[Seminar] [Obrana Iza ureÄaja: Mobile Application Security] [Chris Wysopal] [SveuÄiliÅ¡te Harvard] [To je CS50.] [CS50.TV] 

Dobar dan. Moje ime je Chris Wysopal. Ja sam CTO i suosnivaÄ Veracode. Veracode je primjena zaÅ¡titarske tvrtke. Mi smo testirali sve vrste razliÄitih aplikacija, i Å¡to Äu govoriti danas je mobilni aplikacija sigurnost. Moja pozadina je sam radio sigurnosni istraÅ¾ivanja veÄ jako dugo vremena, vjerojatno oko dokle god bilo tko. PoÄeo sam sredinom 90-ih godina, i bilo je vrijeme da je bio priliÄno zanimljiv, jer imali smo promjenu paradigme u sredinom 90-ih godina. Sve je odjednom svako raÄunalo je zakaÄen na internetu, i onda smo imali poÄetke web aplikacija, i to je ono Å¡to sam usredotoÄen na puno onda. To je zanimljivo. Sada imamo joÅ¡ jednu promjenu paradigme dogaÄa s raÄunalstvo, Å¡to je pomak za mobilne aplikacije. 

OsjeÄam nekako je sliÄan vremena pa ga je u kasnim 90-ih godina kada smo istraÅ¾ivali web aplikacije i pronalaÅ¾enje nedostataka poput Upravljanje prijave pogreÅ¡ke i SQL injection koji zapravo nije postojao prije, i odjednom su bili posvuda u web aplikacija, a sada puno vremena provodim se gleda na mobilnim aplikacijama i gleda na ono Å¡to se dogaÄa vani na u divljini. Mobilne aplikacije stvarno Äe biti dominantna computing platforme, tako da stvarno trebate potroÅ¡iti puno vremena, ako ste u sigurnosnoj industriji s naglaskom na web aplikacija. Bilo je 29 milijardi mobilne aplikacije preuzete u 2011. On je predvidio da Äe 76 milijardi aplikacija do 2014. Tu je 686 milijuna ureÄaja koji Äe biti kupljen ove godine, pa ovo je mjesto gdje Äe ljudi biti dogaÄaj Â VeÄina njihov klijent raÄunalstvo ide naprijed. 

Sam u razgovoru s potpredsjednik Fidelity Investments Prije par mjeseci, a on je rekao da upravo vidjeli viÅ¡e prometa radi financijske transakcije iz baze klijenata na njihovom mobilne aplikacije nego na njihovim web stranicama, pa zajedniÄko koriÅ¡tenje na Webu u proÅ¡losti bio provjere svoje burzovne kotacije, upravljanju svoj portfelj, i mi zapravo vidimo da je u 2012 prebaciti biti dominantniji na mobilne platforme. Dakako, ako Äe biti bilo kakve kriminalne aktivnosti, bilo zlonamjerne aktivnosti, to Äe za poÄetak biti usmjerena na mobilne platforme s vremenom kako ljudi prelaze na to. Ako pogledate na mobilne platforme, pogledati rizika platforme da je korisno da ga razbiti u razliÄitim slojevima, baÅ¡ kao Å¡to Äe to uÄiniti na stolnom raÄunalu, i Å¡to mislite o razliÄitim slojevima, softver, operativni sustav, mreÅ¾ni sloj, hardver sloj, i naravno, tu je ranjivosti na svim tim slojevima. 

Ista stvar se dogaÄa na mobitelu. No, mobitel, Äini se da su neki od tih slojeva su loÅ¡ije. Za jednu, mreÅ¾ni sloj je viÅ¡e problematiÄno na mobitelu jer puno ljudi ima u svom uredu ili kod kuÄe vezama ili imaju sigurne Wi-Fi veze, i sa puno mobilne ureÄaje oÄito si izvan kuÄe ili izvan ureda puno, a ako koristite Wi-Fi postoji moÅ¾da koristite nesigurno Wi-Fi veze, neÅ¡to Å¡to je javni Wi-Fi veze, pa kad razmiÅ¡ljamo o mobilnim aplikacijama moramo uzeti u obzir da mreÅ¾no okruÅ¾enje je riziÄnije za prijave kada je Wi-Fi se koristi. A kad sam se u viÅ¡e od mobilnih rizika primjene vidjet Äete zaÅ¡to je to vaÅ¾nije. Postoje rizici na razini hardvera na mobilnim ureÄajima. To je podruÄje u tijeku istraÅ¾ivanja. Ljudi zovu ove Å¡irokopojasne napada ili baseband napadi gdje ste napadaju firmware koji sluÅ¡a na radiju. 

To su doista zastraÅ¡ujuÄe, jer napadi korisnik ne mora niÅ¡ta raditi. MoÅ¾ete pogoditi puno ureÄaja unutar raspona RF odjednom, i Äini se kao da svaki put kad je ovo istraÅ¾ivanje prÅ¡ti to se brzo dobiva klasificirana gdje ljudi obruÅ¡iti u oko i reÄi: "Evo, recite nam o tome, i molim vas, prestanite govoriti o tome." Postoji neka istraÅ¾ivanja dogaÄa u Å¡irokopojasnom podruÄju, ali Äini se da je vrlo Hush Hush. Mislim da je to viÅ¡e od nacionalne drÅ¾ave vrstu istraÅ¾ivanja Å¡to se dogaÄa. PodruÄje aktivnog istraÅ¾ivanja, iako je sloj operativni sustav, i opet, ovo je drugaÄije nego u raÄunalne svijetu jer u mobilnom prostoru imate ove timove ljudi nazivaju jailbreakers, i jailbreakers su drugaÄiji od obiÄnih istraÅ¾ivaÄima ranjivosti. PokuÅ¡avaju pronaÄi ranjivosti u operacijskom sustavu, ali razlog Å¡to pokuÅ¡avaju pronaÄi ranjivosti nije provaliti u tuÄi stroj i kompromitirati ga. To je provaliti u vlastitom raÄunalu. 

Oni Å¾ele provaliti u vlastiti mobitel, modificirati operacijski sustav vlastitoj Mobilea tako da oni mogu pokrenuti programe prema vlastitom izboru i promijeniti stvari s punim administrativnim dozvolama, i oni ne Å¾ele reÄi prodavatelja o tome. Oni ne vole sigurnosni istraÅ¾ivaÄ koji je bijeli Å¡eÅ¡ir sigurnosni istraÅ¾ivaÄ Å¡to Äe uÄiniti odgovornu otkrivanje i reÄi prodavatelja o tome. Å½ele napraviti ovo istraÅ¾ivanje, a oni Å¾ele da zapravo ga objaviti u iskoriÅ¡tavati ili rootkit ili jailbreak broj, i Å¾ele to napraviti strateÅ¡ki, kao i odmah nakon prodavatelj isporuÄuje novi operativni sustav. Imate ovaj optuÅ¾ni odnos s OS-razine ranjivosti na mobitelu, Å¡to mislim da je vrlo zanimljiva, a jedno mjesto mi to vidimo se to Äini tako da postoji dobra objavljen exploit koda vani za kernel razini ranjivosti, i vidjeli smo one zapravo biti koriÅ¡ten od strane zlonamjernih pisaca. To je malo drugaÄije nego u PC svijetu. I onda ZavrÅ¡ni sloj je gornji sloj, sloj primjene. To je ono Å¡to Äu govoriti o danas. 

Postoje ostalih slojeva, a ostali slojevi igraju u njemu ali ja sam uglavnom Äemo govoriti o tome Å¡to se dogaÄa u aplikacijskom sloju gdje kod se izvodi u pjeÅ¡Äaniku. To nema administratorske ovlasti. To mora koristiti API-ureÄaja, ali ipak, puno zlonamjernih aktivnosti i puno rizika moÅ¾e dogoditi u tom sloju jer to je sloj u kojem su sve informacije. Aplikacije mogu pristupiti sve informacije o ureÄaju ako imaju prave ovlasti, i oni mogu pristupiti razliÄite senzore na ureÄaju, GPS senzor, mikrofon, kamera, Å¡to si. Iako smo samo priÄaju na aplikacijskom sloju imamo puno rizika postoji. Druga je stvar da je drugaÄije o mobilnom okruÅ¾enju se svi igraÄi operativnog sustava, bilo da je BlackBerry ili Android ili iOS ili Windows Mobile, oni svi imaju finozrnatih modela dopuÅ¡tenje, i to je jedan od naÄina na koje su ugraÄene u operativni sustav Ideja da to nije tako riziÄno kao Å¡to mislite. Iako imate sve svoje kontakte na tu, sve vaÅ¡e osobne podatke, imate svoje fotografije, imate svoje mjesto tamo, ti si spremanje svoj bankovni pin za auto prijavu postoji, to je sigurno, jer aplikacije moraju imati odreÄene dozvole da se na pojedinim dijelovima informacija o ureÄaju, a korisnik mora biti prisutan sa ove dozvole i reÄi ok. 

Problem s njim je korisnik uvijek kaÅ¾e ok. Kao sigurnosni osobi, znam da moÅ¾e zatraÅ¾iti od korisnika, reÄi neÅ¡to jako loÅ¡e Äe se dogoditi, ne Å¾elite da se to dogodi? A ako ste u Å¾urbi ili postoji neÅ¡to stvarno mami na drugoj strani da se, kao igra Äe biti instaliran da su Äekali, oni Äe kliknuti ok. Zato sam i rekao na moj slide ovdje samo neka mi baciti ptice na svinje veÄ, i moÅ¾ete vidjeti na slajdu ovdje postoji primjeri BlackBerry kutiji dopuÅ¡tenje. Ona kaÅ¾e: "Molim te postaviti BlackBerry Putovanja aplikacija dopuÅ¡tenja nakon klika gumb ispod ", a zapravo samo korisnik Äe reÄi postavili dozvole i spasiti. Evo Android redak u kojem se pokazuje stvari, i to je zapravo stavlja neÅ¡to Å¡to je gotovo izgleda kao upozorenje. To je dobio neku vrstu prinosa znak da govore mreÅ¾nu komunikaciju, telefonski poziv, ali korisnik Äe se klikom instalirati, zar ne? I onda je jedan Apple je potpuno bezopasan. To ne bi bilo kakve upozorenja. To je samo Apple bi Å¾eljeli koristiti svoj trenutni poloÅ¾aj. Naravno da ÄeÅ¡ kliknite ok. 

Bilo je to fino zrnatog Model dozvolu, i aplikacije moraju imati manifest datoteku gdje su se izjasniti dopuÅ¡tenja im je potrebno, te da Äe se prikazati korisniku, a korisnik Äe morati reÄi Dajem te dozvole. No, budimo iskreni. Korisnici samo Äe uvijek reÄi ok. Uzmimo brzi pogled na dozvole da ove aplikacije se traÅ¾e i neke dopuÅ¡tenja tamo. Ova tvrtka pretorska je anketu u proÅ¡loj godini od 53.000 zahtjeva analiziranih u Android Market i 3rd party trÅ¾iÅ¡tima, pa to je sve Android. A prosjeÄni app zatraÅ¾io tri dozvole. Neke aplikacije zatraÅ¾io 117 dozvola, pa oÄito su jako fino zrnatog i naÄin previÅ¡e sloÅ¾en za korisnika da razumije ako oni prezentirani s ovom aplikacijom koja treba tih 117 dozvola. To je poput licencnog ugovora krajnjeg korisnika u koji je 45 stranica. MoÅ¾da uskoro Äe imati opciju gdje je kao ispisati dozvole i poslati mi e-mail. 

Ali, ako pogledate neke od najboljih zanimljivih dozvole 24% od aplikacija koje su preuzete iz 53.000 zatraÅ¾io GPS podatke iz ureÄaja. 8% proÄitajte kontakte. 4% je poslao SMS, a 3% dobio SMS. 2% biljeÅ¾i zvuk. 1% obraÄeno odlazne pozive. Ne znam. Ne mislim 4% od aplikacija u App Store stvarno treba slati SMS poruke, pa mislim da je to naznaka da se neÅ¡to nepovoljan se dogaÄa. 8% od apps morati proÄitati svoj popis kontakata. To je vjerojatno nije potrebno. Jedan od drugih zanimljivih stvari o dozvolama je ako se link u zajedniÄkim knjiÅ¾nicama u svoj program oni nasljeÄuju dozvole primjene, tako da ako vaÅ¡a aplikacija treba popis kontakata ili treba GPS lokacije funkcionirati i povezati u reklamne knjiÅ¾nica, primjerice, da oglas knjiÅ¾nica Äe biti u moguÄnosti pristupiti kontakte i isto tako biti u moguÄnosti pristupiti GPS poloÅ¾aja, i developer app ne zna niÅ¡ta o kodu koji je pokrenut u ad knjiÅ¾nici. Oni samo povezuje da u jer Å¾ele unovÄiti svoj app. 

Ovo je mjesto gdje i ja Äu govoriti o nekim primjerima to s Aplikacija se zove Pandora gdje aplikacija razvijen moÅ¾da nesvjesno se curenje informacija od svojih korisnika, jer knjiÅ¾nica koju su vezani u. PromatrajuÄi krajolik vani, gledajuÄi u sve razliÄite aplikacije koje su iskazane u vijestima kao zlonamjerne ili radite neÅ¡to korisnici nisu htjeli a onda uvidom puno apps-radimo puno statiÄkog binarnom analize na mobilnim aplikacijama, pa smo ih pregledati i pogledao kod sebe- doÅ¡li smo do onoga Å¡to mi zovemo naÅ¡ top 10 popis riziÄnih ponaÅ¡anja u aplikacijama. I to je oborio u dva dijela, zlonamjernog koda, tako da su to loÅ¡e stvari koje su aplikacije moÅ¾da se radi da vjerojatno Äe biti neÅ¡to Å¡to zlonamjerni pojedinac je posebno staviti u primjeni, ali to je malo nejasni. To bi moglo biti neÅ¡to Å¡to misli da je u redu developer, ali to zavrÅ¡i Å¡to misli kao zlonamjerni korisnik. 

I onda drugi dio je ono Å¡to mi zovemo kodiranja ranjivosti, i to su stvari u kojima programer u osnovi je grijeÅ¡iti ili jednostavno ne razumije kako napisati aplikaciju sigurno, Â i da je stavljajuÄi app korisnik u opasnosti. Ja Äu proÄi kroz njih u detalje i dati neke primjere. Za usporedbu, ja sam htjela da se stavi na OWASP mobilni top 10 liste. To su 10 pitanja koja grupa na OWASP, Open Web Application Security Project, oni imaju radnu skupinu radi na mobilnom top 10 liste. Oni imaju vrlo poznati web top 10 liste, koje su top 10 najriziÄnijih stvari koje moÅ¾ete imati u web aplikaciju. Oni rade istu stvar za mobitel, i njihov popis je malo drugaÄija od naÅ¡e. 6 iz 10 su isti. Imaju Äetiri koji su razliÄiti. Mislim da oni imaju malo drugaÄiji odvesti na Rizik u mobilnim aplikacijama gdje je puno svojih pitanja su stvarno kako primjena komunicira s back-end posluÅ¾itelja ili ono Å¡to se dogaÄa na back-end posluÅ¾itelja, Ne toliko aplikacije koje imaju riziÄno ponaÅ¡anje koje samo jednostavne klijent aplikacije. 

One crveno Ovdje su razlike izmeÄu dva popisa. A neki od mojih istraÅ¾ivaÄkog tima zapravo pridonijeli ovom projektu, pa Äemo vidjeti Å¡to Äe se dogoditi tijekom vremena, ali mislim da takeaway ovdje mi zapravo ne znamo Å¡to se top 10 popis je u mobilne aplikacije, jer oni 'stvarno samo oko za 2 ili 3 godine, i nije bilo dovoljno vremena da se stvarno istraÅ¾iti operativne sustave i Å¡to su sposobni, a nije bilo dovoljno vremena za zlonamjernog zajednice, ako hoÄete, da je proveo dovoljno vremena pokuÅ¡ava napasti korisnike putem mobilne aplikacije, tako da oÄekujem ove liste za promjenu malo. No, za sada, su top 10 stvari koje treba brinuti. MoÅ¾da se pitate o mobilnom strani gdje se zlonamjerni mobitel kodnog kako to dobiti na ureÄaju? North Carolina State ima projekt nazvan Mobile Malware Genome Project gdje su prikupljanje Å¡to viÅ¡e mobilni malware jer oni mogu i analizu, i oni 'oborio injekcija vektora koji mobilni malware koristi, i 86% koriste tehniku âânazvanu prepakiranje i to je samo na Android platformi MoÅ¾ete li stvarno to uÄiniti preoblikovanja. 

Razlog je Android code je izgraÄen s Java bajt kod nazvao Dalvik Å¡to je lako decompilable. Å to negativac moÅ¾e uÄiniti je potrajati Android aplikaciju, rastavljati ga, ubaciti svoju malicioznog koda, kompilirati ga, i onda ga staviti u App Store koje ukazuju da se nova verzija tog programa, ili samo moÅ¾da mijenja naziv programa. Ako je to bila neka vrsta igre, promijeniti ime malo, i tako to Prepakiravanje je kako 86% od mobilnog malware dobiva distribuira. Postoji joÅ¡ jedna tehnika zove nadogradnja koja je vrlo sliÄan prepakiranje, ali zapravo ne stavi malicioznog koda u. Ono Å¡to trebate uÄiniti je da stavite u malom mehanizme obnove. MoÅ¾ete dekompilirati, stavite u mehanizme obnove, a vi ga kompilirati, i onda kada app je trÄanje povlaÄi niz zlonamjernih programa na ureÄaj. 

Do sada se veÄina su one dvije tehnike. Tu zapravo nije puno preuzimanje Drive-bys ili drive-by download na mobitelu, koji bi mogao biti poput phishing napada. Hej, check out this stvarno super web stranicu, ili morate iÄi na ovu stranicu i ispunite drÅ¾ati dalje radi neÅ¡to. Oni su phishing napada. Ista stvar se moÅ¾e dogoditi na mobilne platforme, gdje su ukazuju na mobilne aplikacije za preuzimanje, reÄi: "Bok, ova je Bank of America." "Vidimo da koristite ovu aplikaciju." "Trebali biste preuzeti ovu drugu aplikaciju." Teoretski, to bi moglo upaliti. MoÅ¾da je to samo se ne koristi dovoljno da bi se utvrdilo da li je uspjeÅ¡na ili ne, ali su otkrili da je manje od 1% od vremena koje se tehnika koristi. VeÄinu vremena to je stvarno prepakirao code. 

Postoji joÅ¡ jedna kategorija naziva samostalni gdje je netko upravo gradi potpuno novi zahtjev. Oni su napraviti aplikaciju koja pretendira da bude neÅ¡to. To nije preoblikovanja neÅ¡to drugo, i da ima zloÄudni kod. To se koristi 14% vremena. Sad Å¾elim govoriti o tome Å¡to je zlonamjerni kod radi? Jedan od prvih zlonamjernih vani mogli razmotriti spyware. To u osnovi Å¡pijuni na korisnika. Ona prikuplja e-mailove, SMS poruke. Ispada na mikrofon. To berbi kontaktnih knjigu, i to ga Å¡alje off nekome drugome. Ova vrsta spyware postoji na PC-u, tako da ima smisla da ljudi pokuÅ¡avaju to uÄiniti na mobilnim ureÄajima. 

Jedan od prvih primjera toga je program pod nazivom Secret SMS replikator. Bilo je to u Android Marketplace prije par godina, a ideja je bila da ste imali pristup neÄijem Android telefon da ste htjeli da izvidi na, pa moÅ¾da je to vaÅ¡ suprug ili udvoje, a vi Å¾elite da izvidi na njihovim SMS poruka, mogli preuzeti ovaj app i instalirati ga i konfigurirati ga poslati SMS poruku na vas s kopijom svakog SMS poruke koje je dobio. To oÄito je krÅ¡enje App Store uvjete pruÅ¾anja usluge, a to je uklonjen iz Android Marketplace u roku od 18 sati da se tamo, tako da je vrlo mali broj ljudi koji su bili u opasnosti zbog toga. Sada, mislim da, ako je program pod nazivom neÅ¡to moÅ¾da malo manje provokativna kao Secret SMS replikator to bi vjerojatno radio puno bolje. No, to je vrsta oÄito. 

Jedna od stvari koje moÅ¾emo uÄiniti kako bi se utvrdilo je li aplikacije imaju taj problem da mi ne Å¾elite je pregledati kod. To je zapravo jako jednostavno za napraviti na Androidu, jer smo se rastavljaju aplikacije. Na iOS moÅ¾ete koristiti rastavljanja poput IDA Pro pogledati Å¡to Apis app se zove i Å¡to radi. Napisali smo vlastitu binarni statiÄki analizator za naÅ¡ koda a mi smo to uÄinili, i tako Å¡to moÅ¾ete uÄiniti je da bi mogao reÄi: znaÄi ureÄaj uÄiniti sve Å¡to je u osnovi Å¡pijuniranje na mene ili me pratite? I ja imam neke primjere ovdje na iPhone. Ovo je prvi primjer je kako pristupiti UUID na telefonu. To je zapravo neÅ¡to Å¡to Apple je upravo zabranjen za nove aplikacije, ali stare aplikacije koje ste moÅ¾da prikazuju na telefonu joÅ¡ uvijek moÅ¾e to uÄiniti, i tako da jedinstveni identifikator moÅ¾e koristiti za vas pratiti u mnogo raznih aplikacija. 

Na Android, imam jedan primjer ovdje za dobivanje poloÅ¾aja ureÄaja. MoÅ¾ete vidjeti da ako je API poziv je tu da app prati, i moÅ¾ete vidjeti da li je sve u redu mjesto ili grubo mjesto. A onda se na dnu ovdje, imam primjer kako na BlackBerry aplikacija moÅ¾e pristupiti e-mail poruke u vaÅ¡ inbox. To su vrste stvari koje moÅ¾ete pregledati vidjeti ako app radi takve stvari. Druga velika kategorija zlonamjernog ponaÅ¡anja, a to je vjerojatno najveÄa kategorija sada, je neovlaÅ¡teno biranja, neovlaÅ¡teno premium SMS poruke ili neovlaÅ¡tene isplate. JoÅ¡ jedna stvar koja je jedinstveno u telefonu je ureÄaj zakaÄen na raÄun za naplatu, a kad aktivnosti dogoditi na telefon to moÅ¾e stvoriti optuÅ¾be. MoÅ¾ete kupiti stvari preko telefona, a kad Å¡aljete premium SMS SMS poruke koju je zapravo davanje novca za komitenta telefonskog broja na drugoj strani. Oni su postavili kako bi dobili burzovne kotacije ili dobiti svoj dnevni horoskop ili drugih stvari, ali oni se mogu postaviti naruÄiti proizvod slanjem SMS tekst. Ljudi daju novac za Crveni kriÅ¾ slanjem SMS poruke. MoÅ¾ete dati 10 dolara na taj naÄin. 

NapadaÄi su, Å¡to su uÄinili je oni postavili raÄune u stranim zemljama, a oni ugradili u malware koji telefon Äe poslati premium SMS poruke, kaÅ¾u, nekoliko puta na dan, a na kraju mjeseca, shvatite da ste proveli desetke ili moÅ¾da Äak i stotine dolara, a oni hoda s novcem. To je dobio tako loÅ¡e da je to vrlo prva stvar koja Android Marketplace ili Google mjesto-to je Android Marketplace na vrijeme, i to je sada Google Play-prva stvar koju je Google poÄeo provjeravati. Kada je Google zapoÄeo je s distribucijom Android aplikacije u App Store rekli su da ne idu na provjeru niÅ¡ta. Mi Äemo povuÄi aplikacije jednom smo bili obavijeÅ¡teni su pobjegli naÅ¡e uvjete pruÅ¾anja usluge, ali mi se ne ide na check za niÅ¡ta. Pa, prije otprilike godinu dana ga je dobio tako loÅ¡e s ovim premium SMS poruke malware da je to vrlo prva stvar Å¡to su poÄeli provjeravati. Ako app mogu slati SMS poruke oni dodatno ruÄno prouÄiti taj program. Oni traÅ¾e API koji pozivaju to, a sada od tada Google je proÅ¡irio, ali ovo je prva stvar koja se poÄela traÅ¾iti. 

Neke druge aplikacije koje jesu neke SMS poruke, to Android Qicsomos, mislim da se zove. Bilo je to trenutni dogaÄaj na mobitelu gdje to CarrierIQ je izlazio kao spyware staviti na ureÄaju od strane prijevoznika, pa ljudi htjeli znati ako njihov telefon bio ranjiv na to, a to je besplatna aplikacija koja testira da. Pa, naravno, ono Å¡to ovaj app uÄinio je to poslala premium SMS poruke, tako da testira da li ste zaraÅ¾eni spyware Å¡to uÄita zlonamjernih programa na svojem ureÄaju. Vidjeli smo ista stvar dogoditi na posljednjem Super Bowlu. Tu je laÅ¾na verzija Madden nogometnu igru koji je poslao premium SMS poruka. To je zapravo pokuÅ¡ao stvoriti bot mreÅ¾e previÅ¡e na ureÄaju. Ovdje imam neke primjere. Zanimljivo, Apple je priliÄno pametna, a oni ne dopuÅ¡taju aplikacijama slanje SMS poruke na sve. Ne app moÅ¾e to uÄiniti. To je sjajan naÄin za dobivanje rijeÅ¡iti cijeli razred ranjivosti, ali na Androidu moÅ¾ete to uÄiniti, i naravno, na BlackBerry moÅ¾ete to uÄiniti previÅ¡e. Zanimljivo je da je na BlackBerry sve Å¡to je potrebno je internet dozvole poslati SMS poruku. 

Druga stvar stvarno da Äemo traÅ¾iti kada smo u potrazi za vidjeti ako je neÅ¡to zlonamjerni je samo bilo koje vrste neovlaÅ¡tene aktivnosti mreÅ¾e, kao i pogledati na mreÅ¾noj aktivnosti app je trebao imati svoju funkcionalnost, i pogled na ove druge aktivnosti mreÅ¾e. MoÅ¾da app, raditi, mora doÄi do podataka preko HTTP, ali ako to radi stvari preko e-maila ili SMS-a ili Bluetootha ili neÅ¡to sliÄno sad kad app mogao potencijalno biti zloban, pa je to joÅ¡ jedna stvar koju moÅ¾ete pregledajte. I na ovom slajdu ovdje imam neke primjere koji. JoÅ¡ jedna zanimljiva stvar koju smo vidjeli sa malware dogodilo natrag u 2009, i to se dogodilo u velikom naÄin. Ja ne znam je li to dogodilo toliko toga od tada, ali to je app koji je oponaÅ¡ao drugu aplikaciju. Tu je set aplikacija, i to je bio nazvan napad 09Droid, i netko je odluÄio da je bilo puno malih, regionalnih, srednjih banaka koja nije imala online bankarske aplikacije, pa Å¡to su uÄinili je izgradili su oko 50 on-line bankarstva aplikacija da je sve Å¡to su uÄinili je uzeti korisniÄko ime i lozinku i preusmjeriti vas da se na web stranici. I tako su stavili ove sve gore u Google Marketplace, u Android Marketplace, a kad je netko traÅ¾io da vidi je li njihova banka je zahtjev da bi pronaÅ¡li laÅ¾nu prijavu, koje prikupljaju njihove vjerodajnice, a zatim ih preusmjeriti na svoje web stranice. NaÄin na koji to zapravo postao-aplikacije uvijek bile tamo za nekoliko tjedana, i tu su tisuÄe i tisuÄe preuzimanja. 

NaÄin to je doÅ¡lo na vidjelo je netko imao problem s jednim od aplikacija, te su pozvali svoju banku, te su pozvali za podrÅ¡ku klijentima liniju svoje banke i rekao: "Imam problema sa svojom mobilnom bankarskog primjene." "MoÅ¾ete li mi pomoÄi?" A oni rekoÅ¡e: "Mi nemamo mobilnog bankarstva prijavu." To je zapoÄeo istragu. To je banka pod nazivom Google, a zatim Google pogledao i rekao: "Wow, isti autor napisao je 50 prijava, bankovne," i uzeo ih sve dolje. No, sigurno to ne ponovi. Tu je popis svih razliÄitih banaka ovdje koji su bili dio ove prijevare. Druga stvar app moÅ¾e uÄiniti je prisutna UI druge aplikacije. Iako je trÄanje moglo bi se pojaviti na Facebook UI. Ona kaÅ¾e da morate staviti na svoje korisniÄko ime i lozinku za nastavak ili staviti bilo korisniÄko ime i lozinku UI za web stranicu da moÅ¾da korisnik koristi samo pokuÅ¡ati izigrati korisnik u stavljajuÄi svoje vjerodajnice u. Ovo je stvarno ravno paralelno od e-phishing napada gdje vam netko poÅ¡alje poruku e-poÅ¡te i daje vam osnovi laÅ¾nog suÄelje za web stranicu da imate pristup. 

Druga je stvar Å¡to traÅ¾iti u malicioznog koda je sustav modifikacija. MoÅ¾ete traÅ¾iti sve API poziva koje zahtijevaju root privilegije pravilno izvrÅ¡avanje. Promjena ureÄaja web proxy Äe biti neÅ¡to Å¡to primjena ne bi trebao biti u moguÄnosti to uÄiniti. Ali, ako program ima kod u za tu namjenu vi znate da je to vjerojatno zlonamjerni program ili vrlo vrlo vjerojatno da Äe biti zlonamjerni program, i tako Å¡to Äe se dogoditi je da app Äe imati neki naÄin eskalira privilegiju. To bi imati neke privilegije eskalacija iskoriÅ¡tavati u primjeni, a zatim nakon Å¡to je eskaliralo privilegije to Äe uÄiniti ove izmjene sustava. MoÅ¾ete naÄi malware koji ima eskalaciju privilegija u tome Äak i ne znajuÄi kako je eskalaciju privilegija iskoriÅ¡tavati Äe se dogoditi, a to je lijepo, jednostavan naÄin traÅ¾iti malware. DroidDream je vjerojatno najpoznatiji komad Android malware. Mislim da je to utjecalo oko 250.000 korisnika tijekom nekoliko dana prije nego Å¡to je naÄeno. Oni prepakirao 50 laÅ¾ne aplikacije, stavite ih u Android App Store, i bitno je nekad Android jailbreak kod eskalirati privilegije i tada uvesti zapovjedniÅ¡tvo i kontrolu i okrenuti sve Å¾rtve u bot mreÅ¾u, ali mogli su otkrivena ova ako su skeniranjem aplikaciju i samo traÅ¾e API poziva da zahtijeva root dopuÅ¡tenje za izvrÅ¡iti ispravno. 

I tu je primjer ovdje imam koji mijenja proxy, a to je zapravo dostupna samo na Android. MoÅ¾ete vidjeti Dajem ti puno primjera na Androidu jer ovo je mjesto gdje najaktivniji malware ekosustav jer to je stvarno lako za napadaÄa dobiti malicioznog koda u Android Marketplace. To nije tako jednostavno za napraviti da u Apple App Store jer Apple zahtijeva programerima da se identificiraju i potpisati kod. Oni su zapravo provjeriti tko ste, i Apple je zapravo provjeri aplikacije. Ne vidim puno pravog malware gdje je ureÄaj uzimajuÄi ugroÅ¾ena. Ja Äu govoriti o nekim primjerima gdje je stvarno privatnost da je dobivanje ugroÅ¾ena, i to je ono Å¡to se stvarno dogaÄa na Apple ureÄaja. JoÅ¡ jedna stvar koju treba traÅ¾iti malicioznog koda, riziÄno kod u ureÄaje je logika ili tempirane bombe, a tempirane bombe su vjerojatno mnogo lakÅ¡e traÅ¾iti od logiÄkih bombi. No, s vremenom su bombe, Å¡to moÅ¾ete uÄiniti je da moÅ¾ete traÅ¾iti mjesta u kodu gdje je testirano vrijeme i apsolutni put je traÅ¾io Prije odreÄene funkcije u app dogodi. A to moÅ¾e biti uÄinjeno kako bi sakrili tu aktivnost od korisnika, pa to se dogaÄa kasno u noÄ. DroidDream uÄinio sve svoje djelovanje 11:00-08:00 po lokalnom vremenu pokuÅ¡ati to uÄiniti dok se korisnik ne moÅ¾e biti koristeÄi svoj ureÄaj. 

Drugi razlog za to je, ako se ljudi koriste ponaÅ¡anja analizu zahtjeva, trÄanje app u pjeÅ¡Äaniku da se vidi Å¡to je ponaÅ¡anje zahtjeva, oni mogu koristiti vremenski-based logiku uÄiniti aktivnost kada app nije u pjeÅ¡Äaniku. Na primjer, app store poput Applea pokreÄe aplikaciju, ali vjerojatno ne izvoditi svaki zahtjev za, recimo, 30 dana Prije odobravanja, tako da moÅ¾ete staviti Logika u svojoj prijavi da je rekao, u redu, samo da se neÅ¡to loÅ¡e Nakon 30 dana je proÅ¡ao i nakon 30 dana nakon objavljivanja datuma podnoÅ¡enja zahtjeva, i da moÅ¾e pomoÄi malicioznog koda sakriti od ljudi inspekciju za to. Ako su anti-virus tvrtki radi stvari u sandboxes ili APP same priÄe su to moÅ¾e pomoÄi sakriti da se od tog pregleda. Sad, druga strana je to da je lako naÄi s statiÄke analize, pa zapravo provjerom kod moÅ¾ete pogledati na svim mjestima u kojoj je zahtjev testovi vremena i pregledati na taj naÄin. I ovdje imam neke primjere tih 3 razliÄite platforme kako vrijeme moÅ¾e se provjeriti za koju app za kavu tako da znate Å¡to traÅ¾iti ako ste inspekciju aplikaciju statiÄki. 

Upravo sam proÅ¡ao kroz cijelu hrpu raznih zlonamjernih aktivnosti koje smo vidjeli u divljini, ali one koji su najÄeÅ¡Äi? Iste studija iz North Carolina State Mobile Genome Project objavljeno neke podatke, a bilo je u osnovi 4 podruÄja da su vidjeli gdje je bilo puno aktivnosti. 37% od aplikacije uÄinio eskalaciju privilegija, tako da su imali neku vrstu bjekstvo iz zatvora kod tamo gdje su pokuÅ¡ali eskalirati povlastice, tako da su mogli nemojte API naredbe radi kao operativni sustav. 45% od aplikacije vani je premium SMS, , tako da je veliki postotak koji pokuÅ¡ava izravno ostvaruju. 93% je daljinski upravljaÄ, pa su pokuÅ¡ali postaviti bot net, mobilni bot mreÅ¾u. A 45% dobivenih identifikacijske podatke kao Å¡to su telefonski brojevi, UUIDs, GPS lokacije, korisniÄkih raÄuna, a to dovodi do viÅ¡e od 100, jer je veÄina malware pokuÅ¡ava napraviti neke od tih stvari. 

Äu se prebaciti na drugu polovicu i razgovarati o kodu ranjivosti. Ovo je druga polovica riziÄne aktivnosti. Ovo je mjesto gdje u biti programer Äini pogreÅ¡ke. Legitimna developer pisanje legitiman app Äini pogreÅ¡ke ili je u neznanju o rizicima mobilne platforme. Oni jednostavno ne znaju kako to napraviti sigurnu mobilnu aplikaciju, ili ponekad programer ne zanima staviti korisnika u opasnosti. Ponekad dio njihovog poslovnog modela moglo biti berbu korisnika osobne podatke. To je neka vrsta druge kategorije, i to je razlog zaÅ¡to su neki od ovaj zlonamjerni u odnosu na legitimne poÄinje krvariti viÅ¡e jer postoji razlika u miÅ¡ljenjima izmeÄu onoga Å¡to korisnik Å¾eli i Å¡to korisnik smatra riziÄnim i Å¡to aplikacija razvijen smatra riziÄnim. Naravno, to nije data je aplikacija razvijen je u veÄini sluÄajeva. 

I onda napokon, drugi put se to dogodi je developer mogla povezati u zajedniÄka knjiÅ¾nica koja ima propusta ili ovo riziÄno ponaÅ¡anje u njemu Bez znanja njih. Prva kategorija je osjetljiva curenja podataka, a to je kada app prikuplja podatke kao mjesto, informacije adresar, vlasnik informacija i Å¡alje da iskljuÄivanje ureÄaja. I nakon Å¡to je iskljuÄen ureÄaja, ne znamo Å¡to se dogaÄa s tim informacijama. To bi mogao biti pohranjeni nesigurno aplikacijski programer. Vidjeli smo aplikacija programerima dobiti ugroÅ¾ena, i podataka koje oni spremanje netko oduzme. To se dogodilo prije nekoliko mjeseci s developer na Floridi gdje je veliki broj-to je iPad UUIDs i imena ureÄaja su procurile jer je netko, mislim da je bilo anonimno, tvrdio da to uÄinite, provalio u razvojnom posluÅ¾iteljima i ukrao milijune ipad UUIDs i raÄunalnih imena. Ne najriziÄnijih informacije, ali Å¡to ako je to bio pohranu korisniÄkih imena i lozinki i kuÄne adrese? Ima puno aplikacija koje Äuvaju takve informacije. Rizik postoji. 

Druga stvar koja se moÅ¾e dogoditi je da programer ne brine osigurati podatkovni kanal, i to je joÅ¡ jedan veliki propust Äu govoriti o, da se podaci Å¡alju u jasan. Ako je korisnik na javnom Wi-Fi mreÅ¾e ili netko njuÅ¡ka internet negdje na putu je da su izloÅ¾eni da podaci. Jedan vrlo poznati sluÄaj ovog curenja informacija dogodilo s Pandore, i to je neÅ¡to Å¡to smo istraÅ¾ivali na Veracode. Äuli smo da je-mislim da je Federal Trade Commission Istraga dogaÄa s Pandore. Rekli smo: "Å to se dogaÄa tamo? PoÄnimo kopanje u Pandora primjene." I ono Å¡to smo utvrdili je Pandora prijava prikupljeni vaÅ¡ spol i svoju dob, i to je takoÄer pristupiti GPS poloÅ¾aj, a Pandora aplikaciju nije to za Å¡to su rekli su opravdani razlozi. Glazba koja se igraju-Pandora je streaming glazbe app- glazba koju su svirali je licenciran samo u Sjedinjenim AmeriÄkim DrÅ¾avama, pa su morali provjeriti u skladu sa svojim licencnim ugovorima koji su imali za glazbu koja je korisnik bio u Sjedinjenim AmeriÄkim DrÅ¾avama. TakoÄer su Å¾eljeli biti u skladu s roditeljskim savjetodavne oko jezika za odrasle u glazbi, pa to je dobrovoljni program, ali oni su htjeli da se u skladu s tim i ne igraju eksplicitne tekstove na djecu 13 i ispod. 

Imali su legitimne razloge za prikupljanje tih podataka. Njihov app imao ovlasti za to uÄiniti. Korisnici mislio da je to legitimno. No, ono Å¡to se dogodilo? Oni su povezani u 3 ili 4 razliÄite knjiÅ¾nice oglasa. Sada sve je odjednom sve te oglasne knjiÅ¾nicama uzimajuÄi pristup tom istom informacija. Ad knjiÅ¾nice, ako pogledate koda u knjiÅ¾nicama ad Å¡to rade je svaki oglas knjiÅ¾nica, kaÅ¾e "Ima li moj app dozvolu za preuzimanje GPS poloÅ¾aja?" "Oh, to ne? Ok, reci mi GPS poloÅ¾aja." Svaki oglas knjiÅ¾nica ne radi, a ako app nema GPS dozvolu to neÄe biti u stanju da ga se, ali ako se to dogodi, to Äe ga dobiti. Ovo je mjesto gdje poslovni model od knjiÅ¾nicama ad protivi privatnost korisnika. I tu je bio studij vani koji Äe reÄi: ako znate u dobi osobe, a vi znate svoje mjesto gdje spavati noÄu, jer imate svoje GPS koordinate a Å¡to moÅ¾da spava, znate toÄno tko je ta osoba jer moÅ¾ete odrediti koji Älan tog kuÄanstva je ta osoba. Stvarno je to identificiranje za oglaÅ¡ivaÄe toÄno tko si, a izgleda da je to bila legitimna. Samo Å¾elim svoj streaming glazbe, a to je jedini naÄin da ga dobijete. 

Pa, izloÅ¾eni smo to. To smo pisali u nekoliko blogu, , a ispostavilo se da je netko iz magazina Rolling Stone proÄitao jednu od naÅ¡ih blogu i napisao svoj blog u magazinu Rolling Stone o tome, a veÄ sljedeÄeg dana Pandora je mislio da je dobra ideja ukloniti knjiÅ¾nice oglase od njihove primjene. Koliko ja znam oni su se samo-im treba pohvaliti. Mislim da su samo freemium vrsta app koji je to uÄinio. Svi ostali freemium aplikacije imaju tu isto ponaÅ¡anje, pa moraÅ¡ razmiÅ¡ljati o tome Å¡to vrste podataka koju daje ove freemium aplikacije, jer sve ide na oglaÅ¡ivaÄe. Pretorska takoÄer je studiju o zajedniÄkim knjiÅ¾nicama i rekao: "Pogledajmo Å¡to dijeli knjiÅ¾nice su top dijeljene biblioteke," i to je bio podaci. 

Analizirali su 53.000 aplikacija, i broj 1. zajedniÄka knjiÅ¾nica je AdMob. Bilo je to zapravo u 38% aplikacija vani, tako da 38% od aplikacija koju koristite su vjerojatno berbu vaÅ¡e osobne podatke i slanje na oglasne mreÅ¾e. Apache i Android su 8% i 6%, i onda ove druge one dolje na dnu, Google oglasi, nalet, Mob Grad i Milenijskih Media, to su sve oglasne tvrtki, a onda, zanimljivo, 4% vezan na Facebooku knjiÅ¾nici vjerojatno to uÄiniti autentikaciju putem Facebooka pa app mogao provjeriti autentiÄnost Facebook. No, to takoÄer znaÄi da je korporacija Facebook kontrolira kod koji je pokrenut u 4% Android mobilne aplikacije vani, i imaju pristup svim podacima koji app koji ima dozvolu za dobivanje na. Facebook suÅ¡tini pokuÅ¡ava prodati reklamni prostor. To je njihov poslovni model. 

Ako pogledate cijeli ovaj ekosustav s tim dozvolama i zajedniÄke knjiÅ¾nice poÄnete da se vidi da imate puno rizika u navodno legitimne primjene. Isto sliÄna stvar koja se dogodila s Pandore dogodilo s nekim programom pod nazivom Put, i put mislili da su se korisnim, prijateljski programeri. Oni su samo pokuÅ¡ava vam dati veliku korisniÄko iskustvo, , a ispostavilo se da je bez pitanja korisniku ili objasniti korisniku niÅ¡ta- a to se dogodilo na iPhone i Android, Pandora app bio na iPhone i Android- koji je put primjene grabbing cijeli adresar i upload na put samo kad ste instalirali i vodio program, i nisu vam reÄi o tome. Mislili su da je jako korisno za vas da bi mogli podijeliti sa svim ljudima u adresar da koristite Put prijavu. 

Pa, oÄito je put mislio da je to super za njihovu tvrtku. Nije tako velika korisniku. Morate mislim da je jedna stvar, ako moÅ¾da tinejdÅ¾er koristi ovu aplikaciju i njihovi desetine prijatelji su tu, ali Å¡to ako je to predsjednik Uprave tvrtke koja instalira put a onda odjednom cijelu svoju adresar je tamo gore? Ti ÄeÅ¡ dobiti puno potencijalno vrijedne podatke za kontakt za puno ljudi. Novinar New York Timesa, moÅ¾da Äete biti u moguÄnosti da biste dobili broj telefona za bivÅ¡e predsjednike iz njihova adresara, tako da je oÄito puno osjetljivih informacija dobiva prenose s neÄim kao Å¡to je ovaj. Bilo je kao veliki flap o tome da je put ispriÄao. Oni su promijenili svoju aplikaciju, i to Äak utjecali Apple. Apple je rekao: "Mi Äemo natjerati app prodavaÄ potaknuti korisnike ako oni Äe skupiti svoju cijelu adresar. " 

Izgleda da je ono Å¡to se ovdje dogaÄa je kada postoji jedna velika krÅ¡enje privatnosti i Äini novinare vidimo promjenu vani. Ali naravno, ima i drugih stvari vani. LinkedIn aplikacije berbi kalendarske zapise, ali Apple ne bi korisnik se zatraÅ¾i o tome. Stavke kalendara moÅ¾e imati osjetljive informacije u njima previÅ¡e. Gdje ÄeÅ¡ povuÄi crtu? To je zapravo vrsta evoluira mjesto tamo gdje stvarno nema dobar standard vani za korisnike da razumiju kad im se informacije Äe biti u opasnosti a kad oni Äe znati Å¡to se poduzima. Napisali smo aplikaciju na Veracode zove Adios, i bitno je dopustio da pokaÅ¾ete aplikaciju na svoj iTunes katalog i pogled na sve aplikacije koje su Å¾etvu svoju punu adresar. I kao Å¡to moÅ¾ete vidjeti na ovom popisu ovdje, Angry Birds, AIM, AroundMe. ZaÅ¡to Angry Birds potrebno adresar? Ne znam, ali to ipak nekako. 

To je neÅ¡to Å¡to mnoge, mnoge aplikacije uÄiniti. MoÅ¾ete provjeriti kod za to. Tu je dobro definirane API za iPhone, Android i BlackBerry da se u adresar. MoÅ¾ete stvarno lako provjeriti za to, a to je ono Å¡to smo uÄinili u naÅ¡oj Adios primjene. SljedeÄa kategorija, Opasan Sensitive pohrana podataka, je neÅ¡to gdje programeri uzeti neÅ¡to poput pin ili broj raÄuna ili lozinku i spremite je u jasno na ureÄaju. Å to je joÅ¡ gore, oni to pohraniti u podruÄju na telefon koji je globalno dostupan, kao i na SD karticu. MoÅ¾ete to vidjeti ÄeÅ¡Äe na Androidu, jer Android omoguÄuje SD karticu. IPhone ureÄaja ne. No, Äak smo vidjeli to dogodilo u Citigroup primjene. Njihova online bankarstva aplikacije pohranjene brojeve raÄuna nesigurno, samo u jasna, pa ako ste izgubili svoj ureÄaj, bitno da ste izgubili svoj bankovni raÄun. To je razlog zaÅ¡to ja osobno ne radim bankarstva na moj iPhone. Mislim da je previÅ¡e riskantno upravo sada uÄiniti ove vrste aktivnosti. 

Skype uÄinio istu stvar. Skype, naravno, ima raÄun platne bilance, korisniÄko ime i lozinku da je pristup tu ravnoteÅ¾u. Oni su spremanje sve te podatke na jasan na mobilnom ureÄaju. Imam neke primjere ovdje stvaranja datoteke da nemaju pravo dopuÅ¡tenja ili pisanje na disk a ne da bilo enkripcija dogoditi za to. Ovaj sljedeÄi podruÄje, Opasan Sensitive prijenosa podataka, Ja sam aludirao na to nekoliko puta, a zbog javne Wi-Fi to je neÅ¡to Å¡to apps apsolutno treba uÄiniti, i to je vjerojatno ono Å¡to vidimo pogrijeÅ¡iti najviÅ¡e. Ja bih rekao-zapravo, mislim da imam stvarne podatke, ali to je blizu pola mobilne aplikacije zeznuti radi SSL. Oni jednostavno ne koriste API ispravno. Mislim, sve Å¡to moraÅ¡ uÄiniti je slijediti upute i koristite API-ja, ali oni takve stvari ne bi provjeriti da li postoji valjan certifikat na drugom kraju, Ne provjerite je li drugi kraj pokuÅ¡ava napraviti protokol unazaditi napad. 

Programeri, oni Å¾ele da se njihov okvir, zar ne? Njihov zahtjev je da koristite ovu prodati. Oni su koristili to prodati. Uvjet je da ne koriste ova prodati sigurno, pa to je razlog zaÅ¡to sve aplikacije koje koriste SSL za siguran prijenos podataka kao da je u tijeku prijenos off ureÄaj doista treba pregledati kako bi bili sigurni da je pravilno proveden. I ovdje imam neke primjere gdje moÅ¾ete vidjeti prijavu moÅ¾da koristi HTTP umjesto HTTPS. U nekim sluÄajevima aplikacije Äe se vratiti na HTTP ako HTTPS ne radi. Imam joÅ¡ jedan poziv ovdje na Android gdje ste onemoguÄen Äek certifikat, pa Äovjek-in-the-middle napad moÅ¾e dogoditi. Valjan certifikat Äe biti prihvaÄena. Sve su to sluÄajevi u kojima napadaÄi su iduÄi u biti u moguÄnosti da biste dobili na Isto Wi-Fi veze kao korisnika i pristup svim podacima koji je poslan preko interneta. 

I na kraju, zadnja kategorija Imam ovdje je hardcore lozinkom i tipke. Mi zapravo vidjeti puno programere koristiti isti stil kodiranja da oni kad su gradili web posluÅ¾itelja aplikacija, pa oni izgradnji Java posluÅ¾itelj aplikacija, a oni hardcoding tipku. Pa, ako ste izgradnju server aplikacija, yeah, hardcoding kljuÄ nije dobra ideja. To ga Äini teÅ¡ko promijeniti. No, to i nije tako loÅ¡e na strani posluÅ¾itelja, jer tko ima pristup strani posluÅ¾itelja? Samo administratori. No, ako se uzme isti kod i da ga izlio preko mobilne aplikacije Sada svatko tko ima taj mobilnih aplikacija ima pristup tom kljuÄu hardcore, i doista vidimo to puno puta, a ja imam neke statistike o tome koliko Äesto vidimo se to dogoditi. To je zapravo bio primjer koda koji MasterCard objavljenom o tome kako koristiti njihove usluge. Primjer koda su pokazali kako bi samo uzeti lozinku i staviti ga u hardcore nizu tamo, a znamo kako programeri vole kopirati i zalijepiti koda kad pokuÅ¡avamo neÅ¡to napraviti, tako da kopirate i zalijepite isjeÄak koda da je dao kao primjer koda, a vi imate nesiguran prijavu. 

A ovdje imamo neke primjere. Ovaj prvi je onaj koji smo vidjeli puno gdje su hardcode Pravo podataka u URL koji se Å¡alju. Ponekad vidimo string password = lozinku. To je priliÄno lako otkriti, ili string password na BlackBerry i Android. To je zapravo priliÄno lako provjeriti, jer gotovo uvijek povjerenik za razvoj imena varijabla koja drÅ¾i lozinku neke varijacije lozinkom. Spomenuo sam da Äemo napraviti statiÄku analizu na Veracode, tako smo analizirali nekoliko stotina Android i iOS aplikacije. Mi smo izgradili puni modele njih, a mi smo u moguÄnosti da ih skenirati za razliÄite ranjivosti, posebno ranjivosti sam priÄao, i ja imam neke podatke ovdje. 68,5% od Android aplikacija smo gledali provalio kriptografski kÃ´d, koji je za nas, ne moÅ¾emo otkriti ako ste napravili svoj kripto rutinu, Nije da je to dobra ideja, ali to je zapravo koristi objavljene API koji su na platformi, ali ih radi na takav naÄin da kripto Äe biti ranjiv, 68.5. A to je za ljude koji su nam Å¡alju svoje zahtjeve, jer zapravo oni misle da je dobra ideja da sigurnost ispitivanje. To su veÄ ljudi koji su vjerojatno misleÄi sigurno, tako da je vjerojatno joÅ¡ gore. 

Nisam govoriti o kontrolnom linije injekcije hrane. To je neÅ¡to Å¡to smo provjerili, ali to nije to riziÄno problem. Curenje informacija, ovo je mjesto gdje osjetljivi podaci se Å¡alju s ureÄaja. Otkrili smo da u 40% prijava. Vrijeme i stanje, to su utrke tipa uvjet pitanja, obiÄno priliÄno teÅ¡ko iskoristiti, pa nisam o tome priÄati, ali smo gledali na njega. 23% je SQL injection pitanja. Puno ljudi ne zna da je puno aplikacija koristiti mali malo SQL baza podataka na njihovim leÄima kraju za pohranu podataka. Pa, ako su podaci koje ste grabbing preko mreÅ¾e ima SQL injection napad konce u njemu netko moÅ¾e ugroziti ureÄaja kroz koji, pa mislim da smo pronaÅ¡li oko 40% web aplikacije imaju ovaj problem, Å¡to je ogromna epidemija problem. Smatramo da je 23% vremena u mobilnim aplikacijama i to je vjerojatno zato Å¡to mnogo viÅ¡e web aplikacije koriste SQL nego mobitel. 

I onda mi joÅ¡ vidjeti neki Cross-Site Scripting, pitanja ovlaÅ¡tenje, a zatim uvjerenje za upravljanje, to je mjesto gdje imate svoj hardcore lozinku. U 5% aplikacija vidimo da. I onda imamo neke podatke o iOS. 81% ima problema rukovanje pogreÅ¡kama. To je viÅ¡e od problema je kod kvalitete, ali 67% je kriptografske pitanja, pa nije baÅ¡ tako loÅ¡e kao android. MoÅ¾da API-ji su malo lakÅ¡e, primjer koda malo bolje na iOS. No, i dalje je vrlo visok postotak. Imali smo 54% sa curenja informacija, oko 30% u puferu za upravljanje pogreÅ¡ke. To je mjesto gdje postoji potencijalno mogao biti problem korupcije memorije. Ispada da to nije tako mnogo problema za eksploataciju na iOS, jer sve kod mora biti potpisan, tako da je teÅ¡ko za napadaÄu izvrÅ¡avanje proizvoljnog koda na iOS. Kvaliteta Code, imenik obuhvaÄanje, ali onda vjerodajnice za upravljanje ovdje na 14,6%, pa gore nego na Androidu. Imamo ljudi ne postupa ispravno lozinke. A onda su brojÄane pogreÅ¡ke i buffer overflow, one su viÅ¡e Äe biti kod pitanja kvalitete na iOS. 

To je to za moju prezentaciju. Ja ne znam je li mi viÅ¡e vremena ili ne. Ja ne znam da li postoji bilo kakva pitanja. [MuÅ¡ko] brzo pitanje oko fragmentacije i Android Marketa. Apple barem posjeduje krpanje. Oni napraviti dobar posao uzimajuÄi ga vani dok je manje u Android prostora. Gotovo da trebate jailbreak telefona ostati u tijeku s trenutnom verzijom Android. Da, to je veliki problem i tako, ako mislite o tome- [MuÅ¡ko] ZaÅ¡to ne moÅ¾ete to ponoviti? 

Oh, zar ne, pa je pitanje je Å¡to o fragmentacija operativnog sustava na Android platformi? Kako to utjeÄe na riziÄnosti tih ureÄaja? I to je zapravo veliki problem, jer ono Å¡to se dogaÄa je stariji ureÄaji, kad netko dolazi s jailbreak za taj ureÄaj, u biti to je privilegija eskalacija, a dok se to operativni sustav aÅ¾uriran bilo malware onda moÅ¾ete koristiti tu ranjivost u potpunosti kompromitirati ureÄaja, i ono Å¡to vidimo na Android je kako bi se novi operativni sustav Google mora ugasiti operacijski sustav, a zatim proizvoÄaÄa hardvera ima da ga prilagoditi, a zatim prijevoznik mora prilagoditi i dostaviti. Imate osnovi 3 pokretnih dijelova ovdje, i to je izlaskom da prijevoznici ne zanima, i proizvoÄaÄi hardvera ne zanima, a Google nije ih Ispitivao dovoljno uÄiniti niÅ¡ta, pa u biti viÅ¡e od polovice ureÄaja vani imaju operativne sustave koji imaju ove eskalacije privilegija ranjivosti u njima, i tako, ako ste dobili malware na Android ureÄaju to je puno viÅ¡e problema. 

Ok, puno ti hvala. [Aplauz] [CS50.TV]