[Semina] [watetezi Nyuma hila: Simu ya Matumizi ya Usalama] [Chris Wysopal] [Chuo Kikuu cha Harvard] [Hii ni CS50.] [CS50.TV] Good mchana. Jina langu ni Chris Wysopal. Mimi nina CTO na mwanzilishi wa Veracode. Veracode ni maombi kampuni ya usalama. Sisi mtihani kila aina ya maombi mbalimbali, na nini mimi kwenda kwa majadiliano juu ya leo ni maombi ya simu usalama. Background yangu nimekuwa kufanya utafiti wa usalama kwa muda mrefu sana, pengine kwa muda mrefu kama mtu yeyote. Mimi kuanza katikati 90, na ilikuwa wakati huo alikuwa pretty kuvutia kwa sababu sisi alikuwa na mabadiliko dhana katikati 90. Wote wa kompyuta kila mtu ghafla ilikuwa yatakuwapo hadi internet, na wakati huo tulikuwa na mwanzo wa maombi ya mtandao, na kwamba ni nini mimi ililenga mengi wakati huo. Ni jambo la kushangaza. Sasa tuna mwingine mabadiliko dhana kinachotokea na kompyuta, ambayo ni mabadiliko ya maombi ya simu. Mimi kuhisi ni aina ya wakati sawa basi ni katika mwishoni mwa 90s tulipokuwa kuchunguza mtandao maombi na kutafuta kasoro kama makosa ya usimamizi wa kikao na SQL sindano ambayo kwa kweli haikuwepo kabla, na kwa ghafla, wakasema walikuwa kila mahali katika maombi ya mtandao, na sasa muda mwingi mimi kutumia ni kuangalia maombi ya simu na kuangalia nini kinaendelea huko nje katika pori. Maombi ya simu ni kweli kwenda kuwa kubwa kompyuta jukwaa, hivyo sisi kwa kweli wanahitaji kutumia muda mwingi kama wewe ni katika sekta ya usalama kulenga maombi ya mtandao. Kulikuwa na 29000000000 programu ya simu kupakuliwa mwaka 2011. Ni alitabiri kuwa programu 76000000000 na 2014. Kuna 686,000,000 vifaa kwamba ni kwenda kununuliwa mwaka huu, hivyo hii ni mahali ambapo watu kwenda kufanya  wengi ya mteja kompyuta zao kwenda mbele. Nilikuwa kuzungumza na makamu wa rais katika Fidelity Investments miezi michache iliyopita, na alisema wao tu kuona zaidi trafiki kufanya shughuli za fedha kutoka kwa wateja yao ya msingi juu ya maombi zao za mkononi kuliko kwenye tovuti yao, hivyo matumizi ya kawaida kwa ajili ya mtandao katika siku za nyuma imekuwa kuangalia hisa yako quotes, kusimamia kwingineko yako, na sisi ni kweli kuona kwamba mwaka 2012 kubadili juu ya kuwa zaidi kubwa juu ya simu jukwaa. Hakika kama kuna kwenda kuwa shughuli yoyote ya jinai, shughuli yoyote ya malicious, ni kwenda kuanza kuwa na umakini katika jukwaa simu baada ya muda kama watu kubadili juu ya hilo. Kama ukiangalia simu jukwaa, kuangalia hatari ya jukwaa ni muhimu kwa kuvunja chini katika tabaka mbalimbali, tu kama ungependa kufanya kwenye kompyuta desktop, na unafikiri kuhusu tabaka mbalimbali, programu, mfumo wa uendeshaji, mtandao safu, vifaa safu, na bila shaka, kuna udhaifu juu ya tabaka hizo zote. Kitu kimoja kinachotokea kwenye simu. Lakini za Mkono, inaonekana kwamba baadhi ya tabaka hizo ni mbaya zaidi. Kwa moja, tabaka la mtandao ni zaidi matatizo kwenye simu kwa sababu mengi ya watu katika ofisi zao au nyumbani wired uhusiano au wao kuwa salama uhusiano Wi-Fi, na na mengi ya vifaa vya mkononi uko wazi nje ya nyumba au nje ya ofisi mengi, na kama wewe ni kutumia Wi-Fi huko unaweza kutumia uhaba wa Wi-Fi uhusiano, kitu ambacho ni umma uhusiano Wi-Fi, hivyo wakati sisi kufikiri kuhusu programu za Mkono tuna kuzingatia kwamba mazingira ya mtandao ni riskier kwa maombi hayo wakati Wi-Fi ni kuwa kutumika. Na wakati mimi kupata ndani ya zaidi ya hatari maombi ya simu utaona nini kuwa muhimu zaidi. Kuna hatari katika ngazi ya vifaa kwenye vyombo vya muziki. Hii ni eneo la utafiti unaoendelea. Watu kuwaita mashambulizi hayo broadband au mashambulizi ya baseband ambapo wewe ni kushambulia firmware hiyo kusikiliza kwenye redio. Haya ni kweli mashambulizi inatisha kwa sababu user hana kufanya kitu chochote. Unaweza hit kura ya vifaa ndani ya RF mbalimbali mara moja, na inaonekana kama wakati wowote utafiti huu Bubbles up haraka anapata kundi la ambapo watu akishuka katika karibu na kusema, "Hapa, kutuambia kuhusu hilo, na tafadhali kuacha kuzungumza kuhusu suala hilo." Kuna baadhi ya utafiti kinachoendelea katika eneo broadband ni, lakini inaonekana kuwa hush hush sana. Nadhani ni zaidi ya aina hali taifa ya utafiti kwamba kinaendelea. eneo la utafiti wa kazi, ingawa, ni mfumo wa uendeshaji safu, na tena, hii ni tofauti na katika kompyuta desktop dunia kwa sababu katika nafasi ya simu una timu hizi la watu walioitwa jailbreakers, na jailbreakers ni tofauti na watafiti mara kwa mara mazingira magumu. Wao ni kujaribu kupata udhaifu katika mfumo wa uendeshaji, lakini sababu wao ni kujaribu kupata udhaifu ni si kwa kuvunja ndani ya mashine ya mtu mwingine na maelewano yake. Ni kwa kuvunja ndani ya kompyuta yake mwenyewe. Wanataka kuvunja ndani ya muziki wao wenyewe, kurekebisha mfumo wa simu zao wa uendeshaji ili waweze kuendesha maombi ya uchaguzi wao na kubadili mambo kwa ruhusa kamili ya utawala, na hawataki kuwaambia muuzaji kuhusu hili. Siyo kama mtafiti usalama ambayo ni nyeupe mtafiti kofia ya usalama ambayo ni kwenda kufanya kutoa taarifa kuwajibika na kuwaambia muuzaji kuhusu hilo. Wao wanataka kufanya utafiti huu, na wanataka kweli kuchapisha katika kutumia au rootkit au mapumziko ya gerezani code, na wanataka kufanya hivyo kimkakati, kama haki baada ya meli muuzaji mpya mfumo wa uendeshaji. Una uhusiano huu ushindani na udhaifu OS ngazi ya juu ya muziki, ambayo nadhani ni ya kuvutia kabisa, na sehemu moja tunaona ni inafanya hivyo kwamba kuna nzuri kuchapishwa kutumia code huko nje kwa udhaifu kernel ngazi ya juu, na tumeona wale kweli kutumika na waandishi wa zisizo. Ni kidogo tofauti na PC dunia. Na kisha Safu ya mwisho ni safu ya juu, safu ya maombi. Hiyo ni nini mimi nina kwenda kuzungumza juu ya leo. Tabaka nyingine zipo, na tabaka nyingine kucheza ndani yake, lakini mimi nina zaidi kwenda kuzungumza kuhusu nini kinaendelea katika safu ya maombi ambapo code ni mbio katika sandbox. Ni hana haki ya kiutawala. Ina kutumia APIs ya kifaa, lakini bado, shughuli nyingi za malicious na mengi ya hatari yanaweza kutokea katika safu ya kwamba kwa sababu hiyo safu ambapo taarifa zote ni. Programu wanaweza kupata habari zote kwenye kifaa kama wana ruhusa ya haki, na wanaweza kupata kwenye vihisi tofauti juu ya kifaa, Sensor GPS, kipaza sauti, kamera, kitu gani wewe. Hata ingawa sisi ni tu kuzungumza juu ya katika safu ya maombi tuna mengi ya hatari huko. kitu ambacho ni tofauti kuhusu mazingira ya simu ni wachezaji wote mfumo wa uendeshaji, kuwa ni Blackberry au Android au iOS au Windows Mkono, wote wana faini grained ruhusa mfano, na hii ni moja ya njia ambazo kujengwa katika mfumo wa uendeshaji wazo kwamba si kama hatari kama unafikiri. Hata kama wewe na mawasiliano yako yote juu ya huko, habari binafsi yako yote, una picha yako, una eneo lako juu ya huko, wewe ni hifadhi ya benki siri yako kwa auto kuingia huko, ni salama kwa sababu programu kuwa na ruhusa baadhi ya kupata katika baadhi ya maeneo wa habari juu ya kifaa, na user ina kuwasilishwa kwa ruhusa hizi na kusema sawa. Tatizo na hilo ni user daima anasema sawa. Kama mtu usalama, najua unaweza kuchochea user, kusema kitu mbaya kweli kweli kinaenda kutokea, je, unataka kutokea? Na kama uko katika kukimbilia au kuna kitu kweli Huwaongoza upande wa pili wa kwamba, kama mchezo ni kwenda kuwa imewekwa kwamba wao tumekuwa kusubiri, wao wanaenda bonyeza sawa. Hiyo ndiyo maana Mimi kusema juu ya slide yangu hapa tu basi mimi Fling ndege katika nguruwe tayari, na unaweza kuona kwenye slide hapa kuna mifano ya BlackBerry sanduku ruhusa. Ni anasema "Tafadhali kuweka BlackBerry Travel maombi ruhusa baada ya kubonyeza kifungo chini, "na kimsingi user ni kwenda tu kusema kuweka ruhusa na kuokoa. Hapa ni haraka Android ambapo inaonyesha mambo, na ni kweli unaweka kitu ambacho karibu inaonekana kama onyo. Ni got aina ya mavuno ishara huko akisema mtandao wa mawasiliano, simu, lakini user ni kwenda bonyeza kufunga, sawa? Na kisha moja Apple ni innocuous kabisa. Haina kutoa aina yoyote ya onyo. Ni tu Apple wangependa kutumia eneo yako ya sasa. Bila shaka ni kwenda bonyeza sawa. Kuna hii faini-grained ruhusa mfano, na programu kuwa na faili wazi ambapo wao kutangaza ruhusa wanahitaji, na kwamba kupata kuonyeshwa kwa mtumiaji, na mtumiaji na kusema mimi ruzuku ruhusa hizi. Lakini hebu kuwa waaminifu. Watumiaji ni kwenda tu siku zote kusema sawa. Hebu tuangalie kwa haraka katika ruhusa kwamba programu hizi ni kuuliza kwa na baadhi ya ruhusa kwamba ni huko. Kampuni hii Ikulu alifanya utafiti mwaka jana ya 53,000 maombi kuchambuliwa katika Android soko na chama 3 masoko, hivyo hii yote ni Android. Na programu wastani ombi 3 ruhusa. Baadhi ya programu ombi 117 ruhusa, hivyo ni wazi haya ni nzuri sana grained na njia ngumu sana kwa mtumiaji kuelewa kama wao ni iliyotolewa na programu hii kwamba mahitaji ya ruhusa hizi 117. Ni kama mtumiaji wa mwisho leseni ya makubaliano kwamba kurasa 45 kwa muda mrefu. Labda haraka itabidi chaguo ambapo ni kama magazeti ruhusa na kutuma barua pepe yangu. Lakini kama wewe kuangalia katika baadhi ya juu ruhusa ya kuvutia 24% ya programu kwamba kupakuliwa nje ya 53,000 aliomba taarifa GPS kutoka kifaa. 8% kusoma mawasiliano. 4% alimtuma SMS, na 3% kupokea SMS. 2% kumbukumbu ya redio. 1% kusindika simu zinazotoka nje. Mimi sijui. Sidhani 4% ya programu katika duka programu kweli wanahitaji kutuma ujumbe wa maandishi SMS, hivyo nadhani kwamba ladha kwamba kitu kiovu kinachoendelea. 8% ya programu haja ya kusoma mawasiliano orodha yako. Ni pengine si muhimu. Moja ya mambo mengine ya kuvutia kuhusu ruhusa ni kama kiungo katika maktaba pamoja ndani ya maombi yako wale kurithi ruhusa ya maombi, hivyo kama programu mahitaji yako kuwasiliana na orodha au mahitaji GPS eneo kwa kazi na kiungo katika maktaba ya matangazo, kwa mfano, maktaba ad pia kuwa na uwezo wa kupata mawasiliano na pia kuwa na uwezo wa kupata GPS eneo, na developer ya programu hajui chochote kuhusu kificho kwamba mbio katika maktaba ad. Wao ni kuunganisha tu kwamba kwa sababu wanataka Faidisha programu zao. Hii ni pale ambapo-na mimi itabidi kuzungumza kuhusu baadhi ya mifano ya hili na maombi ya kuitwa Pandora ambapo developer maombi wanaweza pasipo kujua kuwa kinachovuja habari kutoka kwa watumiaji yao kwa sababu ya maktaba wameweza wanaohusishwa in Upimaji mazingira huko nje, kuangalia programu mbalimbali kwamba imeripotiwa katika habari kama watumiaji malicious au kufanya kitu hakutaka na kisha ukaguzi mengi ya programu-sisi kufanya mengi ya tuli uchambuzi binary juu ya programu za Mkono, hivyo tumekuwa kukaguliwa yao na inaonekana katika kanuni yenyewe- sisi kuja na kile tunachokiita 10 wetu juu orodha ya tabia za hatari katika maombi. Na ni chini katika sehemu 2, kanuni malicious, hivyo ni mambo mabaya programu wanaweza kuwa kufanya hivyo ni uwezekano wa kuwa na kitu ambacho malicious ya mtu binafsi ina hasa kuweka katika maombi, lakini ni kidogo fuzzy. Ni inaweza kuwa kitu ambacho developer anadhani ni mzuri, lakini mwisho juu kuwa mawazo ya kama malicious kwa mtumiaji. Na kisha sehemu ya pili ni kile tunachokiita coding udhaifu, na haya ni mambo ambapo developer kimsingi ni kufanya makosa au tu haelewi jinsi ya kuandika programu salama,  na hiyo ni kuweka programu user katika hatari. Mimi nina kwenda kwa njia hizi kwa undani na kutoa baadhi ya mifano. Kwa ajili ya kumbukumbu, nilitaka kuweka OWASP Mkono orodha ya juu 10. Haya ni masuala 10 kwamba kundi katika OWASP, Mradi Open Mtandao Maombi Usalama, wana kikundi kazi kufanya kazi kwenye simu orodha ya juu 10. Wao na maarufu sana mtandao orodha ya juu 10, ambayo ni ya juu 10 mambo hatari zaidi unaweza kuwa katika maombi ya mtandao. Wao ni kufanya kitu kimoja kwa ajili ya simu, na orodha yao ni tofauti kidogo kuliko yetu. 6 kati ya 10 ni sawa. Wana 4 ambayo ni tofauti. Nadhani kidogo ya kuchukua mbalimbali juu ya hatari katika programu ya simu ambapo mengi ya masuala yao ni kweli jinsi maombi ni kuwasiliana na nyuma-mwisho server au nini kinaendelea juu ya nyuma-mwisho server, programu si kiasi kwamba kuwa na tabia hatari kwamba ni programu ya mteja tu moja kwa moja. Wale walio katika nyekundu hapa ni tofauti kati ya orodha 2. Na baadhi ya utafiti timu yangu ina kweli imechangia mradi huu, hivyo tutaweza kuona nini kinatokea baada ya muda, lakini nadhani takeaway hapa ni sisi si kweli kujua nini orodha ya juu 10 ni katika programu ya simu kwa sababu wameweza kweli tu kuwa karibu kwa miaka 2 au 3 sasa, na hakujawa na muda wa kutosha kwa kweli utafiti mifumo ya uendeshaji na nini wao ni uwezo wa, na hakujawa na muda wa kutosha kwa malicious jamii, kama wewe, kwa kuwa alitumia muda wa kutosha kujaribu kushambulia watumiaji wa njia programu za Mkono, hivyo natarajia orodha hizi kubadili kidogo. Lakini kwa sasa, haya ni mambo ya juu 10 na wasiwasi juu. Unaweza usiamini upande wa simu ambapo gani malicious Mkono code- jinsi gani kupata kwenye kifaa? North Carolina Serikali ina mradi inayoitwa Simu ya Mkono Malware Genome Project ambapo wao ni kukusanya kama vile ya simu zisizo kama wanaweza na kuchambua yake, na wameweza chini wadudu sindano kwamba zisizo za Mkono matumizi, na 86% kutumia mbinu inayoitwa kuandaa, na hii ni kwenye jukwaa Android unaweza kweli kufanya kuandaa hii. Sababu ni Android code ni kujengwa kwa Java byte code aitwaye Dalvik ambayo ni rahisi decompilable. Nini guy mbaya unaweza kufanya ni kuchukua maombi Android, decompile yake, kuingiza kanuni zao malicious, recompile yake, na kisha kuiweka juu katika programu ya kuhifadhi inayosemekana kuwa toleo jipya la maombi kwamba, au tu labda kubadilisha jina la maombi. Kama ni aina fulani ya mchezo, mabadiliko ya jina kidogo, na hivyo kuandaa hii ni jinsi gani 86% ya Mkono zisizo anapata kusambazwa. Kuna mwingine mbinu ya kuitwa update ambayo ni sawa na kuandaa, lakini kwa kweli si kuweka code malicious in Nini kufanya ni kuweka katika utaratibu ndogo update. Wewe decompile, kuweka katika utaratibu update, na recompile yake, na kisha wakati programu ni mbio pulls chini zisizo kwenye kifaa. By mbali wengi ni wale mbinu 2. Kuna si kweli sana shusha gari-bys au gari-na downloads juu ya simu za mkononi, ambayo inaweza kuwa kama shambulio la hadaa. Hey, angalia tovuti hii kweli baridi, au unahitaji kwenda tovuti hii na kujaza fomu hii kuweka kuendelea kufanya kitu fulani. Hizo ni wizi mashambulizi. Jambo huo unaweza kutokea kwenye jukwaa simu ambapo wao uhakika na programu ya simu shusha, kusema "Hi, hii ni Benki Kuu ya Marekani." "Tunaona wewe ni kutumia programu hii." "Ni lazima kushusha maombi haya mengine." Kinadharia, kwamba anaweza kufanya kazi. Labda tu si kutumika kutosha kuamua kama ni mafanikio au la, lakini waligundua kuwa chini ya 1% ya muda mbinu ambayo ni kutumika. wengi wa wakati ni kweli code repackaged. Kuna mwingine jamii aitwaye ilio ambapo mtu tu hujenga maombi brand-mpya. Wao kujenga maombi kwamba purports kuwa kitu. Siyo kuandaa ya kitu kingine, na kwamba ina code mbaya. Hiyo kutumika 14% ya muda. Sasa nataka kuzungumza juu ya kile code malicious kufanya? Moja ya zisizo kwanza huko nje unaweza kufikiria spyware. Ni kimsingi wapelelezi mtumiaji. Ni kukusanya barua pepe, ujumbe wa SMS. Ni zamu ya kipaza sauti. Ni mavuno kitabu mawasiliano, na inapeleka ni mbali na mtu mwingine. Aina hii ya spyware lipo kwenye PC, hivyo inafanya hisia kamili kwa ajili ya watu kujaribu kufanya hivyo kwenye vyombo vya muziki. Moja ya mifano ya kwanza ya hii ilikuwa mpango ujulikanao siri SMS Replicator. Ilikuwa ni katika Android Marketplace miaka michache iliyopita, na wazo ni kama alikuwa na upatikanaji wa mtu Android simu kwamba alitaka kupeleleza, hivyo labda ni mke wako yako au nyingine muhimu na unataka kupeleleza juu ya ujumbe wa maandishi yao, unaweza kushusha programu hii na kufunga na configure kutuma SMS ujumbe wa maandishi na wewe na nakala ya kila ujumbe wa SMS got. Hii ni wazi ni katika ukiukaji wa programu ya kuhifadhi suala la huduma, na hii ilikuwa kuondolewa kutoka Android Marketplace ndani ya masaa 18 ya kuwa ni huko, hivyo idadi ndogo sana ya watu walikuwa katika hatari kwa sababu ya hili. Sasa, nadhani kama mpango aliitwa kitu labda kidogo kidogo provocative kama siri SMS Replicator pengine ingekuwa kazi mengi zaidi. Lakini ilikuwa ni aina ya wazi. Moja ya mambo tunaweza kufanya ili kuamua kama programu na tabia hii kwamba hatutaki ni kukagua code. Hii ni kweli kwa kweli ni rahisi kufanya juu ya Android kwa sababu tunaweza decompile programu. On iOS unaweza kutumia disassembler kama IDA Pro kuangalia nini Apis programu ni wito na nini ni kufanya. Tuliandika binary yetu wenyewe tuli analyzer kwa kanuni zetu na sisi kufanya hivyo, na hivyo nini unaweza kufanya ni unaweza kusema haina kifaa kufanya chochote ambacho kimsingi ni upelelezi juu yangu au kufuatilia mimi? Na mimi na baadhi ya mifano hapa juu ya iPhone. Mfano huu kwanza ni jinsi ya kupata UUID kwenye simu. Hii ni kweli kitu ambacho Apple ana haki ya marufuku kwa maombi mapya, lakini maombi ya zamani ambayo unaweza kuwa mbio kwenye simu yako bado wanaweza kufanya hivyo, na ili kitambulisho kipekee inaweza kutumika kwa kufuatilia wewe katika matumizi mbalimbali. On Android, nina mfano hapa ya kupata eneo ya kifaa hiki. Unaweza kuona kwamba kama wito API ni huko programu kwamba ni kufuatilia, na unaweza kuona kama ni kupata eneo faini au eneo coarse. Na kisha juu ya chini hapa, nina mfano wa jinsi ya BlackBerry maombi wanaweza kupata ujumbe wa barua pepe katika Inbox yako. Hizi ni aina ya mambo unaweza kukagua kuona kama programu ni kufanya mambo hayo. pili kubwa ya jamii ya tabia malicious, na hii pengine ni jamii kubwa sasa, ni haraka ruhusa, premium ruhusa ujumbe wa SMS Nakala au malipo ya ruhusa. Kitu kingine kwamba kipekee kuhusu simu ni kifaa ni kitanzi kwa akaunti ya bili, na wakati shughuli kutokea kwenye simu inaweza kujenga mashtaka. Unaweza kununua vitu juu ya simu, na wakati kutuma ujumbe premium SMS wewe ni kweli kutoa fedha kwa mwenye akaunti ya namba ya simu juu ya upande mwingine. Haya yaliwekwa juu ya kupata quotes hisa au kupata horoscope yako ya kila siku au mambo mengine, lakini wao inaweza kuweka juu ili bidhaa kwa kutuma ujumbe SMS. Watu kutoa fedha kwa Shirika la Msalaba Mwekundu kwa kutuma ujumbe wa maandishi. Unaweza kutoa $ 10 kwa njia hiyo. Washambuliaji, nini tumefanya ni wao kuanzisha akaunti katika nchi za nje, na wao kuiweka katika zisizo kwamba simu kutuma ujumbe wa maandishi premium SMS, kusema, mara chache kwa siku, na mwishoni mwa mwezi wewe kutambua ve alitumia mamia au labda hata mamia ya dola, na wao kutembea mbali na fedha. Hii got hivyo mbaya kwamba hii ilikuwa jambo la kwanza Android Soko au Google mahali-ni Android Marketplace wakati huo, na ni sasa Google kucheza-Jambo la kwanza kwamba Google kuanza kuangalia kwa. Wakati Google kuanza kusambaza programu Android katika programu kuhifadhi zao walisema walikuwa si kwenda kuangalia kwa kitu chochote. Tutaweza kuvuta programu mara moja tumekuwa taarifa wameweza kuvunjwa masharti yetu ya huduma, lakini sisi siyo kwenda kuangalia kwa kitu chochote. Naam, mwaka mmoja uliopita got mbaya na hii premium SMS ujumbe wa maandishi zisizo kwamba hii ni jambo la kwanza kabisa walianza kuangalia kwa. Kama programu inaweza kutuma ujumbe wa maandishi SMS wao zaidi manually se maombi kwamba. Wao kuangalia kwa APIs kwamba wito huu, na sasa tangu wakati huo Google ina wigo, lakini hii ilikuwa jambo la kwanza kwamba walianza kutafuta. Baadhi ya programu nyingine kwamba alifanya baadhi ujumbe wa maandishi SMS, hii Qicsomos Android, mimi nadhani ni kuitwa. Kulikuwa na tukio hili sasa juu ya simu ambapo hii CarrierIQ akatoka kama spyware kuweka kwenye kifaa na flygbolag, hivyo watu alitaka kujua kama simu zao mara katika mazingira magumu na hii, na hii ilikuwa programu ya bure kwamba majaribio hayo. Naam, bila shaka, nini programu hii alifanya alikuwa ni alimtuma premium SMS ujumbe wa maandishi, hivyo kwa kupima ili kuona kama wewe ni kuambukizwa na spyware ninyi kubeba zisizo kwenye kifaa chako. Tuliona kitu kimoja kutokea katika mwisho Super Bowl. Kulikuwa na toleo bogus ya Madden soka mchezo kwamba alimtuma premium SMS ujumbe wa maandishi. Ni kweli alijaribu kujenga mtandao bot pia kwenye kifaa. Hapa nina baadhi ya mifano. Inafurahisha kutosha, Apple alikuwa pretty smart, na hawana kuruhusu maombi ya kutuma ujumbe wa maandishi SMS wakati wote. Hakuna programu unaweza kufanya hivyo. Hiyo ndiyo njia kubwa ya kupata kuondoa tabaka zima la mazingira magumu, lakini juu ya Android unaweza kufanya hivyo, na bila shaka, juu ya BlackBerry unaweza kufanya hivyo pia. Ni jambo la kushangaza kwamba BlackBerry wote unahitaji ni ruhusa internet kutuma SMS ujumbe wa maandishi. Kitu kingine kweli kwamba sisi kuangalia kwa wakati sisi ni kuangalia kuona kama kitu fulani ni malicious ni tu aina yoyote ya shughuli ruhusa ya mtandao, kama kuangalia shughuli mtandao programu zinatakiwa kuwa na utendaji wake, na kuangalia shughuli hii nyingine mtandao. Labda programu, kufanya kazi, ina kupata data juu ya HTTP, lakini kama ni kufanya mambo juu ya barua pepe au SMS au Bluetooth au kitu kama hicho sasa programu ambayo inaweza uwezekano wa kuwa na malicious, hivyo hii ni kitu kingine unaweza kukagua kwa. Na juu ya hili slide hapa nina baadhi ya mifano ya hiyo. Jambo jingine kuvutia tuliona na zisizo kilitokea huko nyuma mwaka 2009, na ilivyotokea katika njia kubwa. Sijui kama kilichotokea sana tangu wakati huo, lakini ilikuwa ni programu kwamba impersonated programu nyingine. Kulikuwa na seti ya programu, na ilikuwa jina la 09Droid mashambulizi, na mtu aliamua kwamba kulikuwa na mengi ya ndogo, kikanda, benki midsize ambao hawakuwa na online maombi benki, hivyo walifanya nini mara wao kujengwa juu ya 50 online maombi ya benki kwamba wote walifanya mara kuchukua jina la mtumiaji na password na kuelekeza wewe tovuti. Na hivyo kuweka haya yote juu katika Google Marketplace, katika Android Marketplace, na wakati mtu searched ili kuona kama benki yao alikuwa maombi wangeweza kupata maombi bogus, ambayo zilizokusanywa sifa zao na kisha itaelekezwa yao kwa tovuti yao. njia ambayo hii kwa kweli akawa-programu walikuwa huko kwa wiki chache, na kulikuwa na maelfu na maelfu ya downloads. Njia hii alikuja mwanga alikuwa mtu alikuwa na tatizo na moja ya maombi, na wakamwita benki yao, na wakamwita msaada kwa wateja line benki yao, akasema, "Mimi kuwa na tatizo na maombi yako benki ya simu." "Je, unaweza kunisaidia nje?" Wakasema, "Hatuna maombi ya simu za kibenki." Ambayo ilianza uchunguzi. Benki kwamba wito Google, na kisha Google inaonekana na akasema, "Wow, mwandishi huyo ameandika maombi benki 50," na alichukua yao yote chini. Lakini kwa hakika hii inaweza kutokea tena. Kuna orodha ya benki zote mbalimbali hapa ambazo zilikuwa sehemu ya kashfa hii. Kitu kingine programu inaweza kufanya ni sasa UI ya programu nyingine. Wakati mbio inaweza pop up Facebook UI. Ni anasema una kuweka katika user name yako na password kuendelea au kuweka jina lolote user na password UI kwa ajili ya tovuti kwamba labda user inatumia tu kujaribu hila user ndani ya kuweka sifa zao in Hii ni kweli sambamba moja kwa moja ya mashambulizi ya email hadaa ambapo mtu anatuma ujumbe wa barua pepe na anatoa kimsingi UI bandia kwa ajili ya tovuti kwamba una kupata. Kitu kingine sisi kuangalia kwa katika kanuni malicious ni mfumo wa muundo. Unaweza kuangalia kwa wito wa kila API ambayo yanahitaji upendeleo mzizi kutekeleza kwa usahihi. Kubadilisha kifaa mtandao wa wakala itakuwa kitu kuwa maombi lazima kuwa na uwezo wa kufanya. Lakini kama maombi ina code huko kufanya hivyo unajua kwamba pengine ni maombi malicious au sana yenye uwezekano wa kuwa na maombi malicious, na hivyo gani kutokea ni kwamba programu ingekuwa baadhi ya njia ya kuongezeka kwa upendeleo. Ingekuwa baadhi kupanda upendeleo kutumia katika maombi, na kisha mara moja ilienea marupurupu ingekuwa kufanya mfumo wa marekebisho haya. Unaweza kupata zisizo kwamba ana haki kupanda katika hata bila kujua jinsi ya upendeleo kupanda kutumia kinaenda kutokea, na kwamba ni nzuri, njia rahisi kuangalia kwa zisizo. DroidDream labda kipande maarufu wa Android zisizo. Nadhani walioathirika wapatao 250,000 watumiaji zaidi ya siku chache kabla ya ilibainika. Wao repackaged 50 maombi bogus, kuziweka katika Android programu kuhifadhi, na kimsingi ni kutumika Android mapumziko ya gerezani code kuenea marupurupu na kisha kufunga amri na kudhibiti na kugeuka waathirika wote ndani ya bot wavu, lakini unaweza kuwa wanaona hii kama ungekuwa skanning maombi na kuangalia tu kwa API wito ambayo inahitajika mzizi ruhusa kutekeleza kwa usahihi. Na kuna mfano hapa nina ambayo ni kubadilisha wakala, na hii kwa kweli inapatikana tu kwenye Android. Unaweza kuona mimi nina kutoa mengi ya mifano juu ya Android sababu hii ni wapi zaidi ya kazi zisizo mazingira ni kwa sababu ni kweli rahisi kwa mshambulizi kupata kanuni malicious ndani ya Android sokoni. Ni hivyo si rahisi kufanya hivyo katika Apple App Store kwa sababu Apple inahitaji watengenezaji kujitambulisha na ishara code. Kweli kuangalia wewe ni nani, na Apple ni kweli kuchambua maombi. Hatuoni mengi ya zisizo kweli ambapo kifaa ni kupata kuathirika. Nami majadiliano kuhusu baadhi ya mifano ambapo ni kweli faragha hiyo kupata kuathirika, na kwamba ni nini kweli yanatokea kwenye kifaa Apple. Jambo jingine kuangalia kwa kificho malicious, kanuni hatari katika vifaa ni mantiki au wakati mabomu, na mabomu wakati pengine ni rahisi kuangalia kwa kuliko mantiki mabomu. Lakini pamoja na mabomu wakati, nini unaweza kufanya ni unaweza kuangalia kwa maeneo katika kanuni ambapo wakati ni kipimo au wakati kabisa ni inaonekana kwa kabla ya utendaji fulani katika programu kinachotokea. Na hii inaweza kufanyika kuficha shughuli kutoka kwa mtumiaji, hivyo kinatokea marehemu wakati wa usiku. DroidDream wanafanya shughuli zake zote 11:00-08:00 ndani ya muda kujaribu kufanya hivyo wakati mtumiaji anaweza kuwa na kutumia kifaa yao. Sababu nyingine ya kufanya hivyo ni kama watu kwa kutumia uchambuzi tabia ya maombi, mbio programu katika sandbox kuona nini tabia ya maombi ni, wanaweza kutumia wakati makao mantiki kufanya shughuli wakati programu ni si katika sandbox. Kwa mfano, programu duka kama Apple anaendesha maombi, lakini pengine si kukimbia kila maombi kwa ajili ya, kusema, siku 30 kabla ya kuidhinisha, hivyo unaweza kuweka mantiki katika maombi yako kuwa alisema, sawa, tu kufanya kitu mbaya baada ya siku 30 yamepita na au baada ya siku 30 baada ya kuchapisha tarehe ya maombi, na ambayo inaweza kusaidia malicious code kujificha kutoka kwa watu ukaguzi kwa ajili yake. Kama makampuni kupambana na virusi ni kuendesha mambo katika sandboxes au maduka ya programu wenyewe ni hii inaweza kusaidia kujificha kwamba na kwamba ukaguzi. Sasa, hasara ya kwamba ni rahisi kupata na uchambuzi static, hivyo kweli ukaguzi code unaweza kuangalia kwa maeneo yote ambapo maombi vipimo wakati na kukagua njia hiyo. Na hapa nina baadhi ya mifano juu ya haya majukwaa 3 tofauti jinsi muda inaweza kuchunguzwa kwa na programu maker ili kujua nini kuangalia kwa kama wewe ni ukaguzi wa programu statically. Mimi tu akaenda kwa njia ya rundo zima la shughuli mbalimbali malicious kwamba tumeona katika pori, lakini ambayo ndio ni imefikia zaidi? Kuwa utafiti huo kutoka North Carolina State Simu ya Mkono Genome Project kuchapishwa baadhi ya data, na kulikuwa na kimsingi maeneo 4 kwamba waliona ambapo kuna mengi ya shughuli. 37% ya programu alifanya upendeleo kupanda, hivyo walikuwa na baadhi ya aina ya mapumziko ya gerezani code huko ambapo walijaribu kuenea marupurupu hata wao wenyewe wasiweze wala amri API mbio kama mfumo wa uendeshaji. 45% ya programu huko nje alifanya premium SMS, hivyo kwamba asilimia kubwa kuwa ni kujaribu moja kwa moja Faidisha. 93% alifanya udhibiti wa kijijini, hivyo walijaribu kuanzisha bot wavu, simu bot wavu. Na 45% kuvuna kutambua habari kama namba za simu, UUIDs, GPS eneo, akaunti user, na hii inaongeza hadi zaidi ya 100 kwa sababu wengi zisizo anajaribu kufanya baadhi ya mambo haya. Mimi nina kwenda kubadili nusu ya pili na majadiliano juu ya code udhaifu. Hii ni nusu ya pili ya shughuli hatari. Hii ni pale ambapo kimsingi developer ni kufanya makosa. developer halali kuandika programu halali ni kufanya makosa au ni wajinga wa hatari ya simu jukwaa. Wao si tu kujua jinsi ya kufanya programu salama Mkono, au wakati mwingine developer haina huduma juu ya kuweka user katika hatari. Wakati mwingine sehemu ya biashara zao mfano inaweza kuwa kuvuna mtumiaji habari binafsi. Hiyo ni aina ya jamii nyingine, na kwamba ni kwa nini baadhi ya hii malicious dhidi ya kuanza halali kwa damu juu ya sababu kuna tofauti ya maoni kati ya kile mtumiaji anataka na nini mtumiaji anaona hatari na nini developer maombi anaona hatari. Bila shaka, siyo data maombi developer katika kesi zaidi. Na kisha hatimaye, njia nyingine hii hutokea ni developer wanaweza kiungo katika maktaba pamoja ambayo ina udhaifu au tabia hii hatari ndani yake unbeknownst kwao. jamii ya kwanza ni data nyeti kuvuja, na huu ni wakati programu kukusanya taarifa kama eneo, habari kitabu cha anwani, mmiliki habari na kuzituma kwamba mbali kifaa. Na mara moja ni mbali kifaa, hatujui nini kinatokea na habari kwamba. Ni inaweza kuhifadhiwa insecurely na developer maombi. Tumeona watengenezaji maombi kupata kuathirika, na data kwamba wao ni kuhifadhi anapata kuchukuliwa. Hii ilitokea miezi michache iliyopita developer chini katika Florida ambapo idadi kubwa ya-ni iPad UUIDs na majina kifaa walikuwa kuvuja kwa sababu mtu, nadhani ilikuwa ni majina, alidai kufanya hivyo, kukatika ndani ya watumishi developer huu na kuiba mamilioni ya iPad UUIDs na majina ya kompyuta. Si habari zaidi hatari, lakini nini kama kwamba alikuwa uhifadhi wa majina ya utumiaji na nywila na anwani ya nyumbani? Kuna kura ya programu kwamba kuhifadhi aina hiyo ya habari. hatari ni pale. Kitu kingine ambayo yanaweza kutokea ni kama developer haina kutunza kupata data channel, na kwamba mazingira magumu nyingine kubwa mimi nina kwenda kwa majadiliano juu, data kwamba ni kupelekwa katika wazi. Kama mtumiaji ni juu ya umma mtandao Wi-Fi au mtu ni sniffing internet mahali fulani njiani data kuwa ni kuwa wazi. Mmoja maarufu sana kesi ya hii kuvuja habari kilichotokea na Pandora, na hili ni jambo sisi utafiti katika Veracode. Sisi habari kwamba kulikuwa na-Nadhani ilikuwa ni Tume ya Shirikisho la Biashara uchunguzi kinachoendelea na Pandora. Sisi akasema, "Nini kinaendelea huko juu? Hebu kuanza kuchimba ndani ya Pandora maombi." Na nini sisi kuamua mara Pandora maombi zilizokusanywa jinsia yako na umri wako, na pia kupatikana GPS eneo lako, na Pandora maombi alifanya hivyo kwa nini walisema na sababu halali. muziki wao walikuwa wanacheza-Pandora ni programu-muziki Streaming muziki wao walikuwa wanacheza ilikuwa tu leseni nchini Marekani, hivyo alikuwa na kuangalia kwa kuzingatia mikataba leseni zao kwamba walikuwa kwa muziki kwamba mtumiaji mara nchini Marekani. Pia alitaka kwa kuzingatia ushauri wa wazazi karibu lugha watu wazima katika muziki, na hivyo ni mpango wa hiari, lakini walitaka kuzingatia kwamba na si kucheza wazi lyrics kwa watoto 13 na chini. Walikuwa sababu halali kwa ajili ya kukusanya data hii. Programu zao walikuwa ruhusa ya kufanya hivyo. Watumiaji walidhani huu ulikuwa halali. Lakini ni nini kilichotokea? Wanaohusishwa katika maktaba 3 au 4 mbalimbali ad. Sasa wote wa maktaba ghafla haya yote ad ni kupata upatikanaji wa habari hii. maktaba ad, kama ukiangalia code katika maktaba ad wanachokifanya ni kila maktaba ad anasema "Je, programu yangu na ruhusa ya kupata GPS eneo?" "Oh, ni gani? Sawa, niambie GPS eneo." Kila moja ad maktaba gani kwamba, na kama programu hana GPS ruhusa itakuwa si kuwa na uwezo wa kupata, lakini kama itakuwa hivyo, itakuwa kupata. Hii ni pale ambapo mtindo wa biashara ya maktaba ad ni kinyume na faragha ya mtumiaji. Na kumekuwa na masomo huko nje kwamba kusema kama unajua umri ya mtu na unajua eneo lao ambapo wao kulala usiku, kwa sababu una GPS yao kuratibu wakati wao labda ni kulala, kujua hasa mtu huyo ni kwa sababu unaweza kuamua ambayo mwanachama wa kaya ni mtu huyo. Kweli hii ni kutambua na matangazo hasa wewe ni nani, na inaonekana kama ilikuwa halali. Mimi nataka tu Streaming yangu ya muziki, na hii ni njia pekee ya kupata. Naam, sisi wazi hii. Tuliandika hili katika nyadhifa kadhaa blog, na aligeuka kuwa mtu kutoka gazeti la Rolling Stone kusoma moja ya blog posts yetu na aliandika blog zao katika Rolling Stone kuhusu hilo, na siku ya pili Pandora walidhani ilikuwa ni wazo nzuri kuondoa maktaba ad kutoka maombi yao. Mbali kama mimi kujua wao ni tu-wanapaswa kupongezwa. Nadhani wao ni tu freemium ya aina ya programu ambayo imefanya hivi. Nyingine programu zote freemium kuwa na tabia hiyo, hivyo nimepata kufikiri kuhusu aina gani ya data wewe ni kutoa maombi hayo freemium kwa sababu ni wote kwenda matangazo. Ikulu pia alifanya utafiti kuhusu maktaba pamoja na akasema, "Hebu kuangalia nini pamoja maktaba ni maktaba ya juu pamoja," na hii ilikuwa data. Wao kuchambuliwa 53,000 programu, na namba 1 pamoja maktaba mara Admob. Ni kweli katika 38% ya maombi huko nje, hivyo 38% ya maombi unatumia ni uwezekano kuvuna maelezo yako ya kibinafsi na kupeleka kwa mitandao ad. Apache na Android walikuwa 8% na 6%, na kisha hawa wadogo wengine chini chini, Matangazo ya Google, Flurry, Kundi la mji na Milenia Media, haya ni makampuni yote ad, na kisha, Inafurahisha kutosha, 4% wanaohusishwa katika maktaba Facebook pengine kufanya uthibitisho kwa njia ya kuungana hivyo programu hii inaweza kuthibitisha Facebook. Lakini hiyo pia ina maana shirika Facebook udhibiti wa code kwamba mbio katika 4% ya Android programu ya simu huko nje, na wao kupata data yote programu ambayo ina ruhusa ya kupata katika. Kimsingi Facebook anajaribu kuuza nafasi ya matangazo. Hiyo ni biashara zao mfano. Kama ukiangalia mazingira hii nzima na ruhusa hizi na maktaba pamoja kuanza kuona kwamba una mengi ya hatari katika maombi eti halali. kitu kimoja sawa kwamba kilichotokea na Pandora kilichotokea na maombi ya kuitwa Njia, na njia walidhani walikuwa kuwa na manufaa, watengenezaji kirafiki. Walikuwa tu kujaribu kukupa uzoefu mkubwa user, na aligeuka kuwa bila kusababisha user au kuwaambia user kitu chochote- na hii ilitokea juu ya iPhone na juu ya Android, Pandora programu ilikuwa juu ya iPhone na Android- kwamba njia ya maombi ilikuwa grabbing yako yote kitabu cha anwani na kuweka kwa njia tu wakati imewekwa na mbio maombi, na hawakuwa na kuwaambia kuhusu hili. Wao walidhani ni kweli na manufaa kwa wewe kuwa na uwezo wa kushiriki na watu wote katika anwani yako ya kitabu kwamba wewe ni kutumia njia ya maombi. Naam, ni wazi njia wazo hili lilikuwa kubwa kwa kampuni yao. Si kubwa sana kwa mtumiaji. Una kufikiri kwamba ni jambo moja kama labda kijana ni kutumia hii ya maombi na kadhaa wa marafiki zao ni huko, lakini nini kama ni Mkurugenzi Mtendaji wa kampuni kwamba installs njia na kisha kwa ghafla kitabu yao yote anwani ni huko juu? Wewe ni kwenda kupata mengi ya kuwasiliana uwezekano wa thamani habari kwa mengi ya watu. mwandishi kutoka New York Times, unaweza kuwa na uwezo wa kupata namba ya simu kwa marais wa zamani kutoka kitabu yao ya mitaani, hivyo ni wazi mengi ya habari nyeti anapata kuhamishiwa kwa kitu kama hiki. Kulikuwa na kama flap kubwa kuhusu hili kwamba njia msamaha. Wao iliyopita programu zao, na hata wanashikiliwa Apple. Apple akasema, "Sisi ni kwenda kwa nguvu wachuuzi programu haraka watumiaji kama wao wanaenda kukusanya kitabu cha anwani yao yote. " Inaonekana kama nini kinatokea hapa ni wakati kuna moja ukiukaji kubwa ya faragha na inafanya vyombo vya habari sisi kuona mabadiliko huko nje. Lakini bila shaka, kuna mambo mengine huko nje. Maombi LinkedIn mavuno kalenda yako entries, lakini Apple haina user ilisababisha juu ya hilo. Entries kalenda inaweza kuwa na habari nyeti katika wao pia. Ambapo ni wewe kwenda kuchora mstari? Hii ni kweli aina ya mahali kutoa ambapo kuna kweli hakuna kiwango nzuri huko nje kwa watumiaji wa kuelewa wakati habari zao ni kwenda kuwa katika hatari na wakati wao ni kwenda kujua ni zinazochukuliwa. Tuliandika programu katika Veracode aitwaye Adios, na kimsingi ni kuruhusiwa wewe uhakika programu katika iTunes yako directory na kuangalia maombi yote kwamba walikuwa kuvuna full anwani yako ya kitabu. Na kama unaweza kuona kwenye orodha hii hapa, hasira ndege, AIM, AroundMe. Kwa nini hasira ndege haja anwani yako ya kitabu? Sijui, lakini haina namna fulani. Hili ni jambo ambalo wengi, wengi maombi kufanya. Unaweza kukagua kanuni kwa ajili ya hii. Kuna APIs kichele kwa iPhone, Android na BlackBerry kupata katika kitabu cha anwani. Unaweza kweli kwa urahisi kukagua kwa hii, na hii ni kile sisi alifanya katika Adios maombi yetu. jamii ijayo, salama nyeti Takwimu Uhifadhi, ni kitu ambapo watengenezaji kuchukua kitu kama siri au idadi ya akaunti au password na kuhifadhi katika wazi juu ya kifaa. Hata mbaya, wapate kuhifadhi katika eneo kwenye simu ambayo ni ya kimataifa kupatikana, kama kadi ya SD. Unaweza kuona hii mara nyingi zaidi juu ya Android kwa sababu Android inaruhusu kwa kadi SD. Vifaa IPhone hawana. Lakini sisi hata nikaona hii kutokea katika CitiGroup maombi. Benki maombi yao online kuhifadhiwa idadi ya akaunti ya insecurely, tu katika wazi, ili kama wewe waliopotea kifaa chako, kimsingi walipoteza akaunti yako ya benki. Hii ni kwa nini mimi binafsi si kufanya benki juu ya iPhone yangu. Nadhani ni hatari sana hivi sasa kufanya aina hii ya shughuli. Skype alifanya kitu kimoja. Skype, bila shaka, ina akaunti ya usawa, user name na password kwamba kupata kwamba mizani. Walikuwa kuhifadhi taarifa zote hizo wazi kwenye simu. Mimi na baadhi ya mifano hapa ya kujenga files kwamba hawana ruhusa ya kulia au kuandika kwa disc na si kuwa na encryption yoyote kutokea kwa ajili hiyo. Eneo hili la pili, salama nyeti Data Transmission, Nimekuwa alluded hii mara chache, na kwa sababu ya umma Wi-Fi hii ni kitu ambacho programu kabisa haja ya kufanya, na hii pengine ni nini tunaona kwenda vibaya zaidi. Napenda kusema-kwa kweli, mimi nadhani data halisi, lakini ni karibu nusu ya maombi ya simu screw up kufanya SSL. Wao si tu kutumia APIs kwa usahihi. I mean, kila nimepata kufanya ni kufuata maelekezo na matumizi ya APIs, lakini wao kufanya mambo kama si kuangalia kama kuna cheti batili mwishoni mwa mengine, si kuangalia kama upande wa pili ni kujaribu kufanya mashambulizi itifaki downgrade. Watengenezaji, wanataka kupata checkbox yao, sawa? Mahitaji yao ni kutumia hii ya kuuza. Wameweza alitumia kuuza. mahitaji ni si kwa kutumia hii kuuza salama, na hivyo hii ni kwa nini maombi yote kwamba matumizi ya SSL ya kupata data kama ni kuwa zinaa mbali kifaa kweli wanahitaji kuwa kukaguliwa kuhakikisha kwamba ilikuwa kutekelezwa kwa usahihi. Na hapa nina baadhi ya mifano ambapo unaweza kuona maombi wanaweza kutumia HTTP badala ya HTTPS. Katika baadhi ya matukio programu kuanguka nyuma HTTP kama HTTPS si kazi. Mimi na mwingine wito hapa juu ya Android ambapo wameweza walemavu kuangalia cheti, hivyo mtu-katika-katikati mashambulizi yanaweza kutokea. cheti batili utakubaliwa. Hizi ni kesi zote ambapo washambuliaji ni kwenda kuwa na uwezo wa kupata sawa Wi-Fi uhusiano kama user na upatikanaji wa data wote hiyo kupelekwa juu ya mtandao. Na hatimaye, jamii mwisho mimi na hapa ni password hardcoded na funguo. Sisi kwa kweli kuona mengi ya watengenezaji kutumia huo coding style kwamba wao walifanya walipokuwa kujenga maombi mtandao wa kompyuta, hivyo ni kujenga Java server maombi, na wao ni hardcoding muhimu. Naam, wakati wewe ni kujenga maombi server, yeah, hardcoding ni muhimu si wazo nzuri. Ni vigumu kubadilika. Lakini si mabaya hivyo katika upande server kwa sababu ambaye ana upatikanaji wa upande server? Tu watawala. Lakini kama wewe kuchukua code sawa na wewe kuyamimina juu ya maombi ya simu sasa kila mtu ambaye ana kuwa maombi ya simu ina upatikanaji wa muhimu kwamba hardcoded, na sisi kweli kuona hii mara nyingi, na mimi na baadhi ya takwimu juu ya jinsi ya mara nyingi tunaona hili kutokea. Ni kweli alikuwa katika mfano kificho kwamba MasterCard kuchapishwa juu ya jinsi ya kutumia huduma yao. mfano code ilionyesha jinsi gani tu kuchukua password na kuiweka katika kamba hardcoded haki pale, na tunajua jinsi ya watengenezaji upendo na nakala na kuweka code snippets wakati wao ni kujaribu kufanya kitu, hivyo nakala na kuweka code snippet kwamba alitoa kama mfano, na una maombi salama. Na hapa tuna baadhi ya mifano. Hii ni moja ya kwanza ni moja sisi kuona mengi ambapo wao hardcode data haki katika URL kwamba anapata alimtuma. Wakati mwingine tunaona kamba password password =. Hiyo ni pretty rahisi ya kuchunguza, au kamba password juu ya BlackBerry na Android. Ni kweli pretty rahisi kuangalia kwa sababu karibu kila mara developer majina variable hiyo kufanya password baadhi ya tofauti ya password. Mimi alieleza kuwa sisi kufanya uchambuzi tuli katika Veracode, hivyo tumekuwa kuchambuliwa mia kadhaa maombi Android na iOS. Tumekuwa kujengwa mifano kamili ya kwao, na sisi ni uwezo wa Scan yao kwa udhaifu tofauti, hasa udhaifu nilikuwa kuzungumza juu, na mimi na baadhi ya data hapa. 68.5% ya programu Android sisi inaonekana katika amevunja code cryptographic, ambayo kwa ajili yetu, sisi hawezi kuchunguza kama alifanya crypto yako mwenyewe mara kwa mara, si kwamba ni wazo nzuri, lakini hii ni kweli kwa kutumia APIs kuchapishwa kwamba ni juu ya jukwaa lakini kufanya nao kwa namna kwamba crypto itakuwa katika mazingira magumu, 68.5. Na hii ni kwa ajili ya watu unatuma maombi yao kwa kweli kwa sababu wao nadhani ni wazo nzuri ya kufanya usalama kupima. Hawa ni watu kwamba pengine ni kwamba ni kufikiri salama tayari, hivyo pengine hata zaidi. Mimi hakuwa na majadiliano juu ya udhibiti line kulisha sindano. Ni kitu sisi kuangalia kwa, lakini si kwamba hatari ya suala hilo. Kuvuja taarifa, hii ni wapi data nyeti ni kupelekwa kifaa mbali. Tuligundua kwamba katika 40% ya maombi. Wakati na hali hizo ni mbio masuala ya hali ya aina, kawaida ni vigumu kutumia, hivyo mimi si kuzungumza juu ya kwamba, lakini sisi inaonekana saa yake. 23% walikuwa SQL masuala ya sindano. mengi ya watu hawajui kuwa mengi ya maombi kutumia kidogo kidogo SQL database tarehe ya mwisho ya nyuma yao ya kuhifadhi data. Naam, kama data kwamba wewe ni grabbing juu ya mtandao ina masharti SQL sindano mashambulizi ndani yake mtu anaweza maelewano kifaa kupitia huo, na hivyo nadhani sisi kupata karibu 40% ya matumizi ya mtandao na tatizo hili, ambayo ni kubwa janga tatizo. Tunaona kuwa ni 23% ya muda katika programu ya simu na kwamba pengine kwa sababu wengi zaidi ya matumizi ya mtandao kutumia SQL kuliko Mkono. Na kisha sisi bado kuona baadhi ya msalaba-site scripting, masuala ya ruhusa, na kisha usimamizi credential, hiyo ni ambapo una password yako hardcoded. Katika 5% ya maombi tunaona kwamba. Na kisha tuna baadhi ya data juu ya iOS. 81% na masuala ya kosa utunzaji. Hii ni zaidi ya tatizo code ya shaba, lakini 67% na masuala ya cryptographic, hivyo si kama kabisa mbaya kama Android. Labda APIs ni rahisi kidogo, kanuni mfano kidogo bora juu ya iOS. Lakini bado asilimia kubwa sana. Tulikuwa na 54% na taarifa kuvuja, juu ya 30% na makosa ya usimamizi wa buffer. Hiyo ni mahali ambapo kuna inaweza uwezekano wa kuwa rushwa kumbukumbu suala hilo. Ni zinageuka kuwa si kwamba kama mengi ya tatizo kwa ajili ya matumizi juu ya iOS kwa sababu code yote ina saini, hivyo ni vigumu kwa mshambulizi kutekeleza code holela juu ya iOS. Kanuni ya shaba, directory traversal, lakini kisha sifa usimamizi hapa 14.6%, hivyo mbaya zaidi kuliko juu ya Android. Tuna watu si utunzaji nywila kwa usahihi. Na kisha makosa numeric na buffer kufurika, hizo ni zaidi kwenda kuwa masuala code quality juu ya iOS. Hiyo ilikuwa ni kwa ajili ya kuwasilisha yangu. Mimi sijui kama tuko nje ya wakati au la. Sijui kama kuna maswali yoyote. [Kiume] swali haraka kote kugawanyika na soko Android. Apple angalau anamiliki patching. Wao kufanya kazi nzuri ya kupata ni huko nje ambapo chini ya hivyo katika nafasi Android. Wewe karibu haja jailbreak simu yako kukaa sasa na kutolewa kwa ya sasa ya Android. Yeah, hiyo ni tatizo kubwa na hivyo kama unadhani kuhusu- [Kiume] Kwa nini hawawezi kurudia hivyo? Oh, haki, hivyo swali ni nini kuhusu kugawanyika ya mfumo wa uendeshaji kwenye jukwaa Android? Jinsi gani yanayoathiri riskiness ya vifaa hayo? Na ni kweli ni tatizo kubwa kwa sababu kinachotokea ni vifaa wakubwa, wakati mtu anakuja na mapumziko ya gerezani kwa kifaa hicho, kimsingi kwamba upendeleo kupanda, na mpaka kwamba mfumo wa uendeshaji ni updated zisizo yeyote anaweza kisha kutumia kwamba mazingira magumu maelewano kabisa kifaa, na kile sisi ni kuona juu ya Android ni ili kupata mfumo mpya wa uendeshaji Google ina kuweka nje ya mfumo wa uendeshaji, na kisha vifaa mtengenezaji ina Customize yake, na kisha carrier ina Customize na kutoa hiyo. Una kimsingi sehemu 3 kuhamia hapa, na ni kugeuka kutoka kwamba flygbolag hawana huduma, na vifaa wazalishaji hawana huduma, na Google si prodding yao ya kutosha kufanya kitu chochote, hivyo kimsingi zaidi ya nusu ya vifaa huko nje na mifumo ya uendeshaji ambayo haya upendeleo kupanda udhaifu katika wao, na hivyo kama wewe kupata zisizo kwenye simu yako ni zaidi ya tatizo. Okay, asante sana. [Applause] [CS50.TV]