[Семинар] [Одбрана Иза Уређајем: Мобилна апликација Безбедност]
 [Крис Висопал] [Универзитет Харвард]
 [Ово је ЦС50.] [ЦС50.ТВ]
 

Добар дан. Моје име је Крис Висопал.
 Ја сам ЦТО и суоснивач Верацоде.
 Верацоде је безбедност апликација компанија.
 Ми тестирамо све врсте различитих апликација,
 и шта ћу данас говорити је безбедност мобилних апликација.
 Моја позадина је сам радила истраживање безбедности
 за веома дуго, вероватно отприлике онолико дуго колико било ко.
 Почео сам средином 90-их,
 и било је време да је било прилично интересантно јер
 смо имали промену парадигме у средином 90-их.
 Одједном рачунару свима био закачен на интернет,
 а онда смо имали почетке веб апликација,
 и то је оно што сам фокусиран на много тада.
 То је интересантно.
 Сада имамо још једну промену парадигме дешава са рачунара,
 који је помак за мобилне апликације.
 

Осећам да је то нека врста сличног времена онда је то било у касним 90-их
 када смо били истражује веб апликација и проналажење кварова као што
 грешке управљање сесија и СКЛ ињецтион
 који заиста није постојала пре, и одједном су свуда били
 у веб апликацијама, а сада много времена проводим
 гледа на мобилним апликацијама и гледа шта се дешава тамо у дивљини.
 Мобилне апликације су заиста ће бити доминантна рачунарска платформа,
 па ми стварно треба да потрошите много времена и ако сте у безбедносној индустрији
 фокусирајући се на веб апликацијама.
 Било је 29 милијарде мобилних апликација скинута у 2011.
 То је предвидео да буде 76 милијарди апликација до 2014.
 Постоји 686 милиона уређаја које ће се купити ове године,
 па ово је место где људи иду да се ради
  већина њиховог клијента рачунарства иде напред.
 

Разговарао сам са потпредсједница Фиделити Инвестментс
 Пре пар месеци, а он је рекао да управо видели више саобраћаја
 ради финансијске трансакције из њихове базе клијената
 на њихове мобилне апликације него на њиховом сајту,
 тако честа употреба за Веб у прошлости био
 провере своје цитате залиха, управљање свој портфолио,
 и ми заправо видимо да у 2012 прекидач преко
 да буде доминантан на мобилне платформе.
 Свакако, ако постоји ће бити криминална делатност,
 било злонамерна активност, то ће почети да се фокусира на мобилној платформи
 током времена као људи прелазе на то.
 Ако погледате на мобилној платформи,
 да погледате ризика платформе то је корисно да га разбити у различитим слојевима,
 баш као што би то урадио на стоном рачунару,
 а ви размислите о различитим слојевима, софтвер, оперативни систем,
 мрежни слој, слој хардвер, и наравно, ту је рањивост на свим тим слојевима.
 

Иста ствар се дешава на мобилном.
 Али мобилни, изгледа да су неки од тих слојева су лошије.
 За једну, мрежни слој је више проблематично на мобилном
 јер многи људи имају у својој канцеларији или код куће
 виред везе или они имају сигурне Ви-Фи везе,
 и са много мобилних уређаја сте очигледно си ван куће
 или ван канцеларије много, а ако користите Ви-Фи тамо
 можда користите небезбедну Ви-Фи везе,
 нешто што је јавни Ви-Фи веза,
 па кад размишљамо о мобилним апликацијама морамо да узмемо у обзир
 да мрежа окружење је ризичније за оне апликације
 када Ви-Фи користи.
 И кад сам се у више од ризика мобилних апликација
 видећете зашто је то важније.
 Постоје ризици на хардверском нивоу на мобилним уређајима.
 Ово је област току истраживања.
 Људи зову ове широкопојасне напади или напади Басебанд
 где сте нападају фирмвер који се слуша на радију.
 

То су заиста страшне нападе, јер
 корисник не мора ништа да радите.
 Можете да удари много уређаја унутар опсега РФ
 одједном, и чини се као да сваки пут када ово истраживање бубблес горе
 она брзо добија класификован где
 људи кидисати на око и кажем, "Ево, реците нам нешто о томе, и молим вас престану да причају о томе."
 Има нека истраживања дешава у области широкопојасног,
 али изгледа да је веома Хусх Хусх.
 Мислим да је више од националне државе врсти истраживања која се дешава.
 Подручје активног истраживања, иако, је оперативни систем слој,
 и, ово је поново другачије него у десктоп рачунарства света
 јер у мобилном простору имате ове тимове људи зову Јаилбреакерс,
 и Јаилбреакерс су другачији од редовних истраживача угрожености.
 Они покушавају да пронађу рањивости у оперативном систему,
 али разлог они покушавају да пронађу рањивости није да
 провали у машину туђи и компромис га.
 То је да се пробије у свом рачунару.
 

Они желе да се пробије у свом мобилном телефону, модификовати оперативни систем своје мобилне екипе
 тако да они могу покренути апликације по свом избору
 и променити ствари са пуним административним дозволама,
 и они не желе да кажу продавац о томе. Они не воле сигурносни истраживач који је бели шешир истраживач безбедности
 који ће учинити одговорно откривање и реци продавцу о томе.
 Они желе да ураде ово истраживање, и они желе да заправо га објави
 у екплоит или рооткит или јаилбреак кода,
 и они желе да то урадите стратешки, као после
 Продавац испоручује нови оперативни систем.
 Имате ову супарничком однос
 са рањивостима ОС-нивоу на мобилни,
 што мислим да је веома интересантно, а једно место је видимо
 се то чини тако да тамо постоји добра објавио екплоит код
 за рањивости језгро нивоу,
 и видели смо оне заправо се користе злонамерних писаца.
 То је мало другачији од ПЦ свету.
 И онда завршни слој је горњи слој, слој апликација.
 То је оно што ћу говорити о данас.
 

Остали слојеви постоје, а остали слојеви играју у њега,
 али ја углавном идем да причам о томе шта се дешава на апликативном нивоу
 где је број ради у сандбок.
 Он нема администраторске привилегије.
 Она мора да користи АПИ на уређају,
 али ипак, много злонамерних активности и доста ризика може да се деси у том слоју
 јер је то слој где су све информације.
 Апликације могу да приступе све информације о уређају
 ако они имају право дозволе,
 и они могу да приступе различите сензоре на уређају,
 ГПС сензор, микрофон, камера, оно што имате.
 Иако смо само говоримо о на апликационом слоју
 имамо доста ризика тамо.
 Друга ствар која се разликује о мобилном окружењу
 се сви играчи оперативног система, било БлацкБерри или Андроид
 или иОС или Виндовс Мобиле, сви они имају фину зрнасту дозволу модел,
 и ово је један од начина да се уграђене у оперативни систем
 идеја да то није као ризично као што мислите.
 Иако имате све своје контакте на ту, сви ваши лични подаци,
 имате своје фотографије, имате своју локацију на тамо,
 ви складиштење свој банковни иглу за ауто логовање на ту, то је сигурно зато што
 апликације морају да имају одређене дозволе да се у појединим деловима
 информације о уређају, као и корисник мора да буде представљен са
 ове дозволе и кажем у реду.
 

Проблем са њим је корисник увек каже у реду.
 Као безбедности лице, знам да могу да затражи од корисника,
 рећи нешто стварно лоше ће се десити, да ли желите да се то деси?
 А ако су у журби, или је нешто заиста мами на другој страни да,
 као игра ће бити инсталиран да су они чекали,
 они ће кликнете ок.
 Зато ја кажем на мом слајду овде само ми већ Хитац птице на свиње,
 и можете да видите на слајду овде има примера БлацкБерри дозволе кутији.
 Он каже: "Молим вас поставите апликације дозволе БлацкБерри путовања
 након клика дугме испод ", а у суштини је само корисник ће рећи
 подесите дозволе и сачувати.
 Ево андроид брз где се показује ствари,
 и то је заправо ставља нешто што готово личи на упозорење.
 Има неку врсту приноса знак тамо кажу мрежа за комуникацију, телефонски позив,
 али корисник ће кликом инсталира, зар не?
 А онда је један Аппле је потпуно безопасно.
 То не даје било какву упозорења.
 То је само Аппле жели да користи вашу тренутну локацију.
 Наравно да ћеш да кликнете ок.
 

Има ово фине структуре дозвола модела,
 и апликације морају имати манифест фајл где прогласи
 дозволе им је потребно, и да ће се приказати кориснику,
 и корисник ће морати да каже да одобри ове дозволе.
 Али, будимо искрени.
 Корисници су само ће увек рећи у реду.
 Хајде да брзи поглед на дозволама које ове апликације су тражили
 и неки од дозвола које су тамо.
 Ова компанија преторијанска урадио анкету прошле године
 од 53.000 апликација анализираних у Андроид Маркет и 3рд парти тржиштима,
 тако да је ово све Андроид.
 А просечна апликација затражила 3 ​​дозволе.
 Неке апликације тражио 117 дозволе,
 тако очигледно су веома добро зрнасту и сувише сложен за корисника да разумеју
 ако они представили са овом апликацијом која треба ових 117 дозволе.
 То је као корисника уговора о лиценцирању крајњег који је дуго 45 страна.
 Можда ускоро ће имати опцију где је као
 принт дозволе и пошаљите ми е-маил.
 

Али ако погледате неке од најбољих занимљивих дозволе
 24% од апликација које су преузете из 53.000
 затражио информације од ГПС уређаја.
 8% чита контакте.
 4% је послао СМС поруку, а 3% примљених СМС.
 2% забележен звук.
 1% обрађује одлазне позиве.
 Не знам.
 Не мислим 4% од апликација у Апп Сторе стварно треба да пошаљу СМС текстуалне поруке,
 тако да мислим да је то наговештај да се нешто недостојно се дешава.
 8% од апликација треба да прочита вашу листу контаката. То вероватно није потребно.
 Једна од осталих интересантних ствари о дозволама је
 ако повежете у дељене библиотеке у вашој апликацији
 они наслеђују дозволе апликације,
 тако да ако ваш апликација треба листу контаката или треба ГПС локацију да функционише
 и везу у рекламној библиотеци, на пример,
 да библиотека оглас ће такође бити у могућности да приступите контакте
 а такође моћи да приступе ГПС локацију,
 и програмер апликације не зна ништа о коду који је покренут у библиотеци огласа.
 Они само повезивање да у јер желе да уновчите своје апликације.
 

Ово је место где и ја ћу говорити о неким примерима са
 Апликација се зове Пандора где апликација програмер
 Можда несвесно се одаје информације
 од својих корисника због библиотеке су они повезани унутра
 Геодетски пејзаж тамо, гледа на свим различитим апликацијама
 који су пријављени у вестима као злонамерни или раде нешто корисници не желе
 а затим инспекцију доста апликација-радимо много статичке анализе бинарног на мобилне апликације,
 па смо их прегледали и погледао код саме-
 смо дошли до онога што називамо нашу топ 10 листа ризичних понашања у апликацијама.
 И то је оборио на 2 секције, злонамерног кода,
 па то су лоше ствари које могу да се апликације могу да раде
 ће вероватно бити нешто што злонамерни појединац
 је посебно ставио у пријави, али то је мало нејасно.
 То може бити нешто што програмер мисли да је у реду,
 али она завршава се мисли као злонамерни корисник.
 

А онда други део је оно што ми зовемо кодирање рањивости,
 и то су ствари где у основи програмер је прављење грешака
 или једноставно не разумем како да безбедно напише апликацију,
  и да је стављање апликација корисника у опасности.
 Идем да прође кроз њих детаљно и дати неке примере.
 За референцу, хтео сам да подигнем ОВАСП мобилни Топ 10 листа.
 То су 10 питања која група на ОВАСП,
 Пројекат Опен Веб апликација безбедности, они имају радну групу
 ради на мобилном Топ 10 листа.
 Они имају веома познати веб Топ 10 листа, који су 10 најбољих
 најризичнији ствари које можете имати у веб апликацији.
 Они раде исту ствар за мобилни,
 а њихов списак је мало другачији од нашег.
 6 од 10 су исти.
 Они имају 4 који су другачији.
 Мислим да они имају мало другачији преузме
 Ризик у мобилним апликацијама где много својих проблема
 се заиста како апликација комуницира са бацк-енд серверу
 или шта се дешава на бацк-енд сервера,
 не толико апликације које имају ризично понашање које су само једноставне клијент апликације.
 

Они у црвено овде су разлике између 2 листа.
 А неки од мог тима истраживања је заправо допринео овом пројекту,
 па ћемо видети шта ће се десити током времена, али мислим да је овде понети
 ми не знамо шта је списак 10 најбољих у мобилним апликацијама, јер
 они су заиста само је око 2 до 3 година,
 и није било довољно времена да се заиста истраживање оперативне системе
 и шта су све способни, а није било довољно времена
 за злонамерног заједницу, ако хоћете, да је провео довољно времена
 покушавају да нападну корисницима преко мобилних апликација, тако да очекујем ове листе да промените мало.
 Али за сада, ово су топ 10 ствари о којима треба водити.
 Можда се питате на мобилном страни где ради злонамерни код мобилне-
 како то да се на уређају?
 Северна Каролина држава има пројекат под називом Мобилни злонамерних Геном Пројекта
 где су прикупљање што више мобилни злонамерних програма као што могу и да анализирају,
 и они оборио ињекције векторе који мобилни малвер користи,
 и 86% користи технику названу препакивање,
 и то је само на Андроид платформи
 да ли заиста овај препакивања.
 

Разлог је андроид код је изграђен са
 Јава бајт код назива Далвик који је лако децомпилабле.
 Шта лош момак може да уради је
 узети Андроид апликацију, декомпајлира га,
 убаци свој злонамерни код, компајлирате га,
 а затим га ставите у Апп Сторе одаје утисак да нова верзија те апликације,
 или само можда промени име апликације.
 Ако је то била нека врста игре, нешто променити име,
 и тако то препакивање је како 86% од мобилног малваре буде дистрибуиран.
 Постоји још једна техника зове обнова која је
 веома сличан препакивања, али ви заправо не стави злонамерни код унутра
 Шта да урадите је да ставите у малом механизам ажурирања.
 Ви декомпајлира, ставите у механизам за ажурирање, а ви га компајлирате,
 а онда када апликација ради оно вуче низ злонамерних програма на уређају.
 

До сада већина су оне 2 технике.
 Нема баш много Скините дриве-бис или дриве-би преузимања на мобилни телефон,
 који би могао бити као пхисхинг напада.
 Хеј, погледајте ово стварно кул сајт,
 или треба да идем на овај сајт и попуните овај формулар
 да наставља нешто. Они су пхисхинг напада.
 Иста ствар може да се деси на мобилној платформи, где су
 указују на апликације за мобилне уређаје да преузмете, каже: "Здраво, ово је Банк оф Америца."
 "Ми видимо да користите ову апликацију."
 "Требало би да преузмете ову другу апликацију."
 Теоретски, то би могло да упали.
 Можда једноставно се не користи довољно да се утврди да ли је успешан или не,
 али су открили да мање од 1% од времена које се користи техником.
 Већина времена то је заиста препакују код.
 

Постоји још једна категорија се зове самостална
 где је неко управо гради потпуно нову апликацију.
 Они граде апликацију која тврди да јесте нешто.
 То није препакивање нешто друго, а то има злонамерни код.
 То се користи 14% времена.
 Сада желим да причам о томе шта је злонамерни код ради?
 Један од првих малваре тамо
 можете да размислите о шпијунски софтвер.
 То је у основи спиес на корисника.
 Она сакупља мејлове, СМС поруке.
 Испоставило на микрофон.
 Она жетве контакт књигу, а она га шаље ван неком другом.
 Овај тип шпијунског софтвера постоји на рачунару,
 тако да има смисла за људе да покушају да ураде ово на мобилним уређајима.
 

Један од првих примера то је програм који се зове тајна СМС репликатор.
 То је било у Андроид Маркетплаце пре пар година,
 а идеја је била да ли сте имали приступ Андроид телефону нечији
 да сте желели да шпијунира, па можда је то ваш супружник
 или своје значајне друге и желите да шпијунира њихове текстуалне поруке,
 можете да преузмете ову апликацију и инсталирати га и конфигурисати га
 да пошаље СМС поруку на вас са копијом
 сваког СМС текстуалне поруке су добили.
 Ово очигледно је у питању кршење Апп Сторе службе,
 и ово је уклоњен са Андроид Маркетплаце у року од 18 сати је тамо био,
 па веома мали број људи су били у опасности због тога.
 Сада, мислим да ако је програм под називом нешто можда мало мање провокативан
 као тајна СМС Реплицатор вероватно би много боље радили.
 Али било је некако очигледно.
 

Једна од ствари које можете урадити да се утврди да ли апликације имају овакво понашање које не желимо
 је да проверите код.
 То је заправо стварно лако да урадите на Андроиду, јер можемо декомпајлира апликације.
 На иОС можете да користите као дисассемблер ИДА Про
 да погледате шта Апис апликација се зове и шта ради.
 Написали смо своју бинарну статички анализатор за нашег кода
 и ми смо то урадили, па шта можете да урадите је могло би се рећи
 нема ништа уређај који је у основи шпијунира мене или ме трацкинг?
 И ја имам неке примере овде на иПхоне.
 Овај први пример је како приступити УУИД на телефону.
 То је заправо нешто што Аппле је управо забранила за нове апликације,
 али старе апликације које сте можда раде на вашем телефону може још учинити,
 и тако да јединствени идентификатор се може користити за праћење те
 у многим различитим апликацијама.
 

На Андроид, ја имам овде од добијања локације уређаја пример.
 Можете видети да ли је АПИ позив је ту да се апликација за праћење,
 и можете да видите да ли то постаје фино место или груба локација.
 А онда на дну овде, имам пример како на БлацкБерри
 апликација може приступити е-поруке у пријемном сандучету.
 То су врсте ствари које можете да видите инспекцију
 ако апликација ради те ствари.
 Друга велика категорија злонамерног понашања, а то је вероватно сада највећа категорија,
 је неовлашћено бирање, неовлашћено премиум СМС поруке
 или неовлашћена плаћања.
 Још једна ствар која је јединствена за телефон
 је уређај закачен на рачуну,
 и када се активности на телефону
 она може да створи оптужбе.
 Можете да купите ствари преко телефона,
 и када шаљете Премиум СМС текстуалне поруке ви заправо давање новца
 на рачун носиоца телефонског броја на другој страни.
 Они су поставили да би вредност акција или добити свој дневни хороскоп или друге ствари,
 али се могу подесити да наручите производ слањем СМС текст.
 Људи дају новац Црвеном крсту слањем текстуалне поруке.
 Можете дати $ 10 на тај начин.
 

Нападачи, шта су урадили је да су поставили
 рачуни у страним земљама, а они уградили у малваре
 да ће телефон послати премија СМС текстуалне поруке,
 кажу, неколико пута дневно, а на крају месеца схватите да сте провели
 десетине или чак стотине долара, и они отићи са новцем.
 То је било тако лоше да је ово прва ствар која Андроид
 Тржиште или Гоогле место-то је андроид Тржиште у то време,
 и сада је Гоогле Плаи-прва ствар да је Гоогле почео проверу за.
 Када је Гоогле почео са дистрибуцијом Андроид апликације у њиховом Апп Сторе
 они су рекли да нису хтели да провери за било шта.
 Ми ћемо повући апликације када смо обавештени су разбили наше услове коришћења услуге,
 али ми не идемо да проверите за било шта. Па, пре око годину дана што је толико лоше с овим премијум СМС текстуалне поруке малваре
 да је ово била прва ствар коју су почели проверу.
 Ако апликација можете да шаљете СМС текстуалне поруке
 они даље ручно проверавати те апликације.
 Они траже АПИ који позивају ово,
 а сада од тада Гоогле је проширио,
 али ово је била прва ствар коју су почели тражите.
 

Неке друге апликације које су радили неке СМС текстуалне поруке,
 ово андроид Кицсомос, претпостављам да се зове.
 Било је то тренутни догађај на мобилном где ово ЦарриерИК изашао
 као шпијунски ставити на уређају од стране превозника,
 па људи су желели да знају да ли им је телефон био рањив на ово,
 и то је био слободан апп који тестира да.
 Па, наравно, оно што ова апликација урадио је то послао премиум СМС текстуалне поруке,
 па тако проверава да ли сте заражени са спиваре
 Ви учитан малвер на вашем уређају.
 Видели смо иста ствар се деси у последњем Супер Боул.
 Било је лазна верзија Мадден фудбалској утакмици
 који је послао премиум СМС текстуалне поруке.
 То је заправо покушао да створи бот мреже превише на уређају.
 Ево ја имам неке примере.
 Занимљиво, Аппле је прилично паметан,
 и они не дозвољавају апликацијама да шаљу СМС текстуалне поруке.
 Не апликација може да уради.
 То је одличан начин за добијање ослободити од целе класе рањивости,
 али на Андроид можете да урадите, и наравно, на БлацкБерри можете то учинити превише.
 Интересантно је да на БлацкБерри све што је потребно је интернет дозволе
 да пошаљете СМС текстуалне поруке.
 

Друга ствар заиста да тражимо
 када ми тражимо да видимо да ли је нешто злонамерно је само било какав
 неовлашћена мрежна активност, попут погледајте активности мрежног
 апликација треба да има да има своју функционалност,
 а погледајте ову другу мрежну активност.
 Можда апликација, да ради, мора да добије податке преко ХТТП,
 али ако се ствари раде преко емаил-а или СМС-а или Блуетоотх-а или тако нешто
 Сада да апликација може потенцијално бити злонамеран, тако да је ово још једна ствар коју можете прегледати за.
 И на овом слајду овде имам неке примере који.
 Још једна занимљива ствар коју смо видели са злонамерних програма догодило давне 2009,
 и то се догодило у великом начин.
 Ја не знам да ли се то догодило много од тада, али је апликација
 да имперсонатед другу апликацију.
 Било је скуп апликација, и то је назван напад 09Дроид,
 и неко је одлучио да је било доста малих, регионалних, средња банака
 да није имао банкарске апликације на мрежи,
 па оно што су урадили било они изградили око 50 Онлине Банкинг апликације
 да све што су урадили је узети корисничко име и лозинку
 и преусмери те на сајт.
 И тако они ставили ово све горе у Гоогле Маркетплаце,
 у Андроид Маркетплаце, а када неко тражили да виде да ли је њихов банка
 имао неку апликацију они ће наћи лажне пријаве,
 који прикупљају своје акредитиве, а затим преусмеравају их на њиховом сајту.
 Начин да се то заправо постао-су апликације биле тамо за неколико недеља,
 и било је хиљаде и хиљаде преузимања.
 

Начин је дошло до изражаја је неко имао проблем
 са једном од апликација, и они звали своју банку,
 и они звали корисничку подршку линију своје банке и рекао,
 "Имам проблем са банкарском апликације мобилни."
 "Можете ли ми помоћи?"
 И они су рекли, "Ми немамо банкарску апликацију мобилног."
 То почела истрагу.
 То се зове Гоогле банка, а онда Гоогле погледао и рекао,
 "Вау, исти аутор је писао 50 банковних апликација," и одвели их све доле.
 Али свакако то могло поновити.
 Постоји списак свих различитих банака овде
 да су били део ове преваре.
 Друга ствар апликација може да уради је присутан интерфејс за друге апликације.
 Док се то ради може појавити на Фацебоок УИ.
 Он каже да морате да ставите у ваше корисничко име и лозинку да бисте наставили
 или ставити било који корисничко име и лозинку интерфејс за сајт
 да можда корисник користи само да покуша да превари корисника
 у стављајући своје акредитиве за
 Ово је заиста право паралелно на е-пхисхинг напада
 где вам неко пошаље е-поруку
 и даје вам основи лажне УИ за сајт
 да имате приступ.
 

Друга ствар тражимо у злонамерног кода је систем модификација.
 Можете погледати за све АПИ позиве које захтевају роот привилегије
 да правилно изврши.
 Промена веб проки уређаја ће бити нешто што апликација
 не би требало да буде у стању да уради.
 Али, ако апликација има код у тамо да то уради
 Ви знате да је то вероватно злонамерна апликација
 или веома високо вероватно да ће бити злонамерна апликација,
 па шта ће се десити је да ће апликација имати неки начин ескалира привилегију.
 То би имало неки привилегија ескалација екплоит
 у апликацији, а онда када је ескалирао привилегије
 то ће учинити ове измене система. Можете наћи малваре који има привилегију ескалацију
 у њему чак и не знајући како привилегију ескалацију
 експлоатишу ће се десити, а то је леп, једноставан начин
 да траже малвера.
 ДроидДреам је вероватно најпознатији комад Андроид злонамерних програма.
 Мислим да је то утицало око 250.000 корисника током неколико дана
 пре него што је пронађен.
 Они препакованих 50 лажних пријава,
 стави их у Андроид Апп Сторе,
 и у суштини то користи Андроид јаилбреак код ескалирају привилегије
 а затим инсталирајте команду и контролу и окрените све жртве
 у бот мрежу, али сте могли детектовати ово
 ако сте скенирање апликацију и само траже
 АПИ позива да тражи дозволу да корен правилно извршава.
 

И ту је пример овде имам који се мења проки,
 и то је заправо доступан само на Андроид.
 Можете видети Дајем ти пуно примера на Андроид
 јер ово је место где најактивнији злонамерних екосистем је
 јер то је стварно лако за нападача да се злонамерни код
 у Андроид Маркетплаце.
 То није тако лако да то уради у Аппле Апп Сторе
 јер Аппле захтева програмерима да се идентификују
 и потписати код.
 Они заправо провери ко си ти, а Аппле је заправо испитују апликације.
 Ми не видимо много истинског малваре где се уређај узимајући компромитовани.
 Ја ћу говорити о неким примерима где је заиста приватности која постаје угрожена,
 и то је оно што се стварно дешава на Аппле уређају.
 Још једна ствар коју треба тражити злонамерног кода, ризично код у уређајима
 је логички или темпиране бомбе, и темпиране бомбе су вероватно
 много лакше да траже од логичких бомби.
 Али са временским бомбама, шта можете да урадите је да можете тражити
 места у коду где је тестирана време или апсолутног времена тражили
 пре сигурно функционалност у апп деси.
 И то би могло да се уради да сакрије ту делатност од стране корисника,
 тако се то дешава касно ноћу.
 ДроидДреам урадио све своје активности између 11 увече и 8 ујутру по локалном времену,
 да покуша да то уради док корисник не може да се користи њихов уређај.
 

Други разлог да то урадите је ако људи користе анализу понашања за апликацију,
 покретање апликације у сандбок да видимо шта понашање апликације је,
 они могу да користе време на бази логике да уради активност
 када апликација није у песку.
 На пример, Апп Сторе као Аппле
 покреће апликацију, али они вероватно не трчите сваку апликацију за, рецимо, 30 дана
 пре одобравања, тако да можете ставити
 логика у вашој апликацији то рекао, у реду, само уради лошу ствар
 после 30 дана је прошло, или након 30 дана након објаве датума аплицирања,
 и који могу да помогну да злонамерни код се сакрити од људи инспекцијских за њега.
 Ако анти-вирус компаније раде ствари у сандбоксес
 или апп сами продавнице су ово може да помогне
 сакрити да из те инспекције.
 Сада, друга страна да је то лако наћи са статичке анализе,
 па заправо инспекцију код можете погледати на свим местима
 где апликација тестира време и инспекцију на тај начин.
 И овде имам неке примере на ове 3 различите платформе
 како се време може проверити од стране произвођача апликација
 тако да знате шта да тражите, ако сте инспекцију апликацију статично.
 

Само сам кроз гомилу различитих злонамерних активности
 које смо видели у дивљини, али оне које су најчешћи?
 Та иста студија из Нортх Царолина Стате Мобилни Геном Пројекта
 објавио неке податке, а у основи су 4 подручја
 да су видели где је било много активности.
 37% од апликација јесте привилегија ескалацију,
 па они су имали неку врсту јаилбреак кода тамо
 где су покушали да ескалирају привилегије, тако да су могли
 Не АПИ команде приказују као оперативни систем.
 45% од апликација тамо урадио премиум СМС,
 тако да је огроман проценат који покушава да директно уновчите.
 93% урадио даљински управљач, па су покушали да оснују бот мрежу, а мобилни бот мрежу.
 И 45% убрани идентификационе информације
 као бројеви телефона, УУИДСове, ГПС локације, корисничких налога,
 и ово додаје до више од 100, јер је већина злонамерних програма покушава да уради неке од ових ствари.
 

Идем да се пребаците на другу половину и разговарају о рањивости код.
 Ово је друга половина ризично активности.
 Ово је место где у суштини програмер прави грешке.
 Легитиман програмер писање легитимно апликацију
 прави грешке или је незналица од ризика мобилне платформе.
 Они једноставно не знају како да направе безбедну апликацију за мобилне уређаје,
 или понекад програмер не брине о стављање корисника у опасности.
 Понекад део њиховог пословног модела може да буде
 жетве личне податке корисника.
 То је нека врста друге категорије, и то је разлог зашто неки овај злонамерни
 против легитимних почне да крвари преко јер постоји разлика у мишљењима
 између онога што корисник жели и шта корисник сматра ризично
 и шта апликација програмер сматра ризично. Наравно, то није подаци апликацију програмера у већини случајева.
 

И онда на крају, још један начин се то деси је програмер може повезати у
 схаред либрари који има рањивости или ово ризично понашање у њему
 без нечијег знања да њих.
 Прва категорија је осетљив података цурења,
 а то је када апликација прикупља податке
 као локацију, информације, информације адресара власника
 и шаље да искључите уређај.
 А када је ван уређаја, ми не знамо шта се дешава са том информацијом.
 Могло би се несигурно чувају од стране програмера апликација.
 Видели смо програмерима апликација се компромитован,
 и подаци да они складиштење добија узети.
 То се десило пре неколико месеци да програмер доле на Флориди
 где огроман број-ње је иПад УУИДСове и имена уређаја
 су процуреле јер је неко, мислим да је био анониман,
 тврдио да се то уради, провалили у сервере овог програмера је
 и украли милионе иПад УУИДСове
 и рачунарске имена.
 Не најризичнији информације,
 али шта ако је то било складиштење корисничких имена и лозинки
 и кућне адресе?
 Постоји много апликација које чувају ту врсту информација.
 Ризик је тамо.
 

Друга ствар која се може десити ако је програмер не води рачуна
 да се обезбеди канал података, а то је још једна велика рањивост ћу говорити о,
 који подаци се шаљу у јасан.
 Ако корисник је на јавној Ви-Фи мрежу
 или неко њушка интернету негде
 на путу који подаци се изложен.
 Један веома познат случај ове информације цурења десило са Пандора,
 и то је нешто што смо истраживали у Верацоде.
 Чули смо да је било-Мислим да је Савезна трговинска комисија
 Истрага дешава са Пандори.
 Рекли смо, "Шта се дешава тамо? Почнимо копање у Пандора апликације."
 И оно што смо утврђено је Пандора апликација прикупљени
 Ваш пол и старост твоја,
 и она такође приступити своју ГПС локацију, као и Пандора апликацију
 урадио то за шта су рекли били легитимни разлози.
 Музика која су играли-Пандора је апликација-музички стриминг
 музика су играли је лиценциран само у Сједињеним Америчким Државама,
 па су морали да провере у складу са својим лиценцним уговорима који су имали
 за музику да корисник био у Сједињеним Државама.
 Они су такође желели да се повинује Парентал Адвисори
 око језика за одрасле у музици,
 и тако да је добровољни програм, али су желели да се придржавају да
 и не играју експлицитне текст за децу 13 и испод.
 

Имали легитимне разлоге за прикупљање ове податке.
 Њихова апликација имали дозволе да то уради.
 Корисници мислио да је ово легитиман. Али шта се десило?
 Они повезан у 3 или 4 различите огласне библиотекама.
 Сада одједном свих ових огласних библиотекама
 добијате приступ овим истим информацијама.
 Огласне библиотеке, ако погледате код у ад библиотекама
 оно што они раде је свака библиотека оглас каже
 "Да ли мој апликација има дозволу за добијање ГПС локацију?"
 "О, то не? Ок, реци ми ГПС локацију."
 Сваки оглас библиотека то ради,
 и ако апликација нема ГПС дозволу
 она неће бити у стању да га добију, али ако се то деси, то ће га добити.
 Ово је место где пословни модел огласних библиотека
 се противи приватности корисника.
 И било је студије тамо да ће рећи ако знате узраст
 лица и знате њихову локацију
 где спавају ноћу, јер ви имате своје ГПС координате
 док они можда спавате, ви тачно знате ко је та особа
 јер можете да утврдите који члан те породице је та особа.
 Стварно ово је идентификовање оглашавачима
 тачно ко сте ви, и изгледа као да је легитимна.
 Ја само желим свој стримовање музике, а то је једини начин да га добијете.
 

Па, изложени смо ово.
 Ми ово написао у неколико блогу,
 и испоставило се да је неко из Роллинг Стоне магазина
 прочитајте један од наших блогу и написао свој блог у Роллинг Стоне о томе,
 и сутрадан Пандора је мислио да је добра идеја
 за уклањање огласне библиотеке од њихове примене.
 Колико ја знам они су једини-они треба похвалити.
 Мислим да су једини фреемиум врста апликација која је урадила ово.
 Сви остали фреемиум апликације имају исту понашање,
 па мораш да размислите о томе шта врсте података дајете
 ови фреемиум апликације, јер све ће оглашивачима.
 Преторијанска такође урадио је студију о дељених библиотека и рекао,
 "Хајде да погледамо шта схаред библиотеке су топ схаред либрариес," а то је било подаци.
 

Они су анализирали 53.000 апликација,
 а схаред либрари број 1 је АдМоб.
 То је заправо био у 38% апликација тамо,
 па 38% од апликација које користите
 су вероватно жетве ваше личне податке
 и слањем огласних мрежа. Апацхе и Андроид су 8% и 6%,
 и онда ови други они доле на дну, Гоогле огласи, Флурри,
 Моб Град и Миленијумског Медији,
 то су све огласне компаније, а онда, занимљиво,
 4% повезани у Фацебоок библиотеци
 Вероватно да уради аутентификацију преко Фацебоок
 па апликација могла да потврди аутентичност Фацебоок.
 Али то такође значи корпорацију на Фацебоок контролише код
 да се ради у 4% од Андроид мобилних апликација тамо,
 и они имају приступ свим подацима које је апликација има дозволу да се на.
 Фацебоок у суштини покушава да прода огласни простор.
 То је њихов пословни модел.
 

Ако погледате цео овај екосистем са овим дозволама
 а схаред либрариес почнете да се види да
 имате пуно ризика у наводно легитимне апликације.
 Исто као што се десило са Пандора
 десило са апликацијом под називом Пут,
 Путања и мислили они били од помоћи, пријатељски програмери.
 Они су само покушавали да вам дају велику кориснички доживљај,
 и испоставило се да је без питања корисника или говори било шта корисник-
 и то се десило на иПхоне и на Андроид,
 Пандора апликација била на иПхоне и Андроид-
 да Пут апликација је зграбио целу адресар
 и то уплоад на путу само када сте инсталирали и водио апликацију,
 и нису вам кажем о томе.
 Они су мислили да је стварно корисно за вас
 да би могли да поделе са свим људима у адресару
 да користите путању апликације.
 

Па, очигледно Пут мислио да је ово сјајно за њихову компанију.
 Не тако сјајно кориснику.
 Морате да мислите да је то једна ствар, ако можда тинејџер
 користи ову апликацију и њихови пријатељи су десетине тамо,
 али шта ако је директор компаније која инсталира Патх
 а онда одједном целом адресару је тамо?
 Ти ћеш добити доста потенцијално вредних контакт информације
 за много људи.
 Новинар Нев Иорк Тимеса, можда ћете моћи да добију број телефона
 за бившим председницима из своје адресар,
 тако очигледно много осетљивих информација се пребацује са овако нешто.
 Било је тако велики режањ о томе да Патх извинио.
 Они су променили своју апликацију, и то чак утицало Аппле.
 Аппле је, "Ми ћемо натерати апп продаваца да подстакне кориснике
 ако идете да прикупи целу своју адресар. "
 

Изгледа да оно што се овде дешава је
 када постоји једна велика повреда приватности и чини штампу
 видимо промену вани.
 Али наравно, има и других ствари тамо.
 ЛинкедИн апликација жетве своје ставке календара,
 али Аппле не би корисник се тражити за то.
 Ставке у календару може имати поверљиве информације у њима превише.
 Где ћеш повући црту?
 Ово је заиста врста еволуира место
 где заиста нема добар стандард тамо
 корисницима да разумеју када им информације ће бити у опасности
 и када они ће знати то се узима.
 Написали смо апликацију на Верацоде зове Адио,
 и у основи је дозвољено да укаже на апликацију иТунес директоријуму
 и погледајте све апликације које су беру свој пуни адресар.
 И као што можете видети на овом списку овде, Ангри Бирдс,
 АИМ, АроундМе.
 Зашто Ангри Бирдс треба адресар?
 Не знам, али некако не.
 

То је нешто што много, много апликација уради.
 Можете да проверите код за ово.
 Има добро дефинисане функције за иПхоне, Андроид и БлацкБерри
 да се у адресару.
 Можете да заиста лако испитати за то, а то је оно што смо урадили у нашем Адиос апликацији.
 Следећа категорија, несигурна Осетљиве складиштење података,
 је нешто где програмери узети нешто попут игле или број рачуна
 или лозинку и чувајте је на јасан на уређају.
 Још горе, они би то складишти у области на телефону
 који је глобално доступан, као и СД картице.
 Чешће можете видети на Андроид Андроид јер омогућава СД картице.
 ИПхоне уређаји не.
 Али чак и како се то десило у Цитигроуп апликацији.
 Њихова примена онлајн банкарство чувају бројеве рачуна несигурно,
 само у јасно, па ако сте изгубили ваш уређај,
 суштини сте изгубили ваш банковни рачун.
 То је разлог зашто ја лично не банкарство на мој иПхоне.
 Мислим да је сувише ризично да сада радите ове врсте активности.
 

Скипе урадио исту ствар.
 Скипе, наравно, има равнотежу налог, корисничко име и лозинку
 да приступите ту равнотежу.
 Они су складиштење све те информације у јасно на мобилном уређају.
 Имам неке примере овде стварања фајлова
 који немају праве дозволе или писање на диск
 а не да свака енкрипција десити за то.
 Овај следећи област, несигурна Осетљиве Пренос података,
 Ја сам алудирао на то неколико пута, а због јавне Ви-Фи
 ово је нешто што апсолутно аппс треба да урадите,
 и то је вероватно оно што видимо да крене наопако највише. Ја бих рекао-заправо, мислим да имам стварне податке,
 али то је близу половине мобилних апликација
 зајебеш раде ССЛ.
 Они једноставно не користе АПИ исправно.
 Мислим, све што имаш да урадите је да пратите упутства и користите АПИ,
 али они не ствари као што не проверите да ли је неважећи сертификат на другом крају,
 не проверите да ли је други крај покушава да уради протокол низбрдици напад.
 

Програмери, они желе да добију потврду, зар не?
 Њихов захтев је да се користи ово да прода. Они су користили ово да прода.
 Услов је да не користе ово да безбедно продати,
 па то је разлог зашто су све апликације које користе ССЛ да обезбеди податке
 како је се преноси искључен уређај заиста треба да буде прегледан
 да се уверите да је исправно имплементиран.
 И овде имам неке примере где можете видети апликацију
 Можда користећи ХТТП уместо ХТТПС.
 У неким случајевима апликације ће пасти назад на ХТТП
 ако ХТТПС не ради.
 Имам још један позив овде на Андроиду где су они онемогућио чек сертификат,
 па човек-у-средње-напад може да се деси.
 Неважећи сертификат ће бити прихваћен.
 То су сви случајеви где су нападачи ће бити у стању да се на
 исти Ви-Фи веза као корисник и приступ свим подацима
 да се шаљу преко интернета.
 

И коначно, последња категорија ја овде имам је Хардцодед лозинком и тастери.
 Ми заправо видимо доста програмера користе исти стил кодирања
 да су урадили када су градили веб сервер апликација,
 па они граде Јава сервер апликација, а они хардцодинг кључ.
 Па, када правите апликацију сервера, да,
 хардцодинг кључ није добра идеја.
 То га чини тешко променити.
 Али то није тако лоше на страни сервера, јер ко има приступ серверу?
 Само администратори.
 Али, ако узмете исту шифру и ти га сипа преко апликације на мобилни
 Сада свако ко има да мобилна апликација има приступ том кључу Хардцодед,
 и ми заправо видимо ово много пута, и ја имам неке статистике
 на колико често видимо ово деси.
 То је заправо било у примеру кода који МастерЦард објављеном
 о томе како да користе њихове услуге.
 Пример код показала како би само узети лозинку
 и ставио га у Хардцодед стринг тамо,
 и ми знамо како програмери воле да копирате и налепите код и
 када они покушавају да ураде нешто, тако да копирате и налепите фрагмент кода
 да су они дали као пример код, а ви имате несигуран апликацију.
 

И овде имамо неке примере.
 Ово прво је један видимо доста где хардцоде
 право подаци у УРЛ који бива послат.
 Понекад видимо стринг пассворд = лозинку.
 То је прилично лако открити, или ниска лозинка на БлацкБерри и Андроид.
 То је заправо прилично лако да се провери, јер скоро увек
 имена девелопер променљива која држи лозинку
 неке варијације од лозинке.
 Поменуо сам да ми урадимо статичке анализе у Верацоде,
 па ми смо анализирали неколико стотина Андроид и иОС апликација.
 Ми смо изградили пуне моделе њих, а ми смо у стању да их скенира
 за различите пропусте, посебно рањивости сам причао,
 и ја имам неке податке овде.
 68,5% од Андроид апликација смо гледали
 је сломљена криптографски код,
 који за нас, не можемо открити ако сте направили свој крипто рутину,
 Није да је то добра идеја, али то је заправо користећи објављене АПИ
 који су на платформи али то их на такав начин
 да би крипто бити рањив, 68.5.
 И то је за људе који су нам шаљу своје пријаве заправо зато
 они мисле да је то добра идеја да се уради тестирање безбедности.
 То су већ људи који су вероватно размишљају сигурно,
 тако да је вероватно још горе.
 

Ја нисам говорио о контролном лине феед ињекције.
 То је нешто што смо проверили, али то није тако ризично питање.
 Информације цурења, ово је место где се осетљиви подаци се шаљу ван уређаја.
 Утврдили смо да је у 40% апликација.
 Време и државе, они су раса типа услов питања, обично прилично тешко да искористе,
 па ја нисам говорио о томе, али смо гледали.
 23% је имало проблема СКЛ Ињецтион.
 Многи људи не знају да је много пријава
 користи мали мало СКЛ базу података о свом задњем крају за складиштење података.
 Па, ако подаци које сте отимања преко мреже
 има СКЛ ињецтион напад конце у њему
 неко може да угрози уређај кроз који,
 па ја мислим да смо пронашли око 40% од веб апликација имају овај проблем,
 који је огроман проблем епидемија.
 Сматрамо да је 23% времена у мобилним апликацијама
 и то је вероватно зато што много више веб апликације користе СКЛ него мобилни.
 

И онда ми и даље видимо неке крос-сите сцриптинг, питања овлашћења,
 а затим акредитива управљање, то је место где имате Хардцодед лозинку.
 У 5% апликација видимо да.
 И онда имамо неке податке о иОС.
 81% је имало проблема грешка руковање. Ово је више проблем квалитета код,
 али 67% је имало криптографских проблема, па не баш толико лоше као Андроид.
 Можда су АПИ су мало лакше, пример кодови мало боље на иОС.
 Али и даље веома висок проценат.
 Имали смо 54% ​​са информације цурења,
 око 30% са грешкама бафер управљања.
 То је место где постоји потенцијално могао бити проблем корупције меморије.
 Испоставило се да то није толико проблем за експлоатацију
 на иОС јер сви код мора да буде потписан,
 тако да је тешко за нападачу да изврши произвољног кода на иОС.
 Код квалитет, директоријум траверсал, али онда акредитиве управљање овде на 14,6%,
 па горе него на Андроиду.
 Имамо људи нису правилно руковање лозинке.
 А онда нумеричке грешке и бафера,
 оне су више ће бити квалитетни број питања на иОС.
 

То је било за моју презентацију. Ја не знам да ли смо од времена или не.
 Ја не знам да ли постоји било каква питања.
 [Мушко] брзо питање око фрагментације и Андроид тржишту.
 Јабука барем поседује закрпа.
 Они раде добар посао за добијање га тамо док је нешто мање у Андроид простору.
 Скоро Потребно је да јаилбреак свој телефон да остану струја
 са тренутном ослобађање Андроид.
 Да, то је велики проблем и тако, ако мислите о томе-
 [Мушко] Зашто не можеш то поновити?
 

Ох, да, тако је било питање шта је фрагментација
 од оперативног система Андроид платформи?
 Како то утиче на ризичност ових уређаја?
 И то је заправо огроман проблем, јер оно што се дешава је
 старији уређаји, када неко долази са јаилбреак за тај уређај,
 у суштини то је привилегија ескалација, и док то оперативни систем је ажуриран
 било који малвер може затим користити ту рањивост да потпуно компромитује уређај,
 и оно што видимо на Андроид је у циљу добијања новог оперативног система
 Гоогле има да стави ван оперативни систем, а затим је произвођач хардвера
 мора да га прилагодите, а затим превозник мора да га прилагодите и доставити га.
 Ви у основи имају 3 покретних делова овде,
 и то је изласком да носиоци није брига,
 и произвођачи хардвера не брину, а Гоогле није их довољно гурање
 да ништа, па у суштини више од половине уређаја тамо
 имају оперативне системе који имају ове ескалације привилегија рањивости у њима,
 па ако се малвер на вашем Андроид уређају је много већи проблем.
 

Ок, хвала вам пуно.
 [Аплауз]
 [ЦС50.ТВ]