[Seminár] [Obrana Za zariadenie: Mobile Application Security]
 [Chris Wysopal] [Harvard University]
 [To je CS50.] [CS50.TV]
 

Dobrý deň. Volám sa Chris Wysopal.
 Som CTO a spoluzakladateľ Veracode.
 Veracode je bezpečnostné aplikácie spoločnosti.
 Testujeme všetky druhy rôznych aplikácií,
 a čo ja budem hovoriť o dnes je bezpečnosť mobilných aplikácií.
 Moje pozadie je som robil výskum v oblasti bezpečnosti
 po veľmi dlhú dobu, asi tak dlho, ako všetci.
 Som začal v polovici 90. rokov,
 a to bol čas, to bolo celkom zaujímavé, pretože
 sme mali zmenu paradigmy v polovici 90. rokov.
 Všetky počítače náhlej každého bol pripojený k internetu,
 a potom sme mali začiatky webových aplikácií,
 a to je to, čo som sa zameral na veľa potom.
 To je zaujímavé.
 Teraz máme ďalšiu zmenu paradigmy sa deje s počítačmi,
 čo je posun na mobilných aplikácií.
 

Mám pocit, že je to trochu podobné dobu, potom to bolo v druhej polovici 90. rokov
 keď sme boli vyšetrovaní webových aplikácií a hľadanie závad, ako sú
 Chyby správu relácie a SQL injection
 ktorá naozaj neexistoval predtým, a zrazu boli všade
 vo webových aplikáciách, a teraz veľa času trávim
 sa pozerá na mobilných aplikácií a pri pohľade na to, čo sa deje tam vonku vo voľnej prírode.
 Mobilné aplikácie sú skutočne bude dominantné výpočtovej platformy,
 takže sme naozaj musieť stráviť veľa času, ak ste v bezpečnostnom priemysle
 so zameraním na webové aplikácie.
 Tam bolo 29 miliárd mobilné aplikácie stiahnutej v roku 2011.
 Je odhadované na 76 miliárd apps do roku 2014.
 K dispozícii je 686 miliónov zariadení, ktoré sa chystáte byť zakúpené v tomto roku,
 tak to je miesto, kde ľudia budú robiť
  Väčšina ich klienta na počítači aj do budúcnosti.
 

Hovoril som viceprezident Fidelity Investments
 pred pár mesiacmi, a on povedal, že práve videl väčšiu návštevnosť
 robiť finančné transakcie od ich zákazníkov
 na ich mobilné aplikácie, ako na svojich internetových stránkach,
 takže spoločné použitie pre web v minulosti bolo
 kontrolu svoje kurzy akcií, správu portfólia,
 a my sme vlastne vidieť, že v roku 2012 prepínači cez
 byť viac dominantný na mobilnej platforme.
 Iste, ak sa to bude akákoľvek trestná činnosť,
 akákoľvek škodlivá aktivita, bude to začať byť zameraná na mobilnej platforme
 v priebehu času, ako ľudia prepnúť na to.
 Ak sa pozriete na mobilnú platformu,
 pozrieť sa na riziká platformy je užitočné rozčleniť do rôznych vrstiev,
 rovnako ako by ste to na stolnom počítači,
 a ty si myslíš o rôznych vrstvách, softvér, operačný systém,
 sieťová vrstva, hardware vrstva, a samozrejme, je tu slabé miesta vo všetkých týchto vrstvách.
 

To isté sa deje na mobil.
 Ale mobilné, zdá sa, že niektoré z týchto vrstiev sú na tom horšie.
 Pre jedného, ​​sieťovej vrstvy je problematickejšie na mobil
 pretože veľa ľudí, ktorí majú vo svojej kancelárii alebo doma
 káblové pripojenie alebo majú zabezpečené pripojenie Wi-Fi,
 a s mnohými mobilných zariadení ste zrejme mimo domova
 alebo mimo kanceláriu veľa, a ak používate Wi-Fi pripojenie na internet tam
 môžete používať nezabezpečené Wi-Fi pripojenie,
 niečo, čo je verejné Wi-Fi pripojenie k internetu,
 takže keď si myslíme, že o mobilných aplikácií musíme vziať do úvahy
 že sieťové prostredie je rizikovejšie pre tie aplikácie,
 ak je Wi-Fi používa.
 A keď som sa dostal do viacerých mobilných rizík aplikácie
 uvidíte, prečo je to oveľa dôležitejšie.
 Existujú riziká na úrovni hardvéru na mobilných zariadeniach.
 To je oblasť pokračujúceho výskumu.
 Ľudia hovoria tieto širokopásmové útoky alebo útoky základného pásma
 kam útočia na firmware, ktorý počúva v rádiu.
 

Tie sú naozaj desivé útoky, pretože
 používateľ nemusí nič robiť.
 Môžete hit veľa zariadení v RF rozsahu
 naraz, a vyzerá to, že keď tento výskum bubliny
 to rýchlo dostane zaradený kde
 ľudia vrhnúť sa okolo a povedal: "Tu, povedzte nám o tom, prosím, a prestať hovoriť o tom."
 Tam je nejaký výskum sa deje v oblasti broadbandu,
 ale zdá sa, že veľmi Hush Hush.
 Myslím, že je to skôr typ národ štátnej výskumu, čo sa deje.
 Oblasť aktívneho výskumu, aj keď je operačný systém vrstva,
 a opäť, toto je niečo iné, než na ploche svete výpočtovej techniky
 pretože v mobilnom priestore máte tieto tímy ľudí zvaných Jailbreakers,
 a Jailbreakers sú iné ako pravidelné výskumníkmi zraniteľnosti.
 Snažia sa nájsť slabé miesta v operačnom systéme,
 ale dôvod, prečo sa snažíte nájsť slabé miesta nie je
 preniknúť do prístroja niekoho iného, ​​a ohroziť ju.
 Je to preniknúť do ich vlastného počítača.
 

Chcú preniknúť do ich vlastný mobilný telefón, zmeniť operačný systém, svoje vlastné mobile
 aby mohli spúšťať aplikácie podľa svojho výberu
 a zmeniť veci s plnými oprávneniami správcu,
 a nechcú povedať dodávateľa o tom. Už nie ako bezpečnostný výskumník, ktorý je biely klobúk bezpečnostný výskumník
 ktorá sa chystá urobiť zodpovedné zverejňovanie a povedať dodávateľa o tom.
 Chcú to urobiť výskum, a chcú, aby skutočne zverejní ho
 vo využití alebo rootkit alebo útek z väzenia kódu,
 a chcú, aby to strategicky, ako hneď po
 dodávateľa lode nový operačný systém.
 Máte tento kontradiktórne vzťah
 s zraniteľnosti na mobilný OS na úrovni,
 čo myslím, že je celkom zaujímavé, a jedno miesto, kde by sme ho vidieť
 Je to robí to tak, že je tu dobrá zverejnený kód zneužitie je vonku
 pre kernel-level zraniteľnosti,
 a my sme videli tie vlastne byť používaný malware spisovateľov.
 Je to trochu iné ako na PC svete.
 A potom finálna vrstva je horná vrstva, aplikačná vrstva.
 To je to, čo ja budem hovoriť o dnes.
 

Ostatné vrstvy existujú, a ďalšie vrstvy hrať na to,
 ale ja som hlavne hovoriť o tom, čo sa deje na aplikačnej vrstve
 kde je kód bežiaci v karanténe.
 To nemá oprávnenie správcu.
 Má sa používať rozhranie API z prístroja,
 ale stále veľa nebezpečnej činnosti a množstvo nebezpečenstvo sa môže stať v tej vrstve
 pretože to je vrstva, kde sú všetky informácie.
 Aplikácie môžu pristupovať všetky informácie o zariadení
 ak majú správne oprávnenia,
 a budú mať prístup rôzne senzory na prístroji,
 Senzor GPS, mikrofón, kamera, čo majú tí.
 Aj keď hovoríme len o na aplikačnej vrstve
 máme veľa rizík tam.
 Ďalšia vec, ktorá je odlišná o mobilnom prostredí
 sú všetky použité operačný systém hráči, či už je to BlackBerry alebo Android
 alebo iOS alebo Windows Mobile, všetci majú jemnozrnné modelu oprávnenie,
 a toto je jeden zo spôsobov, ako sa zabudovaných do operačného systému
 Myšlienka, že to nie je tak riskantné, ako si myslíte.
 Aj keď budete mať všetky svoje kontakty na tú, všetky vaše osobné údaje,
 máte svoje fotky, môžete mať svoje miesto tam,
 ste ukladanie bankový PIN pre automatické prihlásenie na tam, že je to bezpečné, pretože
 aplikácia musí mať určité povolenie, aby sa v niektorých častiach
 informácie o zariadení, a užívateľ musí byť prezentované s
 tieto oprávnenia a hovoriť v poriadku.
 

Problém s ním je užívateľ vždy hovorí, že áno.
 Ako bezpečnostné osobu, viem, že môžete vyzvať užívateľa,
 povedať, niečo naozaj zlé sa stane, chceš aby sa to stalo?
 A ak ste v zhone, alebo je tu niečo, čo naozaj lákavá na druhej strane, že
 ako hra sa bude inštalovaná, že ste čakali,
 idú na tlačidlo poriadku.
 To je dôvod, prečo hovorím, na mojom snímke sem daj mi hodiť chrípky u ošípaných už,
 a môžete vidieť na snímke, tu je príklady BlackBerry povolenie krabici.
 To hovorí, že "Prosím nastavte oprávnenia BlackBerry Travel aplikácií
 Po kliknutí na tlačidlo nižšie, "a v podstate sa užívateľ práve chystá povedať,
 nastaviť povolenia a ušetrite.
 Tu je Android riadku, kde sa ukazuje veci,
 a to vlastne dáva niečo, čo skoro vyzerá ako varovanie.
 Je tu akýsi výnos tam ceduľou s nápisom sieťovej komunikácie, telefónneho hovoru,
 ale užívateľ bude kliknite na tlačidlo nainštalovať, nie?
 A potom ten Apple je úplne neškodný.
 To nedáva žiadny druh varovania.
 Je to len Apple by chcel použiť svoju aktuálnu polohu.
 Samozrejme, že sa chystáte na tlačidlo poriadku.
 

Tam je to jemnozrnný modelu povolenie,
 a aplikácie musia mať súbor manifestu, kde vyhlasujú,
 oprávnenia, ktoré potrebujú, a že bude sa zobrazí užívateľovi,
 a užívateľ bude musieť povedať, že som udeliť tieto oprávnenia.
 Ale buďme úprimní.
 Užívatelia sa práve chystá vždy hovorím v poriadku.
 Poďme sa rýchlo pozrieť na oprávnenia, ktoré tieto aplikácie žiadajú
 a niektoré z oprávnení, ktoré tam sú.
 Táto spoločnosť Praetorian robil prieskum v minulom roku
 z 53.000 aplikácií, analyzovaných v Android Markete a tretej strany trhov,
 tak to je všetko Android.
 A priemerný aplikácia požaduje 3 oprávnenia.
 Niektoré aplikácie požaduje 117 oprávnenia,
 tak samozrejme sa jedná o veľmi jemnozrnnej a príliš zložité pre užívateľa, aby pochopili,
 v prípade, že sú prezentované s touto aplikáciou, ktorá potrebuje týchto 117 oprávnenia.
 Je to ako koncový používateľ licenčnej zmluvy, ktorá je 45 strán dlho.
 Možno, že čoskoro budú mať možnosť, kde to je,
 vytlačiť oprávnenia a pošlite mi e-mail.
 

Ale keď sa pozriete na niektoré z najlepších zaujímavých oprávnenia
 24% z aplikácií, ktoré sú stiahnuté z 53000
 požadované GPS informácie zo zariadenia.
 8% si kontakty.
 4% odoslaných SMS a 3% prijatej SMS.
 2% zaznamenaný zvuk.
 1% spracované odchádzajúce hovory.
 Neviem.
 Nemyslím si, že 4% z aplikácií v App Store naozaj potrebujete odosielať textové správy SMS,
 takže si myslím, že je to náznak, že sa niečo neobvyklé deje.
 8% z aplikácií je potrebné čítať zoznam kontaktov. Je to asi nie je nutné.
 Jedným z ďalších zaujímavých vecí, o oprávnenie je
 ak odkazujú na zdieľaných knižníc do aplikácie
 ktoré dedí povolenia z aplikácie,
 takže ak vaša aplikácia potrebuje zoznamu kontaktov alebo napríklad umiestnenie GPS fungovať
 a prepojenie v reklamnej knižnice, napríklad,
 že reklama knižnica bude tiež môcť pristupovať kontakty
 a tiež byť schopný získať prístup k umiestnenie GPS,
 a vývojár aplikácie nevie nič o kóde, ktorý je spustený v reklamnej knižnici.
 Sú to práve prepojenie, ktoré do systému, pretože chcú speňažiť svoje aplikácie.
 

To je miesto, kde, a ja budem hovoriť o niektorých príkladoch to s
 aplikácie s názvom Pandora, kde vývojár aplikácie
 môže byť mimovoľne únik informácií
 od svojich užívateľov, pretože knižníc že som prepojených palcov
 Geodetické krajinu tam, pozeral sa na všetkých rôznych aplikácií
 , Ktoré boli hlásené v médiách ako škodlivý alebo robiť niečo, čo užívatelia nechceli
 a kontrolu veľa aplikácií, robíme veľa statickej binárne analýzy na mobilných aplikácií,
 takže sme je kontrolovaná a pozrel sa na samotného kódu-
 sme prišli s tým, čo nazývame naše top 10 zoznam rizikového správania v aplikáciách.
 A je to rozdelené do 2 častí, škodlivého kódu,
 takže sa jedná o zlé veci, že aplikácie by mohlo byť robiť, že
 je pravdepodobné, že bude niečo, čo sa zlými úmyslami individuálne
 výslovne dať do aplikácie, ale je to trochu rozmazaný.
 Mohlo by to byť niečo, čo developer si myslí, že je v poriadku,
 ale to skončí je myšlienka ako nebezpečný užívateľom.
 

A potom druhá časť je to, čo nazývame kódovanie zraniteľnosti,
 a to sú veci, kde v podstate developer sa robiť chyby
 alebo jednoducho nechápe, ako napísať aplikáciu bezpečne,
  a to je uvedenie app užívateľa na riziko.
 Chystám sa ísť cez tieto v detaile a dať nejaké príklady.
 Pre porovnanie, chcel som, aby sa na OWASP mobilné top 10 zoznamu.
 Jedná sa o 10 otázok, ktoré skupina na OWASP,
 Projekt Open Web Application Security, majú pracovnú skupinu
 pracuje na mobilnom top 10 zoznamu.
 Majú veľmi slávny web Top 10 zoznamu, ktoré sú top 10
 najrizikovejšími veci, ktoré môžete mať vo webovej aplikácii.
 Robia to isté pre mobilné telefóny,
 a ich zoznam je trochu iný, než ten náš.
 6 z 10 sú rovnaké.
 Majú 4, ktoré sú odlišné.
 Myslím, že majú trochu odlišný pohľad na
 Riziko v mobilných aplikáciách, kde mnoho ich otázok
 sú naozaj, ako aplikácia komunikuje na serveri back-end
 alebo to, čo sa deje na serveri back-end,
 nie je toľko aplikácií, ktoré majú rizikové správanie, ktoré sú len prostá klientskej aplikácie.
 

Tie červene sú tu rozdiely medzi zoznamami 2.
 A niektorí z môjho výskumného tímu sa vlastne prispel k tomuto projektu,
 takže uvidíme, čo sa stane v priebehu času, ale myslím, že stánok s jedlom je tu
 sme naozaj neviem, čo top 10 zoznam je v mobilných aplikáciách, pretože
 že som naozaj len asi 2 alebo 3 roky,
 a tam nebolo dosť času, aby skutočne skúmať operačné systémy
 a čo sú schopní, a tam nebolo dosť času
 pre škodlivý spoločenstvo, ak chcete, aby strávili dosť času
 snaží zaútočiť užívateľom prostredníctvom mobilných aplikácií, takže očakávam, že tieto zoznamy meniť trochu.
 Ale teraz, to sú top 10 vecí, ktoré robiť starosti.
 Možno sa čudujete, na mobilnom strane, kde nemá škodlivý mobilného kódu
 ako sa dostať k zariadeniu?
 North Carolina State má projekt Genome Project Mobile Malware
 kde sú zhromažďovaní čo najviac mobilné malware, ako môžu a analyzovanie,
 a že som v členení vstrekovacie vektory, ktoré mobilné malware používa,
 a 86% použiť techniku ​​zvanú prebaľovanie,
 a to je len na platforme Android
 môžete naozaj urobiť prebaľovanie.
 

Dôvod, prečo je Android kód je postavený s
 bajt kód Javy s názvom Dalvik, ktorý je ľahko decompilable.
 Čo zlý človek môže urobiť, je
 so systémom Android aplikáciu, dekompilovať ju,
 vložte svoj škodlivý kód, překompilovat to,
 a potom ju v App Store, ktorá sa vyhlási nová verzia tejto aplikácie,
 alebo len možná zmena názvu aplikácie.
 Keby to bola nejaká hra, zmeniť názov mierne,
 , A to tak, ako je upravené balenie 86% mobilný malware dostane distribuovaný.
 Je tu ďalší techniku ​​zvanú aktualizácie, ktorá je
 veľmi podobný prebalenie, ale v skutočnosti nechcete dať škodlivý kód palcov
 Čo robíte, je dáte do malej aktualizačný mechanizmus.
 Môžete dekompilovať, môžete dať do aktualizačného mechanizmu, a to překompilovat,
 a potom, keď aplikácia beží to stiahne malware na zariadení.
 

Zďaleka väčšina z nich sú tie dve techniky.
 Tam naozaj nie je moc na prevzatie pohon-by si, alebo automatickým sťahovaním na mobilné telefóny,
 ktoré by mohli byť ako phishing.
 Ahoj, pozrite sa na tento fakt super stránky,
 alebo budete musieť ísť na túto stránku a vyplňte tento formulár
 aby aj naďalej niečo robiť. Tí, ktorí sú phishingové útoky.
 To isté sa môže stať na mobilnú platformu, kde sa
 poukazujú na mobilné aplikácie na stiahnutie, hovoriť "Ahoj, tu je Bank of America."
 "Vidíme, že používate túto aplikáciu."
 "By ste mali stiahnuť túto inú aplikáciu."
 Teoreticky, to by mohlo fungovať.
 Možno, že to jednoducho nie je používaný tak, aby sa zistilo, či je úspešný, alebo nie,
 ale zistili, že sa používa menej ako 1% z času, ktorý techniky.
 Väčšina času je to naozaj prebaliť kód.
 

Je tu ďalšie kategórie tzv standalone
 kde sa niekto práve stavia zbrusu novej aplikácii.
 Majú vytvoriť aplikáciu, ktorá údajného niečo.
 Nie je to prebalenie niečo iné, a že má škodlivý kód.
 To je použité 14% času.
 Teraz chcem hovoriť o tom, čo je škodlivý kód robí?
 Jeden z prvých malware tam
 by ste mohli zvážiť spyware.
 Je to v podstate špehuje užívateľa.
 To zbiera e-maily, SMS správy.
 Ukazuje na mikrofón.
 To žne kontaktné knihu, a odošle ju na niekoho iného.
 Tento typ spyware existuje na PC,
 tak to dáva zmysel, aby sa ľudia snažia robiť na mobilných zariadeniach to.
 

Jeden z prvých príkladov tohto bol program s názvom Secret SMS Replicator.
 Bolo to v Android Marketplace pred pár rokmi,
 a myšlienka bola, keby ste mali prístup k niečí Android telefónu
 že ste chcel špehovať, takže možno je to váš manžel
 alebo vaše ďalších významných a chcete špehovať svoje textové správy,
 si môžete stiahnuť túto aplikáciu a nainštalujte ju a nastaviť
 poslať textovú správu SMS na Vás s kópiou
 každé textové SMS správy, ktoré dostali.
 To je samozrejme v porušovaní App Store, pokiaľ ide o služby,
 a toto bolo odstránené z trhu Android počas 18 hodín je, že tam,
 tak veľmi malý počet ľudí, ktorí boli v ohrození, pretože toto.
 Teraz si myslím, že v prípade, že bol program s názvom niečo možno trochu menej provokatívny
 ako Secret SMS Replicator by pravdepodobne fungovalo oveľa lepšie.
 Ale to bolo celkom jasné.
 

Jedna z vecí, ktoré môžeme urobiť pre to, zistiť, či aplikácia má toto správanie, ktoré nechceme
 je kontrolovať kód.
 To je naozaj veľmi jednoduché urobiť na Androide, pretože môžeme dekompilovať aplikácie.
 Na iOS môžete použiť disassembler, ako je IDA Pro
 pozrieť sa na to, čo Apis aplikácie volá a čo to robí.
 Napísali sme naše vlastné binárne statický analyzátor pre nášho kódu
 a robíme to, a tak to, čo by ste mohli urobiť, je by sa dalo povedať
 má zariadenie robiť čokoľvek, čo je v podstate ma špehoval alebo sledovanie ma?
 A mám nejaké príklady tu na iPhone.
 Tento prvý príklad je, ako pristupovať k UUID na telefóne.
 To je skutočne niečo, čo Apple práve zakázaný pre nové aplikácie,
 ale staré aplikácie, ktoré ste mohli bežiaci na vašom telefóne môže ešte urobiť,
 a tak, že jedinečný identifikačný kód môže byť použitý pre vás sledovať
 v mnohých rôznych aplikáciách.
 

Na Android, mám príklad tu, ako sa dostať polohu zariadenia.
 Môžete vidieť, že v prípade, že volanie API je tam, že aplikácia je sledovanie,
 a vidíte, či je to stále jemné umiestnenie alebo hrubé umiestnenie.
 A potom na dne tu, mám príklad, ako na BlackBerry
 aplikácia môže pristupovať k e-mailové správy v priečinku Doručená pošta.
 Jedná sa o druh vecí, ktoré môžete prezrieť vidieť
 v prípade, že aplikácia robí tieto veci.
 Druhá veľká kategória škodlivého správania, a to je pravdepodobne najväčší kategóriu teraz,
 je zakázané vytáčanie, neoprávnené prémiové textové správy SMS
 alebo neoprávnené platby.
 Ďalšia vec, ktorá je jedinečná v tom telefóne
 je prístroj pripojený do fakturačného účtu,
 a pri činnosti sa stalo na telefóne
 je možné vytvoriť poplatkov.
 Môžete si kúpiť veci po telefóne,
 a pri odoslaní premium SMS textovú správu, že ste skutočne dávať peniaze
 majiteľovi účtu telefónneho čísla na strane druhej.
 Tie boli zriadené, aby sa ceny akcií, alebo si svoj denný horoskop, alebo iné veci,
 ale môže byť nastavený tak, aby produkt objednať zaslaním SMS s textom.
 Ľudia dávajú peniaze na Červený kríž zaslaním textovej správy.
 Môžete dať 10 dolárov týmto spôsobom.
 

Útočníci, čo som urobil, je, že nastavenie
 účty v cudzích krajinách, a vložiť do malware
 , Že telefón bude odoslanie Premium SMS textovú správu,
 povedať, niekoľkokrát denne, a na konci mesiaca si uvedomíte, že ste strávili
 desiatky alebo dokonca stovky dolárov, a oni odísť s peniazmi.
 To bolo tak zlé, že to bol úplne prvá vec, ktorá pre Android
 Marketplace alebo miesto, to bol Google Trhovisko Android v tej dobe,
 a to je teraz Google Play-prvá vec, že ​​Google začal kontrolu.
 Keď Google začal distribuovať Android aplikácie na ich app store
 oni hovorili, že nebude kontrolovať na čokoľvek.
 Dáme aplikácie, akonáhle sme boli upozornení, že som porušil naše podmienky služby,
 ale nebudeme kontrolovať na čokoľvek. No, asi pred rokom to bolo tak zlé, s týmto premium SMS textových správ malware
 že je to prvá vec, ktorú začali kontrole.
 Ak aplikácia umožňuje odosielať textové správy SMS
 sa ďalej ručne skúmať túto žiadosť.
 Vyzerajú pre rozhrania API, ktoré vyžadujú tento,
 a teraz, pretože potom Google rozšíril,
 ale to bola prvá vec, ktorá sa začala hľadať.
 

Niektoré ďalšie aplikácie, ktoré robil nejaké textové správy SMS,
 Tento Android Qicsomos, myslím, že to je volané.
 Bolo to aktuálne udalosti na mobilný telefón, kde tento Carrier vyšiel
 ako spyware dať na prístroji dopravcovi,
 tak ľudia chceli vedieť, či ich telefón bol vystavený to,
 a to bezplatná aplikácia, ktorá skúša to.
 No, samozrejme, to, čo táto aplikácia urobila, bolo, že poslal prémiových textových správ SMS,
 tak tým testovaním, či ste napadnutý spywarom
 ste vložili malware do vášho zariadenia.
 Videli sme to isté sa stalo v poslednej Super Bowl.
 Tam bol falošný verzia Madden futbal
 ktorý poslal prémiové textové správy SMS.
 Je to vlastne pokúsil sa vytvoriť topánok sieť príliš na zariadení.
 Tu mám pár príkladov.
 Je zaujímavé, že Apple bol dosť chytrý,
 a neumožňujú aplikáciám odosielať textové správy SMS vôbec.
 Žiadna aplikácia môže urobiť.
 To je skvelý spôsob, ako sa zbaviť celej triedy zraniteľnosti,
 ale na Android, môžete to urobiť, a samozrejme, na BlackBerry, môžete to urobiť taky.
 Je zaujímavé, že na BlackBerry všetko, čo potrebujete, je internet oprávnenia
 poslať textovú správu SMS.
 

Ďalšia vec, naozaj, že sa pozrieme na
 keď sa pozeráme, či je niečo škodlivého, je len nejaký druh
 neoprávnená činnosť sietí, ako pozerať sa na činnosti siete
 aplikácia má mať jeho funkčnosť,
 a pozrieť sa na túto iné sieťové aktivite.
 Možno aplikácie, pracovať, musí získať dáta cez HTTP,
 ale ak to robí veci, cez e-mail alebo SMS alebo Bluetooth, alebo niečo také
 Teraz, že aplikácie by mohli byť nebezpečné, takže to je ďalšia vec, ktorú si môžete prezrieť na.
 A na tomto snímku tu mám niekoľko príkladov, ktoré.
 Ďalšia zaujímavá vec, ktorú sme videli s malware sa stalo v roku 2009,
 a stalo sa to vo veľkom štýle.
 Ja neviem, či sa to stalo, tak od tej doby, ale to bolo app
 že sa vydával za inú aplikáciu.
 Tam bol rad aplikácií, a to bolo nazvané útok 09Droid,
 a niekto sa rozhodol, že tam bolo veľa malých, regionálnych, stredne veľké banky
 že nemal on-line bankové aplikácie,
 takže to, čo urobil, bolo, že postavených asi 50 on-line bankové aplikácie
 že všetko, čo urobil, bolo, mať užívateľské meno a heslo
 a presmerovať vás na internetových stránkach.
 A tak dali to všetko v Google Marketplace,
 v Android Marketplace, a keď niekto hľadal, aby zistili, či ich banka
 Mal aplikácie, ktoré by sa nájsť falošné žiadosti,
 ktoré zhromažďujú svoje prihlasovacie údaje a potom presmerovaný do ich webových stránkach.
 Spôsobom, že to vlastne stalo, že aplikácia sa tam na pár týždňov,
 a tam boli tisíce a tisíce stiahnutie.
 

Spôsob, ako to prišlo k svetlu bol niekto má problém
 s jednou z aplikácií, a nazvali svoju banku,
 a oni volali zákazníckej linke ich banky a povedal,
 "Mám problém s vašim mobilným bankovníctvo."
 "Môžeš mi pomôcť?"
 A oni povedali: "Nemáme bankové aplikácie pre mobilné."
 To začalo vyšetrovanie.
 Že banka s názvom Google, a potom Google pozrel a povedal:
 "Wow, rovnaký autor napísal 50 bankových aplikácií," a vzal ich všetky dole.
 Ale určite sa to mohlo stať znovu.
 Tu je zoznam všetkých rôznych bánk tu
 ktoré boli súčasťou tohto podvodu.
 Ďalšia vec, ktorú aplikácia môže urobiť, je prítomný UI z inej aplikácie.
 Aj keď je to beh by to mohlo vyskočí na Facebook UI.
 To hovorí, že budete musieť dať do svojho užívateľského mena a hesla, aby aj naďalej
 alebo dať do ľubovoľnej užívateľské meno a heslo užívateľské rozhranie pre webové stránky
 že možno užívateľ používa len k pokusu oklamať užívateľa
 do uvedenia svojich prihlasovacích údajov palcov
 To je naozaj rovno paralelne z e-mailovej útoky typu phishing
 kde vám niekto pošle e-mailovú správu
 a poskytuje v podstate falošné rozhrania pre webové stránky
 že máte prístup.
 

Ďalšia vec, ktorú hľadáme škodlivého kódu je modifikácia systému.
 Môžete sa pozrieť na všetky volania API, ktoré vyžadujú oprávnením root
 vykonať správne.
 Zmena web proxy daného zariadenia by bolo niečo, čo aplikácie
 by nemal byť schopný robiť.
 Ale v prípade, že aplikácia má kód tam k tomu, že
 viete, že je to pravdepodobne škodlivý aplikácie
 alebo veľmi vysoko pravdepodobné, že sa jedná o nebezpečnú aplikáciu,
 a tak čo by sa stalo, je, že aplikácia bude mať nejaký spôsob, ako stupňujúci privilégium.
 Mala by mať nejaké zvýšenie úrovne oprávnenia využívať
 v aplikácii, a potom ešte raz to eskalovalo oprávnenia
 že by to tieto systémové zmeny. Nájdete malware, ktorý má oprávnenie eskalácii
 v ňom aj bez znalosti, ako sa zvýšenie úrovne oprávnenia
 využitie sa bude diať, a to je pekné, jednoduchý spôsob,
 hľadať malware.
 DroidDream bol pravdepodobne najslávnejší kus Android malware.
 Myslím, že to ovplyvnilo asi 250.000 užívateľov po dobu niekoľkých dní
 pred tým, než bolo zistené.
 Oni prebaliť 50 falošné aplikácie,
 dať do Android App Store,
 a v podstate je použitý Android jailbreak kód eskalovať privilégiá
 a potom nainštalovať velenia a riadenia a zapnite všetky obete
 do topánok siete, ale mohli ste objavili tento
 ak ste skenovanie aplikácie a len hľadáte
 API volanie, ktoré vyžaduje povolenie root spustiť správne.
 

A tu je príklad tu mám, ktorý sa mení proxy,
 a to v skutočnosti je k dispozícii len na Android.
 Môžete vidieť Dávam vám veľa príkladov na Android
 pretože to je miesto, kde najaktívnejší malware ekosystém je
 pretože je to pre útočníka veľmi ľahké sa dostať škodlivý kód
 do Android Marketplace.
 Nie je to tak ľahké, že v Apple App Store
 pretože Apple vyžaduje, aby vývojárom spoznať seba
 a podpísať kód.
 Sú to vlastne zistiť, kto ste, a Apple je vlastne posúdenie žiadostí.
 Nechceme vidieť veľa skutočné malware, kde je zariadenie stále ohrozená.
 Budem hovoriť o niektorých príkladoch, kde je to naozaj súkromie, ktoré je stále ohrozená,
 a to je to, čo sa skutočne deje na zariadenia Apple.
 Ďalšia vec, ktorú sa pozrieť na výskyt škodlivého kódu, riskantné kód zariadenia
 Je logické alebo časované bomby a časované bomby sú pravdepodobne
 oveľa jednoduchšie hľadať, než logických bômb.
 Ale s časovaných bômb, čo môžete urobiť, je sa môžete pozrieť na
 miesta v kóde, kde je testovaná čas alebo absolútny čas sa hľadá
 Pred určité funkcie v aplikácii deje.
 A to by mohlo byť vykonané skryť túto činnosť od užívateľa,
 tak sa to deje neskoro v noci.
 DroidDream robil všetku svoju činnosť medzi dvadsať tri hodín a 8 hodín ráno miestneho času
 pokúsiť sa urobiť to, keď používateľ nemusí používať ich zariadenia.
 

Ďalší dôvod k tomu je, ak sú ľudia používajú behaviorálne analýzu aplikácie,
 spustenie aplikácie do karantény, aby videli, čo správanie aplikácie je,
 môžu využiť čas na základe logiky urobiť aktivitu
 keď aplikácia nie je na pieskovisku.
 Napríklad, App Store ako Apple
 spustí aplikáciu, ale pravdepodobne nie sú v rozpore každú žiadosť, povedzme, 30 dní
 pred jej schválením, takže si môžete dať
 logika v aplikácii, ktorý povedal, v poriadku, len urobiť zlú vec
 po 30 dňoch je preč, alebo po 30 dňoch po publikovaní dátume podania žiadosti,
 a ktoré môžu pomôcť škodlivého kódu kožu z ľudí inšpekciu na to.
 Je-li anti-virus spoločnosti sú spustené veci v pieskovísk
 alebo app samotné obchody sú to môže pomôcť
 skryť, že z tejto prehliadky.
 Teraz, odvrátenou stranou, že je to ľahké nájsť s statickú analýzu,
 takže vlastne inšpekciu kód môžete pozrieť na všetky miesta,
 kde sa aplikácie testuje čas a skontrolujte, že tak.
 A tu mám nejaké príklady na týchto 3 rôznych platformách
 ako môže byť čas skontrolovať pomocou app výrobcu
 takže viete, na čo sa zamerať, ak ste kontrolu aplikácie staticky.
 

Som prešiel veľa rôznych škodlivých aktivít
 ktoré sme videli vo voľnej prírode, ale ktoré z nich sú najčastejšie?
 To isté štúdie z North Carolina State Mobile Genome Project
 zverejnené niektoré údaje, a tam boli v podstate štyri oblasti
 že videli tam, kde bola kopa aktivít.
 37% z aplikácií robil oprávnenie eskalácii,
 aby mali nejaký druh jailbreak kódu tam
 kde sa snažili stupňovať oprávnenie, aby mohli
 sa príkazy API beží ako operačný systém.
 45% z aplikácií tam robil Premium SMS,
 tak to je veľké percento, ktoré sa snažia priamo speňažiť.
 93% áno diaľkové ovládanie, takže sa snažili nastaviť topánok sieť, mobilného topánok sieť.
 A 45% zozbierané identifikačné údaje
 ako sú telefónne čísla, UUID, umiestnenie GPS, užívateľských účtov,
 a to pridáva až na viac ako 100, pretože väčšina malware sa snaží robiť niektoré z týchto vecí.
 

Chystám sa prejsť do druhej polovice a hovoriť o zraniteľnosti kódu.
 Toto je druhá polovica riskantné činnosti.
 To je miesto, kde v podstate je developer robiť chyby.
 Legitímna developer písať legitímne aplikácie
 robí chyby, alebo je neznalý o rizikách mobilné platformy.
 Oni jednoducho nevedia, ako sa urobiť bezpečné mobilné aplikácie,
 alebo niekedy developer sa nestará o uvedení užívateľa v ohrození.
 Niekedy je súčasťou ich obchodného modelu by mohlo byť
 úrodu osobné údaje užívateľa.
 To je niečo ako druhej kategórie, a to je dôvod, prečo niektoré z týchto škodlivý
 proti legitímne začne krvácať konca, pretože tam je rozdiel názorov
 medzi tým, čo užívateľ chce a čo užívateľ považuje za riskantné
 a to, čo vývojár aplikácie považuje za riskantné. Samozrejme, že to nie je dát vývojárov aplikácií je vo väčšine prípadov.
 

A nakoniec, iný spôsob, ako sa to stane, je developer môže spojiť v
 zdieľaná knižnica, ktorá má slabé miesta alebo toto rizikové správanie v ňom
 unbeknownst k nim.
 Prvá kategória je citlivý úniku dát,
 , A to je, keď aplikácia zhromažďuje informácie
 ako je umiestnenie, adresáre, informácie vlastníka
 a vysiela, že mimo zariadenia.
 A akonáhle je to mimo zariadenie, nevieme, čo sa deje s týmito informáciami.
 Mohlo by to byť uložené neisto vývojár aplikácie.
 Videli sme vývojári aplikácií sa ohrozená,
 a údaje, ktoré oni ukladanie dostane prijatá.
 To sa stalo pred niekoľkými mesiacmi na developera na Floride
 kde obrovské množstvo, to bol iPad UUID a názvy zariadení
 bola prepustená preto, že niekto, myslím, že to bol anonymný,
 vyhlasoval, že to, vlámal do serverov tohto vývojára
 a ukradol milióny iPad UUID
 a názvy počítačov.
 Nie najrizikovejšie informácie,
 ale čo keď to bolo ukladanie užívateľských mien a hesiel
 a adresy domov?
 Je tu veľa aplikácií, ktoré ukladajú tento druh informácií.
 Riziko je tu.
 

Ďalšia vec, ktorá sa môže stať, ak je developer nebude starať
 zabezpečiť dátový kanál, a to je ďalšia veľká zraniteľnosť budem hovoriť,
 že je odosielané do jasné.
 Ak užívateľ na verejnej sieti Wi-Fi
 alebo niekto ňuchania internet niekde
 po ceste, ktoré dáta sú vystavené.
 Jeden veľmi slávny prípad tohto úniku informácií sa stalo s Pandora,
 a to je niečo, čo sme skúmali na Veracode.
 Počuli sme, že to tam bolo, myslím, že to bol Federal Trade Commission
 Vyšetrovanie sa deje s Pandore.
 Povedali sme si, "Čo sa to tam deje? Poďme začať kopať do aplikácie Pandora."
 A to, čo sme zistili, bola aplikácia Pandora zhromažďované
 vaše pohlavie a váš vek,
 a tiež prístup k vašej GPS polohy a aplikácie Pandora
 urobil to, čo hovorili, bolo oprávnené dôvody.
 Hudba, ktorú hrali, Pandora je streamovanie hudby app-
 hudba, ktorú hrali bola licencovaná iba v Spojených štátoch,
 tak museli skontrolovať, v súlade s ich licenčnými dohodami, ktoré mali
 pre hudbu, aby používateľ bol v Spojených štátoch.
 Chceli tiež, aby v súlade s Parental Advisory
 okolo dospelý jazyk v hudbe,
 a tak je to dobrovoľný program, ale chceli, aby v súlade s tým
 a nie hrať explicitné texty pre deti 13 a pod.
 

Mali legitímne dôvody na zber týchto dát.
 Ich aplikácia mal povolenie, ako to urobiť.
 Užívatelia myslel, že toto bolo legitímne. Ale čo sa stalo?
 Sú spojené do 3 alebo 4 rôznych reklamných knižníc.
 Teraz zrazu všetkých týchto reklamných knižnice
 sú stále prístup k týmto rovnakým informáciám.
 AD knižnice, keď sa pozriete na kód v reklamných knižniciach
 to, čo robia, je umiestnený v každom inzeráte knižnica hovorí
 "Má moje app mať oprávnenie získať polohu GPS?"
 "Ach, to? Dobre, povedz mi GPS polohu."
 Každý ad knižnica robí,
 a v prípade, že aplikácia nemá oprávnenie GPS
 nebude môcť dostať, ale ak áno, bude to dostať.
 To je miesto, kde obchodný model inzerátu knižníc
 je protichodný k súkromie užívateľov.
 A tam bolo štúdie, že tam bude hovoriť, ak viete, vek
 osoby a poznáte ak ich umiestnenie
 kde sa v noci spať, pretože máte svoje GPS súradnice
 zatiaľ čo oni možno spí, budete presne vedieť, kto tá osoba je
 pretože si môžete určiť, ktorý člen tejto domácnosti je osoba.
 Naozaj je to identifikácia pre inzerentov
 presne, kto ste, a vyzerá to, že to bolo legitímne.
 Chcem len môj streaming hudby, a to je jediný spôsob, ako ho získať.
 

No, sme vystavení to.
 To sme písali v niekoľkých príspevkoch,
 a ukázalo sa, že niekto z časopisu Rolling Stone
 prečítajte si jednu z našich blogov a napísal svoje vlastné blog v Rolling Stone o tom,
 a hneď ďalší deň Pandora si myslel, že je to dobrý nápad
 odstrániť reklamné knižníc z ich použitia.
 Pokiaľ je mi známe, sú-oni len je treba pochváliť.
 Myslím, že sú len freemium typ aplikácie, ktorá to urobila.
 Všetky ostatné Freemium aplikácie majú rovnaký správanie,
 tak musíš premýšľať o tom, aký druh dát dávate
 Tieto Freemium aplikácie, pretože je to všetko deje k inzerentom.
 Praetorian tiež robil štúdiu o zdieľaných knižníc a povedal,
 "Poďme sa pozrieť na to, čo zdieľané knižnice sú top zdieľané knižnice," a to, že údaje.
 

Analyzovali 53.000 aplikácií,
 a číslo 1 zdieľaná knižnica bola AdMob.
 Bolo to vlastne v 38% aplikácií tam,
 tak 38% z aplikácií, ktorú používate
 je pravdepodobné, zber vaše osobné údaje
 a odovzdať ho do reklamných sietí. Apache a Android bolo 8% a 6%,
 a potom tieto iné tie dole v spodnej časti, Google reklamy, Flurry,
 Mob City a Millennial Media,
 to všetko sú reklamné spoločnosti, a potom, je dosť zaujímavé,
 4% sa viaže v knižnici Facebook
 Pravdepodobne k tomu overovanie cez Facebook
 aby aplikácia mohla overiť na Facebook.
 Ale to tiež znamená, že spoločnosť Facebook ovláda kód
 že beží v 4% z Android mobilných aplikácií tam,
 a majú prístup k všetkým údajom, že aplikácia má oprávnenie sa dostať na.
 Facebook v podstate sa snaží predať reklamný priestor.
 To je ich obchodný model.
 

Keď sa pozriete na celý tento ekosystém s týmito oprávneniami
 a zdieľané knižnice začnete vidieť, že
 Máte veľa rizík v údajne legitímne aplikácie.
 Rovnaký podobné, čo sa stalo s Pandora
 Stalo sa aplikácia s názvom Cesta,
 a Path si mysleli, že sú ústretoví, priateľskí vývojári.
 Oni sa len snaží, aby vám skvelý užívateľský zážitok,
 a ukázalo sa, že bez vyzvania užívateľa, alebo užívateľ musí byť oboznámený, niečo,
 a to sa stalo na iPhone a Android,
 Pandora app bola na iPhone a Android-
 že žiadosť Cesta bola chytil celý adresár
 a nahrať ju do cesty vo chvíli, kedy ste nainštalovali a spustili aplikáciu,
 a nepovedal ti o tom.
 Mysleli si, že to bolo naozaj užitočné pre vás
 aby bolo možné zdieľať so všetkými ľuďmi vo vašom adresári
 že ste pomocou aplikácie Path.
 

No, samozrejme Cesta myslel, že toto bolo skvelé pre ich spoločnosť.
 Nie je to tak veľký užívateľmi.
 Musíte si myslieť, že to je jedna vec, pokiaľ možno teenager
 sa pomocou tejto aplikácie a ich desiatky priateľov sú tam,
 ale čo keď je to generálny riaditeľ spoločnosti, ktorá inštaluje cesta
 a potom zrazu ich celého adresára je tam?
 Budeš mať veľa potenciálne cenné kontaktné informácie
 pre mnoho ľudí.
 Reportér z New York Times, mali by ste byť schopní získať telefónne číslo
 bývalých prezidentov z ich adresára,
 tak samozrejme veľa citlivých informácií je prevedená s niečím, ako je tento.
 Tam bola taká veľká klapka o tom, že cesta sa ospravedlnil.
 Oni zmenili si ich aplikáciu, a to dokonca aj dopad Apple.
 Povedal, Apple, "Chystáme sa nútiť app dodávateľa vyzvať užívateľa
 v prípade, že sa chystáte zbierať celý svoj adresár. "
 

Vyzerá to, že to, čo sa tu deje, je
 keď je tu jeden veľký porušenie súkromia a to robí tlače
 vidíme zmenu tam vonku.
 Ale samozrejme, je tu ďalšie veci tam vonku.
 Aplikácie LinkedIn žne svoje záznamy kalendára,
 ale Apple nerobí užívateľ vyzvaný o tom.
 Záznamy v kalendári môžu mať citlivé informácie v nich taky.
 Kam sa chystáte na čiaru?
 To je naozaj druh vyvíjajúci miesto
 tam, kde to naozaj nie je dobré štandardné vonku
 pre užívateľa k pochopeniu, keď sa ich informácie bude v ohrození
 a keď budeš vedieť, že je prijímaná.
 Písali sme o aplikácii na Veracode názvom Adios,
 a v podstate je povolené môžete upozorniť aplikáciu na vašom adresári iTunes
 a pozrieť sa na všetky žiadosti, ktoré boli úrodu svoje celé adresáre.
 A ako môžete vidieť na tomto zozname tu, Angry Birds,
 AIM, AROUND.
 Prečo Angry Birds potrebujete adresára?
 Ja neviem, ale to robí nejako.
 

To je niečo, čo mnoho, mnoho aplikácií robiť.
 Môžete si prezrieť kód pre tento.
 K dispozícii je dobre definované rozhranie API pre iPhone, Android a BlackBerry
 aby sa v adresári.
 Môžete naozaj ľahko kontrolovať na to, a to je to, čo sme urobili v našom Adios aplikácii.
 Ďalšie kategórie, Nebezpečný Sensitive Data Storage,
 je niečo, kde vývojári brať niečo ako pin alebo číslo účtu
 alebo heslá a uložte ich v jasnej na zariadení.
 Ešte horšie je, môže sa ukladať je v oblasti na telefóne
 ktorý je celosvetovo prístupný, rovnako ako na SD kartu.
 Vidíte to častejšie na Androide, pretože Android umožňuje na pamäťovú kartu SD.
 IPhone zariadenie nie.
 Ale my sme ešte videli to stalo v aplikácii Citigroup.
 Ich on-line bankové aplikácie uložená čísla účtov neisto,
 práve jasné, takže ak ste stratili zariadenie,
 v podstate ste stratili svoj bankový účet.
 To je dôvod, prečo som osobne nerobím bankovníctva na mojom iPhone.
 Myslím, že teraz je to príliš riskantné robiť takéto aktivity.
 

Skype urobil to isté.
 Skype, samozrejme, má zostatok na účte, užívateľské meno a heslo
 že prístup k tejto rovnováhy.
 Boli ukladanie všetky tieto informácie v jasnej, na mobilnom zariadení.
 Mám niekoľko príkladov tu o vytváranie súborov
 že nemajú správne oprávnenie alebo zápis na disk
 a nemajú akékoľvek šifrovanie stalo za to.
 Táto ďalšia oblasť, Nebezpečný Sensitive Prenos dát,
 Som sa zmieňoval o to niekoľkokrát, a pretože verejné Wi-Fi pripojenie na internet
 to je niečo, čo Apps nevyhnutne potrebujú k tomu,
 a to je asi to, čo vidíme pokaziť najviac. Povedal by som, naozaj, myslím, že mám aktuálne dáta,
 ale je to blízko na polovicu mobilných aplikácií
 skrutka sa robí SSL.
 Oni jednoducho nemajú správne používať rozhrania API.
 Myslím, že všetko, čo musíš urobiť, je riadiť sa pokynmi a používať rozhranie API,
 ale oni sa veci, ako je nekontroluje, či je neplatný certifikát na druhom konci,
 nie skontrolujte, či je druhý koniec sa snaží urobiť protokol downgrade útoku.
 

Vývojári, chcú, aby si ich zaškrtávacie políčko, hneď?
 Ich požiadavka je použiť na predaj. Už používal toto na predaj.
 Táto požiadavka je nepoužívať to bezpečne predať,
 a tak to je dôvod, prečo všetky aplikácie, ktoré používajú protokol SSL pre zabezpečenie dát
 ako je to sa prenáša mimo zariadenie skutočne musí byť kontrolované
 Uistite sa, že bol správne implementovaný.
 A tu mám niekoľko príkladov, kde môžete vidieť aplikácie
 môžu byť pomocou protokolu HTTP miesto HTTPS.
 V niektorých prípadoch aplikácie spadne späť do HTTP
 ak HTTPS nefunguje.
 Mám ďalší hovor tu na Androide, kde som vypnutú kontrolou certifikátu,
 takže sa môže stať, útok man-in-the-middle.
 Budú prijímané neplatný certifikát.
 Jedná sa o všetky prípady, kedy útočníci sa bude môcť dostať na
 rovnakej Wi-Fi pripojenie ako užívateľ a prístup všetkých dát
 ktorý je odosielaný cez internet.
 

A konečne posledná kategória I tu je napevno heslo a kľúče.
 V skutočnosti sme vidieť mnoho vývojárov používať rovnaké kódovanie štýl
 že oni robili, keď stavali web serverových aplikácií,
 takže staviate Java aplikačný server, a oni kódujete kľúč.
 No, keď staviate serverovú aplikáciu, jo,
 kódujete kľúč nie je dobrý nápad.
 To je ťažké zmeniť.
 Ale nie je to tak zlé, na strane servera, pretože kto má prístup na strane servera?
 Iba správcovia.
 Ale ak budete mať rovnaký kód a môžete ju vyleje na mobilné aplikácie
 Teraz každý, kto má, že mobilné aplikácie má prístup k tomuto hardcoded kľúč,
 a my sme vlastne vidieť mnohokrát, a mám nejaké štatistiky
 na tom, ako často vidíme to stalo.
 V skutočnosti to bolo v príklade kóde, ktorý MasterCard zverejneného
 o tom, ako využiť ich služieb.
 Príklad kódu ukazuje, ako by ste jednoducho vziať heslo
 a vložte ho do hardcoded reťazca tam,
 a my vieme, ako vývojári radi skopírovať a vložiť kód, ktorý umiestnite
 keď sa snažíte niečo urobiť, tak si skopírujte a vložte fragment kódu
 že dal ako príklad kódu, a máte neistý aplikácie.
 

A tu máme pár príkladov.
 Prvý z nich je tá, ktorú sme vidieť veľa, kde sa napevno
 dát priamo do adresy URL, ktorá sa dostane poslal.
 Niekedy vidíme reťazec password = heslo.
 To je celkom jednoduché odhaliť, alebo reťazec heslo na BlackBerry a Android.
 Je to vlastne celkom jednoduché skontrolovať, pretože takmer vždy
 mená developer premenných, ktoré sa držia hesla
 nejaká zmena hesla.
 Zmienil som sa, že budeme robiť statickej analýzy na Veracode,
 takže sme analyzovali niekoľko stoviek aplikácií Android a iOS.
 Vytvorili sme všetky modely z nich, a sme schopní ich kontrolovať
 pre rôzne zraniteľnosti, najmä zraniteľnosť som hovoril,
 a mám niektoré údaje tu.
 68,5% z Android aplikácií sme sa pozreli na
 porušil kryptografický kód,
 ktoré pre nás, nemôžeme zistiť, či ste so svojou vlastnou šifrovacie rutiny,
 nie, že je to dobrý nápad, ale je to vlastne s použitím publikovaných rozhrania API
 ktoré sú na platforme, ale robiť je takým spôsobom,
 že crypto by byť zraniteľný, 68.5.
 A to je pre ľudí, ktorí sú nám zašlite svoje žiadosti v skutočnosti, pretože
 si myslí, že je to dobrý nápad urobiť testovanie zabezpečenia.
 Jedná sa už ľudia, ktorí sú pravdepodobne bezpečne myslenia,
 takže je to asi ešte horšie.
 

Nehovoril som o linky injekčného podávania ovládanie.
 Je to niečo, čo skontrolovať, ale to nie je tak riskantné záležitosť.
 Úniku informácií, to je miesto, kde sa citlivé dáta odosielané mimo zariadenia.
 Zistili sme, že v 40% žiadostí.
 Čas a štát, to sú otázky, závod typu stav, zvyčajne dosť ťažko využiť,
 tak som sa o tom hovoriť, ale my sme sa na to pozeral.
 23% malo problémy s SQL injection.
 Veľa ľudí nevie, že mnoho aplikácií
 použiť malý malý SQL databázy na svojom zadnom konci pre ukladanie dát.
 No, v prípade, že údaje, ktoré ste chytil cez sieť
 má SQL injection útok reťazca v ňom
 niekto môže ohroziť zariadenia cez to,
 a tak myslím, že sme si asi 40% webových aplikácií majú tento problém,
 , Čo je veľký problém epidémie.
 Nájdeme to 23% času v mobilných aplikáciách
 a to pravdepodobne preto, že mnoho ďalších webových aplikácií pomocou SQL, ako mobilné telefóny.
 

A potom sme sa ešte pozrieť na nejaké cross-site scripting, problémy autorizácie,
 a potom poverenia pre správu, ktorý je miesto, kde máte hardcoded heslo.
 V 5% žiadostí vidíme, že.
 A potom máme nejaké údaje o iOS.
 81% malo problémy spracovania chýb. To je väčší problém kvality kódu,
 ale 67% malo kryptografické problémy, takže nie je tak zlé, ako Android.
 Možno, že API je trochu jednoduchšie, že príklad kódy trochu lepšie na iOS.
 Ale stále veľmi vysoké percento.
 Mali sme 54% sa úniku informácií,
 asi 30% s chybami správy vyrovnávacej pamäti.
 To je miest, kde by mohli byť problém poškodenie pamäti.
 Ukazuje sa, že to nie je tak veľký problém pre využitie
 na iOS, pretože celý kód musí byť podpísaná,
 takže je to ťažké pre útočníkovi spustiť ľubovoľný kód na iOS.
 Kvalita kódu, prehliadania adresárov, ale potom vedenie tu na 14,6% poverenia,
 tak horší, než na Android.
 Máme ľudia, ktorí nie sú správne spracovanie hesla.
 A potom numerických chýb a buffer overflow,
 tie sú viac bude kvalitné Kód problémy na iOS.
 

Tak to bolo pre moje prezentáciu. Neviem, či sme mimo čas, alebo nie.
 Ja neviem, či tam je nejaké otázky.
 [Muž] Rýchly otázku okolo fragmentácie a Android Market.
 Apple aspoň vlastné zaplátanie.
 Robia dobrú prácu dostať ho tam, zatiaľ čo menej, takže v Android priestore.
 Skoro si treba útek z väzenia váš telefón stále aktuálne
 s aktuálnou verziou Androidu.
 Jo, to je obrovský problém, a tak, ak si myslíte, že o-
 [Muž] Prečo nemôžeš to opakovať?
 

Oh, jo, takže otázka je to, čo o fragmentácii
 operačného systému na platforme Android?
 Ako to, že vplyv na rizikovosť týchto zariadení?
 A v skutočnosti je obrovský problém, pretože to, čo sa stane, je
 staršie zariadenia, keď niekto príde s jailbreak pre dané zariadenie,
 v podstate to je zvýšenie úrovne oprávnenia, a až kým sa systém je aktualizovaný
 akýkoľvek malware potom môžete použiť tento problém zabezpečenia, aby úplne ohroziť zariadenie,
 a to, čo vidíme na Android je, aby si nový operačný systém
 Google má dať z operačného systému, a potom sa na výrobcu hardvéru
 musí ju prispôsobiť, a potom je dopravca ju upraviť a doručiť ju.
 Máte v podstate tri pohyblivé tu dielov,
 a to otáčaním na to, že dopravcovia nezaujíma,
 a výrobcovia hardvéru nezaujíma, a Google nie je ich podpichovanie dosť
 niečo urobiť, takže v podstate viac ako polovica zariadení tam,
 majú operačné systémy, ktoré majú tieto výsady eskalácie zraniteľnosti v nich,
 a tak ak máte malware vo vašom zariadení so systémom Android je to oveľa väčší problém.
 

Dobre, ďakujem vám.
 [Potlesk]
 [CS50.TV]