либрари број 1 је АдМоб.

598
00:42:01,900 --> 00:42:06,060
То је заправо био у 38% апликација тамо,

599
00:42:06,060 --> 00:42:08,800
па 38% од апликација које користите

600
00:42:08,800 --> 00:42:11,250
су вероватно жетве ваше личне податке

601
00:42:11,250 --> 00:42:16,650
и слањем огласних мрежа.

602
00:42:16,650 --> 00:42:19,350
Апацхе и Андроид су 8% и 6%,

603
00:42:19,350 --> 00:42:22,960
и онда ови други они доле на дну, Гоогле огласи, Флурри,

604
00:42:22,960 --> 00:42:26,600
Моб Град и Миленијумског Медији,

605
00:42:26,600 --> 00:42:30,500
то су све огласне компаније, а онда, занимљиво,

606
00:42:30,500 --> 00:42:33,500
4% повезани у Фацебоок библиотеци

607
00:42:33,500 --> 00:42:38,870
Вероватно да уради аутентификацију преко Фацебоок

608
00:42:38,870 --> 00:42:40,810
па апликација могла да потврди аутентичност Фацебоок.

609
00:42:40,810 --> 00:42:44,660
Али то такође значи корпорацију на Фацебоок контролише код

610
00:42:44,660 --> 00:42:49,010
да се ради у 4% од Андроид мобилних апликација тамо,

611
00:42:49,010 --> 00:42:53,490
и они имају приступ свим подацима које је апликација има дозволу да се на.

612
00:42:53,490 --> 00:42:57,170
Фацебоок у суштини покушава да прода огласни простор.

613
00:42:57,170 --> 00:43:00,120
То је њихов пословни модел.

614
00:43:00,120 --> 00:43:02,920
>> Ако погледате цео овај екосистем са овим дозволама

615
00:43:02,920 --> 00:43:07,740
а схаред либрариес почнете да се види да

616
00:43:07,740 --> 00:43:13,850
имате пуно ризика у наводно легитимне апликације.

617
00:43:13,850 --> 00:43:19,360
Исто као што се десило са Пандора

618
00:43:19,360 --> 00:43:22,340
десило са апликацијом под називом Пут,

619
00:43:22,340 --> 00:43:27,660
Путања и мислили они били од помоћи, пријатељски програмери.

620
00:43:27,660 --> 00:43:32,160
Они су само покушавали да вам дају велику кориснички доживљај,

621
00:43:32,160 --> 00:43:37,810
и испоставило се да је без питања корисника или говори било шта корисник-

622
00:43:37,810 --> 00:43:40,400
и то се десило на иПхоне и на Андроид,

623
00:43:40,400 --> 00:43:44,420
Пандора апликација била на иПхоне и Андроид-

624
00:43:44,420 --> 00:43:48,890
да Пут апликација је зграбио целу адресар

625
00:43:48,890 --> 00:43:52,830
и то уплоад на путу само када сте инсталирали и водио апликацију,

626
00:43:52,830 --> 00:43:55,840
и нису вам кажем о томе.

627
00:43:55,840 --> 00:43:58,750
Они су мислили да је стварно корисно за вас

628
00:43:58,750 --> 00:44:04,040
да би могли да поделе са свим људима у адресару

629
00:44:04,040 --> 00:44:06,920
да користите путању апликације.

630
00:44:06,920 --> 00:44:09,490
>> Па, очигледно Пут мислио да је ово сјајно за њихову компанију.

631
00:44:09,490 --> 00:44:13,510
Не тако сјајно кориснику.

632
00:44:13,510 --> 00:44:19,020
Морате да мислите да је то једна ствар, ако можда тинејџер

633
00:44:19,020 --> 00:44:23,700
користи ову апликацију и њихови пријатељи су десетине тамо,

634
00:44:23,700 --> 00:44:29,360
али шта ако је директор компаније која инсталира Патх

635
00:44:29,360 --> 00:44:33,170
а онда одједном целом адресару је тамо?

636
00:44:33,170 --> 00:44:38,310
Ти ћеш добити доста потенцијално вредних контакт информације

637
00:44:38,310 --> 00:44:40,920
за много људи.

638
00:44:40,920 --> 00:44:44,500
Новинар Нев Иорк Тимеса, можда ћете моћи да добију број телефона

639
00:44:44,500 --> 00:44:47,380
за бившим председницима из своје адресар,

640
00:44:47,380 --> 00:44:54,780
тако очигледно много осетљивих информација се пребацује са овако нешто.

641
00:44:54,780 --> 00:44:58,090
Било је тако велики режањ о томе да Патх извинио.

642
00:44:58,090 --> 00:45:01,610
Они су променили своју апликацију, и то чак утицало Аппле.

643
00:45:01,610 --> 00:45:06,950
Аппле је, "Ми ћемо натерати апп продаваца да подстакне кориснике

644
00:45:06,950 --> 00:45:12,650
ако идете да прикупи целу своју адресар. "

645
00:45:12,650 --> 00:45:15,360
>> Изгледа да оно што се овде дешава је

646
00:45:15,360 --> 00:45:19,430
када постоји једна велика повреда приватности и чини штампу

647
00:45:19,430 --> 00:45:21,680
видимо промену вани.

648
00:45:21,680 --> 00:45:23,230
Али наравно, има и других ствари тамо.

649
00:45:23,230 --> 00:45:27,440
ЛинкедИн апликација жетве своје ставке календара,

650
00:45:27,440 --> 00:45:34,530
али Аппле не би корисник се тражити за то.

651
00:45:34,530 --> 00:45:38,030
Ставке у календару може имати поверљиве информације у њима превише.

652
00:45:38,030 --> 00:45:40,000
Где ћеш повући црту?

653
00:45:40,000 --> 00:45:43,960
Ово је заиста врста еволуира место

654
00:45:43,960 --> 00:45:47,640
где заиста нема добар стандард тамо

655
00:45:47,640 --> 00:45:51,990
корисницима да разумеју када им информације ће бити у опасности

656
00:45:51,990 --> 00:45:57,820
и када они ће знати то се узима.

657
00:45:57,820 --> 00:46:03,040
Написали смо апликацију на Верацоде зове Адио,

658
00:46:03,040 --> 00:46:08,350
и у основи је дозвољено да укаже на апликацију иТунес директоријуму

659
00:46:08,350 --> 00:46:12,550
и погледајте све апликације које су беру свој пуни адресар.

660
00:46:12,550 --> 00:46:19,760
И као што можете видети на овом списку овде, Ангри Бирдс,

661
00:46:19,760 --> 00:46:21,590
АИМ, АроундМе.

662
00:46:21,590 --> 00:46:24,050
Зашто Ангри Бирдс треба адресар?

663
00:46:24,050 --> 00:46:29,160
Не знам, али некако не.

664
00:46:29,160 --> 00:46:32,310
>> То је нешто што много, много апликација уради.

665
00:46:32,310 --> 00:46:34,780
Можете да проверите код за ово.

666
00:46:34,780 --> 00:46:38,660
Има добро дефинисане функције за иПхоне, Андроид и БлацкБерри

667
00:46:38,660 --> 00:46:42,120
да се у адресару.

668
00:46:42,120 --> 00:46:48,520
Можете да заиста лако испитати за то, а то је оно што смо урадили у нашем Адиос апликацији.

669
00:46:48,520 --> 00:46:52,320
Следећа категорија, несигурна Осетљиве складиштење података,

670
00:46:52,320 --> 00:46:55,670
је нешто где програмери узети нешто попут игле или број рачуна

671
00:46:55,670 --> 00:46:58,530
или лозинку и чувајте је на јасан на уређају.

672
00:46:58,530 --> 00:47:02,310
Још горе, они би то складишти у области на телефону

673
00:47:02,310 --> 00:47:06,820
који је глобално доступан, као и СД картице.

674
00:47:06,820 --> 00:47:11,320
Чешће можете видети на Андроид Андроид јер омогућава СД картице.

675
00:47:11,320 --> 00:47:13,200
ИПхоне уређаји не.

676
00:47:13,200 --> 00:47:17,900
Али чак и како се то десило у Цитигроуп апликацији.

677
00:47:17,900 --> 00:47:25,450
Њихова примена онлајн банкарство чувају бројеве рачуна несигурно,

678
00:47:25,450 --> 00:47:28,120
само у јасно, па ако сте изгубили ваш уређај,

679
00:47:28,120 --> 00:47:30,670
суштини сте изгубили ваш банковни рачун.

680
00:47:30,670 --> 00:47:36,000
То је разлог зашто ја лично не банкарство на мој иПхоне.

681
00:47:36,000 --> 00:47:43,710
Мислим да је сувише ризично да сада радите ове врсте активности.

682
00:47:43,710 --> 00:47:45,950
>> Скипе урадио исту ствар.

683
00:47:45,950 --> 00:47:49,870
Скипе, наравно, има равнотежу налог, корисничко име и лозинку

684
00:47:49,870 --> 00:47:51,030
да приступите ту равнотежу.

685
00:47:51,030 --> 00:48:00,080
Они су складиштење све те информације у јасно на мобилном уређају.

686
00:48:00,080 --> 00:48:05,760
Имам неке примере овде стварања фајлова

687
00:48:05,760 --> 00:48:10,310
који немају праве дозволе или писање на диск

688
00:48:10,310 --> 00:48:17,260
а не да свака енкрипција десити за то.

689
00:48:17,260 --> 00:48:20,190
Овај следећи област, несигурна Осетљиве Пренос података,

690
00:48:20,190 --> 00:48:24,450
Ја сам алудирао на то неколико пута, а због јавне Ви-Фи

691
00:48:24,450 --> 00:48:27,770
ово је нешто што апсолутно аппс треба да урадите,

692
00:48:27,770 --> 00:48:31,250
и то је вероватно оно што видимо да крене наопако највише.

693
00:48:31,250 --> 00:48:34,920
Ја бих рекао-заправо, мислим да имам стварне податке,

694
00:48:34,920 --> 00:48:38,120
али то је близу половине мобилних апликација

695
00:48:38,120 --> 00:48:41,780
зајебеш раде ССЛ.

696
00:48:41,780 --> 00:48:43,910
Они једноставно не користе АПИ исправно.

697
00:48:43,910 --> 00:48:47,970
Мислим, све што имаш да урадите је да пратите упутства и користите АПИ,

698
00:48:47,970 --> 00:48:54,720
али они не ствари као што не проверите да ли је неважећи сертификат на другом крају,

699
00:48:54,720 --> 00:49:02,120
не проверите да ли је други крај покушава да уради протокол низбрдици напад.

700
00:49:02,120 --> 00:49:07,200
>> Програмери, они желе да добију потврду, зар не?

701
00:49:07,200 --> 00:49:11,910
Њихов захтев је да се користи ово да прода. Они су користили ово да прода.

702
00:49:11,910 --> 00:49:14,800
Услов је да не користе ово да безбедно продати,

703
00:49:14,800 --> 00:49:19,680
па то је разлог зашто су све апликације које користе ССЛ да обезбеди податке

704
00:49:19,680 --> 00:49:23,470
како је се преноси искључен уређај заиста треба да буде прегледан

705
00:49:23,470 --> 00:49:28,950
да се уверите да је исправно имплементиран.

706
00:49:28,950 --> 00:49:32,850
И овде имам неке примере где можете видети апликацију

707
00:49:32,850 --> 00:49:37,400
Можда користећи ХТТП уместо ХТТПС.

708
00:49:37,400 --> 00:49:40,510
У неким случајевима апликације ће пасти назад на ХТТП

709
00:49:40,510 --> 00:49:44,250
ако ХТТПС не ради.

710
00:49:44,250 --> 00:49:49,070
Имам још један позив овде на Андроиду где су они онемогућио чек сертификат,

711
00:49:49,070 --> 00:49:51,700
па човек-у-средње-напад може да се деси.

712
00:49:51,700 --> 00:49:56,370
Неважећи сертификат ће бити прихваћен.

713
00:49:56,370 --> 00:50:01,920
То су сви случајеви где су нападачи ће бити у стању да се на

714
00:50:01,920 --> 00:50:07,150
исти Ви-Фи веза као корисник и приступ свим подацима

715
00:50:07,150 --> 00:50:11,650
да се шаљу преко интернета.

716
00:50:11,650 --> 00:50:15,970
>> И коначно, последња категорија ја овде имам је Хардцодед лозинком и тастери.

717
00:50:15,970 --> 00:50:21,470
Ми заправо видимо доста програмера користе исти стил кодирања

718
00:50:21,470 --> 00:50:25,900
да су урадили када су градили веб сервер апликација,

719
00:50:25,900 --> 00:50:29,700
па они граде Јава сервер апликација, а они хардцодинг кључ.

720
00:50:29,700 --> 00:50:31,940
Па, када правите апликацију сервера, да,

721
00:50:31,940 --> 00:50:34,240
хардцодинг кључ није добра идеја.

722
00:50:34,240 --> 00:50:36,290
То га чини тешко променити.

723
00:50:36,290 --> 00:50:40,700
Али то није тако лоше на страни сервера, јер ко има приступ серверу?

724
00:50:40,700 --> 00:50:43,140
Само администратори.

725
00:50:43,140 --> 00:50:48,100
Али, ако узмете исту шифру и ти га сипа преко апликације на мобилни

726
00:50:48,100 --> 00:50:52,550
Сада свако ко има да мобилна апликација има приступ том кључу Хардцодед,

727
00:50:52,550 --> 00:50:56,380
и ми заправо видимо ово много пута, и ја имам неке статистике

728
00:50:56,380 --> 00:51:00,920
на колико често видимо ово деси.

729
00:51:00,920 --> 00:51:04,940
То је заправо било у примеру кода који МастерЦард објављеном

730
00:51:04,940 --> 00:51:06,850
о томе како да користе њихове услуге.

731
00:51:06,850 --> 00:51:11,860
Пример код показала како би само узети лозинку

732
00:51:11,860 --> 00:51:14,850
и ставио га у Хардцодед стринг тамо,

733
00:51:14,850 --> 00:51:19,380
и ми знамо како програмери воле да копирате и налепите код и

734
00:51:19,380 --> 00:51:22,360
када они покушавају да ураде нешто, тако да копирате и налепите фрагмент кода

735
00:51:22,360 --> 00:51:28,450
да су они дали као пример код, а ви имате несигуран апликацију.

736
00:51:28,450 --> 00:51:31,490
>> И овде имамо неке примере.

737
00:51:31,490 --> 00:51:35,840
Ово прво је један видимо доста где хардцоде

738
00:51:35,840 --> 00:51:40,510
право подаци у УРЛ који бива послат.

739
00:51:40,510 --> 00:51:45,120
Понекад видимо стринг пассворд = лозинку.

740
00:51:45,120 --> 00:51:49,060
То је прилично лако открити, или ниска лозинка на БлацкБерри и Андроид.

741
00:51:49,060 --> 00:51:53,680
То је заправо прилично лако да се провери, јер скоро увек

742
00:51:53,680 --> 00:51:57,030
имена девелопер променљива која држи лозинку

743
00:51:57,030 --> 00:52:02,290
неке варијације од лозинке.

744
00:52:02,290 --> 00:52:05,200
Поменуо сам да ми урадимо статичке анализе у Верацоде,

745
00:52:05,200 --> 00:52:11,790
па ми смо анализирали неколико стотина Андроид и иОС апликација.

746
00:52:11,790 --> 00:52:15,160
Ми смо изградили пуне моделе њих, а ми смо у стању да их скенира

747
00:52:15,160 --> 00:52:19,280
за различите пропусте, посебно рањивости сам причао,

748
00:52:19,280 --> 00:52:21,050
и ја имам неке податке овде.

749
00:52:21,050 --> 00:52:24,320
68,5% од Андроид апликација смо гледали

750
00:52:24,320 --> 00:52:28,590
је сломљена криптографски код,

751
00:52:28,590 --> 00:52:33,240
који за нас, не можемо открити ако сте направили свој крипто рутину,

752
00:52:33,240 --> 00:52:38,980
Није да је то добра идеја, али то је заправо користећи објављене АПИ

753
00:52:38,980 --> 00:52:42,530
који су на платформи али то их на такав начин

754
00:52:42,530 --> 00:52:46,680
да би крипто бити рањив, 68.5.

755
00:52:46,680 --> 00:52:49,870
И то је за људе који су нам шаљу своје пријаве заправо зато

756
00:52:49,870 --> 00:52:53,730
они мисле да је то добра идеја да се уради тестирање безбедности.

757
00:52:53,730 --> 00:52:56,960
То су већ људи који су вероватно размишљају сигурно,

758
00:52:56,960 --> 00:52:59,540
тако да је вероватно још горе.

759
00:52:59,540 --> 00:53:02,690
>> Ја нисам говорио о контролном лине феед ињекције.

760
00:53:02,690 --> 00:53:07,640
То је нешто што смо проверили, али то није тако ризично питање.

761
00:53:07,640 --> 00:53:15,390
Информације цурења, ово је место где се осетљиви подаци се шаљу ван уређаја.

762
00:53:15,390 --> 00:53:19,270
Утврдили смо да је у 40% апликација.

763
00:53:19,270 --> 00:53:23,540
Време и државе, они су раса типа услов питања, обично прилично тешко да искористе,

764
00:53:23,540 --> 00:53:26,170
па ја нисам говорио о томе, али смо гледали.

765
00:53:26,170 --> 00:53:28,750
23% је имало проблема СКЛ Ињецтион.

766
00:53:28,750 --> 00:53:32,020
Многи људи не знају да је много пријава

767
00:53:32,020 --> 00:53:35,880
користи мали мало СКЛ базу података о свом задњем крају за складиштење података.

768
00:53:35,880 --> 00:53:40,430
Па, ако подаци које сте отимања преко мреже

769
00:53:40,430 --> 00:53:43,800
има СКЛ ињецтион напад конце у њему

770
00:53:43,800 --> 00:53:45,970
неко може да угрози уређај кроз који,

771
00:53:45,970 --> 00:53:49,800
па ја мислим да смо пронашли око 40% од веб апликација имају овај проблем,

772
00:53:49,800 --> 00:53:52,840
који је огроман проблем епидемија.

773
00:53:52,840 --> 00:53:55,740
Сматрамо да је 23% времена у мобилним апликацијама

774
00:53:55,740 --> 00:54:02,030
и то је вероватно зато што много више веб апликације користе СКЛ него мобилни.

775
00:54:02,030 --> 00:54:05,580
>> И онда ми и даље видимо неке крос-сите сцриптинг, питања овлашћења,

776
00:54:05,580 --> 00:54:09,400
а затим акредитива управљање, то је место где имате Хардцодед лозинку.

777
00:54:09,400 --> 00:54:14,540
У 5% апликација видимо да.

778
00:54:14,540 --> 00:54:17,970
И онда имамо неке податке о иОС.

779
00:54:17,970 --> 00:54:20,180
81% је имало проблема грешка руковање.

780
00:54:20,180 --> 00:54:23,130
Ово је више проблем квалитета код,

781
00:54:23,130 --> 00:54:28,010
али 67% је имало криптографских проблема, па не баш толико лоше као Андроид.

782
00:54:28,010 --> 00:54:32,440
Можда су АПИ су мало лакше, пример кодови мало боље на иОС.

783
00:54:32,440 --> 00:54:35,420
Али и даље веома висок проценат.

784
00:54:35,420 --> 00:54:39,040
Имали смо 54% ​​са информације цурења,

785
00:54:39,040 --> 00:54:42,080
око 30% са грешкама бафер управљања.

786
00:54:42,080 --> 00:54:45,930
То је место где постоји потенцијално могао бити проблем корупције меморије.

787
00:54:45,930 --> 00:54:50,350
Испоставило се да то није толико проблем за експлоатацију

788
00:54:50,350 --> 00:54:56,450
на иОС јер сви код мора да буде потписан,

789
00:54:56,450 --> 00:55:02,210
тако да је тешко за нападачу да изврши произвољног кода на иОС.

790
00:55:02,210 --> 00:55:07,880
Код квалитет, директоријум траверсал, али онда акредитиве управљање овде на 14,6%,

791
00:55:07,880 --> 00:55:09,250
па горе него на Андроиду.

792
00:55:09,250 --> 00:55:13,240
Имамо људи нису правилно руковање лозинке.

793
00:55:13,240 --> 00:55:15,790
А онда нумеричке грешке и бафера,

794
00:55:15,790 --> 00:55:22,680
оне су више ће бити квалитетни број питања на иОС.

795
00:55:22,680 --> 00:55:26,110
>> То је било за моју презентацију. Ја не знам да ли смо од времена или не.

796
00:55:26,110 --> 00:55:29,540
Ја не знам да ли постоји било каква питања.

797
00:55:29,540 --> 00:55:33,220
[Мушко] брзо питање око фрагментације и Андроид тржишту.

798
00:55:33,220 --> 00:55:36,240
Јабука барем поседује закрпа.

799
00:55:36,240 --> 00:55:40,780
Они раде добар посао за добијање га тамо док је нешто мање у Андроид простору.

800
00:55:40,780 --> 00:55:44,280
Скоро Потребно је да јаилбреак свој телефон да остану струја

801
00:55:44,280 --> 00:55:46,660
са тренутном ослобађање Андроид.

802
00:55:46,660 --> 00:55:50,960
Да, то је велики проблем и тако, ако мислите о томе-

803
00:55:50,960 --> 00:55:52,280
[Мушко] Зашто не можеш то поновити?

804
00:55:52,280 --> 00:55:55,610
>> Ох, да, тако је било питање шта је фрагментација

805
00:55:55,610 --> 00:56:00,410
од оперативног система Андроид платформи?

806
00:56:00,410 --> 00:56:05,890
Како то утиче на ризичност ових уређаја?

807
00:56:05,890 --> 00:56:09,700
И то је заправо огроман проблем, јер оно што се дешава је

808
00:56:09,700 --> 00:56:15,110
старији уређаји, када неко долази са јаилбреак за тај уређај,

809
00:56:15,110 --> 00:56:19,960
у суштини то је привилегија ескалација, и док то оперативни систем је ажуриран

810
00:56:19,960 --> 00:56:25,350
било који малвер може затим користити ту рањивост да потпуно компромитује уређај,

811
00:56:25,350 --> 00:56:30,200
и оно што видимо на Андроид је у циљу добијања новог оперативног система

812
00:56:30,200 --> 00:56:34,690
Гоогле има да стави ван оперативни систем, а затим је произвођач хардвера

813
00:56:34,690 --> 00:56:39,390
мора да га прилагодите, а затим превозник мора да га прилагодите и доставити га.

814
00:56:39,390 --> 00:56:43,070
Ви у основи имају 3 покретних делова овде,

815
00:56:43,070 --> 00:56:47,210
и то је изласком да носиоци није брига,

816
00:56:47,210 --> 00:56:50,400
и произвођачи хардвера не брину, а Гоогле није их довољно гурање

817
00:56:50,400 --> 00:56:54,430
да ништа, па у суштини више од половине уређаја тамо

818
00:56:54,430 --> 00:57:00,590
имају оперативне системе који имају ове ескалације привилегија рањивости у њима,

819
00:57:00,590 --> 00:57:08,440
па ако се малвер на вашем Андроид уређају је много већи проблем.

820
00:57:08,440 --> 00:57:10,350
>> Ок, хвала вам пуно.

821
00:57:10,350 --> 00:57:12,310
[Аплауз]

822
00:57:12,310 --> 00:57:14,310
[ЦС50.ТВ]