1
00:00:00,000 --> 00:00:02,610
>> [సెమినార్] [పరికర వెనుక డిఫెండింగ్: మొబైల్ అనువర్తనంసెక్యూరిటీ]

2
00:00:02,610 --> 00:00:04,380
[క్రిస్ Wysopal] [హార్వర్డ్ విశ్వవిద్యాలయం]

3
00:00:04,380 --> 00:00:07,830
[ఈ CS50 ఉంది.] [CS50.TV]

4
00:00:07,830 --> 00:00:10,360
>> గుడ్ మధ్యాహ్నం. నా పేరు క్రిస్ Wysopal ఉంది.

5
00:00:10,360 --> 00:00:13,360
నేను CTO మరియు Veracode సహవ్యవస్థాపకుడు ఉన్నాను.

6
00:00:13,360 --> 00:00:15,880
Veracode ఒక అప్లికేషన్ భద్రతా సంస్థ.

7
00:00:15,880 --> 00:00:18,230
మేము వివిధ అప్లికేషన్లు అన్ని రకాల పరీక్షించడానికి,

8
00:00:18,230 --> 00:00:25,060
మరియు నేను ఈ రోజు గురించి మాట్లాడటానికి వెళుతున్న మొబైల్ అప్లికేషన్ భద్రతా ఉంది.

9
00:00:25,060 --> 00:00:28,630
నా నేపథ్య నేను భద్రతా పరిశోధన చేయడం చేసిన ఉంది

10
00:00:28,630 --> 00:00:31,970
చాలా కాలం, బహుశా కాలం ఎవరైనా గురించి.

11
00:00:31,970 --> 00:00:35,000
నేను 90 ల మధ్య కాలములో ప్రారంభించారు,

12
00:00:35,000 --> 00:00:37,370
మరియు ఇది అందంగా ఆసక్తికరమైన అని ఒక సమయం ఎందుకంటే

13
00:00:37,370 --> 00:00:39,220
మేము మధ్యలో 90 ఒక నమూనా మార్పు ఉంది.

14
00:00:39,220 --> 00:00:43,520
అకస్మాత్తుగా అందరి కంప్యూటర్ అన్ని ఇంటర్నెట్ వరకు కట్టిపడేశాయి జరిగినది,

15
00:00:43,520 --> 00:00:46,550
మరియు తర్వాత మేము వెబ్ అప్లికేషన్లు ప్రారంభమైంది,

16
00:00:46,550 --> 00:00:49,330
మరియు ఆ నేను చాలా పై దృష్టి ఏమిటి.

17
00:00:49,330 --> 00:00:51,160
ఇది ఆసక్తికరంగా.

18
00:00:51,160 --> 00:00:53,930
ఇప్పుడు మేము, కంప్యూటింగ్ తో సంభవించే మరొక ఉదాహరణ మార్పు

19
00:00:53,930 --> 00:00:58,710
ఇది మొబైల్ అనువర్తనాలు మారిందంటోంది.

20
00:00:58,710 --> 00:01:03,680
>> నేను అది 90 ల లో ఇదే సమయం రకంగా అనుభూతి

21
00:01:03,680 --> 00:01:07,650
మేము వెబ్ అప్లికేషన్లు దర్యాప్తు మరియు వంటి లోపాలు కనుగొనడంలో సమయంలో

22
00:01:07,650 --> 00:01:11,800
సెషన్ నిర్వహణ లోపాలు మరియు SQL ఇంజెక్షన్

23
00:01:11,800 --> 00:01:14,940
ఇది నిజంగా ముందు ఉనికిలో లేదు, మరియు ఆకస్మికంగా వారు ప్రతిచోటా ఉన్నాయి

24
00:01:14,940 --> 00:01:19,360
వెబ్ అప్లికేషన్లు లో, మరియు ఇప్పుడు నేను ఖర్చు సమయం చాలా

25
00:01:19,360 --> 00:01:27,950
మొబైల్ అనువర్తనాలు చూడటం మరియు అడవి లో అక్కడ ఏమి చూస్తున్నప్పటికీ.

26
00:01:27,950 --> 00:01:32,060
మొబైల్ అనువర్తనాలు నిజంగా ఆధిపత్య కంప్యూటింగ్ ప్లాట్ఫాం ఉంటాయని,

27
00:01:32,060 --> 00:01:35,060
కాబట్టి మేము నిజంగా మీరు భద్రతా పరిశ్రమలో అయితే సమయం చాలా ఖర్చు అవసరం

28
00:01:35,060 --> 00:01:39,280
వెబ్ అప్లికేషన్లు దృష్టి.

29
00:01:39,280 --> 00:01:43,420
2011 లో డౌన్లోడ్ 29 బిలియన్ల మొబైల్ అనువర్తనాలు ఉన్నాయి.

30
00:01:43,420 --> 00:01:47,920
ఇది 2014 ద్వారా 76 బిలియన్ Apps అంచనా యొక్క.

31
00:01:47,920 --> 00:01:54,040
ఈ సంవత్సరం కొనుగోలు వెళ్ళే 686 మిలియన్ పరికరాలు ఉంది,

32
00:01:54,040 --> 00:01:57,060
ప్రజలు విధంగా కావడం ఇక్కడ ఈ ఉంది

33
00:01:57,060 --> 00:01:59,600
 వారి క్లయింట్ కంప్యూటింగ్ మెజారిటీ ముందుకు వెళ్ళడం.

34
00:01:59,600 --> 00:02:04,220
>> నేను ఫిడిలిటీ పెట్టుబడులు వద్ద ఉపాధ్యక్షుడు మాట్లాడుతున్నది

35
00:02:04,220 --> 00:02:08,780
ఒక జంట నెలల క్రితం, మరియు అతను వారు కేవలం మరింత ట్రాఫిక్ చూసింది అన్నారు

36
00:02:08,780 --> 00:02:12,610
వారి వినియోగదారులు నుండి ఆర్థిక లావాదేవీలు చేయడం

37
00:02:12,610 --> 00:02:16,230
వారి వెబ్ సైట్ లో కంటే వారి మొబైల్ అప్లికేషన్,

38
00:02:16,230 --> 00:02:20,610
కాబట్టి గతంలో వెబ్ కోసం ఒక సాధారణ ఉపయోగం ఉంది

39
00:02:20,610 --> 00:02:23,800
,, మీ స్టాక్ కోట్లు తనిఖీ మీ పోర్ట్ఫోలియో మేనేజింగ్

40
00:02:23,800 --> 00:02:28,060
మరియు మేము నిజంగా మీద 2012 స్విచ్ ఆ చూస్తున్నారని

41
00:02:28,060 --> 00:02:30,960
మొబైల్ వేదిక మీద మరింత ప్రాధాన్యత.

42
00:02:30,960 --> 00:02:34,530
ఏ నేర ఉన్నట్లు జరగబోతోంది ఉంటే ఖచ్చితంగా,

43
00:02:34,530 --> 00:02:38,900
ఏ హానికరమైన సూచించే, ఇది మొబైల్ వేదిక మీద దృష్టి ఆరంభమవుతుంది

44
00:02:38,900 --> 00:02:44,210
ప్రజలు ఆ కు మారేలా కాలక్రమేణా వంటి.

45
00:02:44,210 --> 00:02:48,320
మీరు మొబైల్ వేదిక చూడండి,

46
00:02:48,320 --> 00:02:54,380
ఇది వివిధ పొరలు విచ్ఛిన్నం ఉపయోగం వేదిక నష్టాలు చూడండి,

47
00:02:54,380 --> 00:02:59,010
మీరు డెస్క్టాప్ కంప్యూటర్ చేయరా కేవలం వంటి,

48
00:02:59,010 --> 00:03:02,860
మరియు మీరు వివిధ పొరలు సాఫ్ట్వేర్, ఆపరేటింగ్ సిస్టమ్, ఆలోచించడానికి

49
00:03:02,860 --> 00:03:07,730
నెట్వర్క్ పొర, హార్డ్వేర్ పొర, మరియు కోర్సు యొక్క, అన్ని పొరలు న ప్రమాదాలను ఉంది.

50
00:03:07,730 --> 00:03:10,510
>> ఇదే మొబైల్ న జరుగుతుంది.

51
00:03:10,510 --> 00:03:14,880
కానీ మొబైల్, అది ఆ పొరలు కొన్ని అధ్వాన్న అని.

52
00:03:14,880 --> 00:03:19,840
ఒక కోసం, నెట్వర్క్ పొర మొబైల్ మరింత సమస్యాత్మకం

53
00:03:19,840 --> 00:03:25,650
ప్రజలు చాలా వారి కార్యాలయంలో లేదా ఇంట్లో ఎందుకంటే

54
00:03:25,650 --> 00:03:30,780
కనెక్షన్లు వైర్డు లేదా సురక్షితమైన Wi-Fi కనెక్షన్లు కలిగి,

55
00:03:30,780 --> 00:03:36,530
మరియు మొబైల్ పరికరాల చాలా మీకు ఇంటి వెలుపల స్పష్టంగా ఉన్నారు

56
00:03:36,530 --> 00:03:40,520
లేదా చాలా కార్యాలయం వెలుపల, మరియు మీరు Wi-Fi ఉపయోగిస్తున్నట్లయితే ఉన్నాయి

57
00:03:40,520 --> 00:03:42,820
మీరు సురక్షితం Wi-Fi కనెక్షన్ ఉపయోగిస్తూ ఉండవచ్చు,

58
00:03:42,820 --> 00:03:45,570
ఒక ప్రజా Wi-Fi కనెక్షన్ ఏదో,

59
00:03:45,570 --> 00:03:48,840
మేము మొబైల్ అనువర్తనాలు గురించి ఆలోచించినప్పుడు కాబట్టి మేము పరిగణనలోకి తీసుకోవాలని

60
00:03:48,840 --> 00:03:53,770
నెట్వర్క్ వాతావరణంలో ఆ అనువర్తనాల కోసం ప్రమాదకరమైన అని

61
00:03:53,770 --> 00:03:57,640
Wi-Fi వినియోగంలో ఉన్నప్పుడు.

62
00:03:57,640 --> 00:04:02,410
నేను మొబైల్ అప్లికేషన్ నష్టాలను మరింత లోకి వచ్చినప్పుడు

63
00:04:02,410 --> 00:04:04,910
మరింత ముఖ్యమైన వై మీరు చూస్తారు.

64
00:04:04,910 --> 00:04:09,710
మొబైల్ పరికరాల్లో హార్డ్వేర్ స్థాయిలో సమస్యలు ఉన్నాయి.

65
00:04:09,710 --> 00:04:11,670
ఈ జరుగుతున్న పరిశోధన యొక్క ఒక ప్రాంతం.

66
00:04:11,670 --> 00:04:15,910
ప్రజలు ఈ బ్రాడ్బ్యాండ్ దాడులు లేదా ఆధారబ్యాండ్ దాడులు కాల్

67
00:04:15,910 --> 00:04:21,870
మీరు రేడియోలో వింటున్నారో ఫ్రేమ్వేర్కు దాడి ఎక్కడ.

68
00:04:21,870 --> 00:04:25,430
>> ఈ నిజంగా చాలా భయపెట్టాడు దాడులు ఎందుకంటే

69
00:04:25,430 --> 00:04:27,280
యూజర్ ఏమీ లేదు.

70
00:04:27,280 --> 00:04:30,760
మీరు RF పరిధిలో పరికరాల మా కొడుతూ

71
00:04:30,760 --> 00:04:36,690
ఒకేసారి, మరియు ఈ పరిశోధన అప్ బుడగలు చేసినప్పుడు వంటి ఉంది

72
00:04:36,690 --> 00:04:40,750
ఇది త్వరగా పేరు క్లాసిఫైడ్ గెట్స్

73
00:04:40,750 --> 00:04:46,600
మంది లో మారండి మరియు చెప్పటానికి, "ఇక్కడ, ఆ గురించి మాకు మరియు అది మాట్లాడతానని దయచేసి."

74
00:04:46,600 --> 00:04:49,460
బ్రాడ్బ్యాండ్ ప్రాంతంలో జరగబోతోంది కొన్ని పరిశోధన ఉంది,

75
00:04:49,460 --> 00:04:51,980
కానీ చాలా హుష్ హుష్ ఉంది.

76
00:04:51,980 --> 00:04:56,910
నేను జరగబోతోంది పరిశోధన దేశం రాష్ట్ర రకం అని.

77
00:04:56,910 --> 00:05:02,140
క్రియాశీల పరిశోధన, అయితే, ఆపరేటింగ్ సిస్టమ్ పొర,

78
00:05:02,140 --> 00:05:08,910
మళ్ళీ, ఈ డెస్క్టాప్ కంప్యూటింగ్ ప్రపంచంలో కంటే భిన్నంగా ఉంటుంది

79
00:05:08,910 --> 00:05:14,840
మొబైల్ ప్రదేశంలో మీరు Jailbreakers అని ప్రజలు ఈ జట్లు, ఎందుకంటే

80
00:05:14,840 --> 00:05:18,670
మరియు Jailbreakers సాధారణ దాడిని పరిశోధకులు కంటే భిన్నంగా ఉంటాయి.

81
00:05:18,670 --> 00:05:21,970
వారు, ఆపరేటింగ్ సిస్టమ్ లో హాని కనుగొనేందుకు ప్రయత్నిస్తున్న

82
00:05:21,970 --> 00:05:27,000
కానీ వారు హాని కనుగొనేందుకు ప్రయత్నిస్తున్న కారణం కాదు

83
00:05:27,000 --> 00:05:31,810
ఇతరుల యంత్రం బ్రేక్ మరియు రాజీ.

84
00:05:31,810 --> 00:05:34,280
ఇది వారి స్వంత కంప్యూటర్ ప్రవేశించే ఉంది.

85
00:05:34,280 --> 00:05:38,820
వారు వారి సొంత మొబైల్ విరగగొడదామనుకుంటున్నాను >> వారి స్వంత మొబైల్ యొక్క ఆపరేటింగ్ సిస్టమ్ను మార్చడానికి

86
00:05:38,820 --> 00:05:41,050
వారు తమకు నచ్చిన దరఖాస్తులను తద్వారా

87
00:05:41,050 --> 00:05:44,510
మరియు పూర్తి నిర్వహణ అనుమతులు తో విషయాలు మార్చడానికి,

88
00:05:44,510 --> 00:05:49,050
మరియు వారు ఈ గురించి విక్రేత చెప్పడం లేదు.

89
00:05:49,050 --> 00:05:52,960
వారు ఒక తెల్ల టోపీ భద్రతా పరిశోధకుడు ఇది ఒక భద్రతా పరిశోధకుడు ఇష్టం లేదు

90
00:05:52,960 --> 00:05:56,600
బాధ్యత బహిర్గతం మరియు దాని గురించి విక్రేత చెప్పండి అన్నారు ఇది.

91
00:05:56,600 --> 00:06:01,270
వారు ఈ పరిశోధన చేయాలని, మరియు వారు నిజానికి ప్రచురించాలనుకుంటే

92
00:06:01,270 --> 00:06:06,400
ఒక దోపిడీ లేదా ఒక రూట్కిట్ లేదా ఒక jailbreak కోడ్,

93
00:06:06,400 --> 00:06:10,010
మరియు వారు తర్వాత వంటి, వ్యూహాత్మకంగా చేయాలనుకుంటున్నాను

94
00:06:10,010 --> 00:06:13,570
విక్రేత నౌకలు కొత్త ఆపరేటింగ్ సిస్టమ్.

95
00:06:13,570 --> 00:06:16,350
ఈ పటిష్టమయిన సంబంధం

96
00:06:16,350 --> 00:06:19,000
మొబైల్ లో OS స్థాయి ప్రమాదాలను తో,

97
00:06:19,000 --> 00:06:23,150
నేను చాలా ఆసక్తికరంగా ఉంటుంది అనుకుంటున్నాను, మరియు ఒక స్థానంలో చూడము ఇది

98
00:06:23,150 --> 00:06:29,210
మంచి దోపిడి ప్రచురితమైన కోడ్ అక్కడ ఉంది కాబట్టి అది చేస్తుంది

99
00:06:29,210 --> 00:06:31,750
కెర్నల్ స్థాయి వలయాలను,

100
00:06:31,750 --> 00:06:35,040
మరియు మేము నిజంగా మాల్వేర్ రచయితలు ఉపయోగించవచ్చు ఆ చూసిన.

101
00:06:35,040 --> 00:06:38,450
ఇది PC ప్రపంచ కంటే కొద్దిగా భిన్నమైనది.

102
00:06:38,450 --> 00:06:42,530
ఆపై చివరి పొర పైభాగంలో పొర, అప్లికేషన్ లేయర్ ఉంది.

103
00:06:42,530 --> 00:06:45,250
ఆ నేను ఈ రోజు గురించి మాట్లాడటానికి వెళుతున్న ఏమిటి.

104
00:06:45,250 --> 00:06:48,970
>>, ఇతర పొరలు ఉన్నాయి, మరియు ఇతర పొరలు దీనిని ప్లే

105
00:06:48,970 --> 00:06:53,310
కానీ నేను ఎక్కువగా అప్లికేషన్ పొర వద్ద ఏమి గురించి మాట్లాడటానికి వెళుతున్న

106
00:06:53,310 --> 00:06:55,560
కోడ్ sandbox లో నడుచును.

107
00:06:55,560 --> 00:06:58,670
అది నిర్వాహక అధికారాలను లేదు.

108
00:06:58,670 --> 00:07:02,170
ఇది పరికరం యొక్క API లు ఉపయోగించడానికి ఉంది,

109
00:07:02,170 --> 00:07:06,970
కానీ ఇప్పటికీ, హానికరమైన సూచించే చాలా మరియు నష్టాన్ని చాలా ఆ పొరలో జరుగుతుంది

110
00:07:06,970 --> 00:07:09,220
అన్ని సమాచారం పేరు పొర ఎందుకంటే.

111
00:07:09,220 --> 00:07:12,330
Apps పరికరంలో అన్ని సమాచారాన్ని ప్రాప్తి చేయవచ్చు

112
00:07:12,330 --> 00:07:15,390
వారికి సరైన అనుమతులు ఉంటే,

113
00:07:15,390 --> 00:07:17,540
మరియు వారు పరికరంలో వివిధ సెన్సార్లు యాక్సెస్ చేయవచ్చు,

114
00:07:17,540 --> 00:07:23,950
GPS సెన్సార్, మైక్రోఫోన్, కెమెరా, మీరు ఏమి.

115
00:07:23,950 --> 00:07:27,380
మేము మాత్రమే దరఖాస్తు పొరలో గురించి మాట్లాడటం ఉన్నప్పటికీ

116
00:07:27,380 --> 00:07:33,700
మేము అక్కడ ప్రమాదం చాలా.

117
00:07:33,700 --> 00:07:38,450
మొబైల్ వాతావరణంలో గురించి వివిధ అని ఇతర విషయం

118
00:07:38,450 --> 00:07:45,060
వ్యవస్థ క్రీడాకారులు, అది ఉంది బ్లాక్బెర్రీ లేదా Android

119
00:07:45,060 --> 00:07:53,410
లేదా iOS లేదా Windows మొబైల్, వారు అన్ని, ఒక ఫైన్ గ్రెయిండ్ అనుమతి మోడల్కు

120
00:07:53,410 --> 00:07:56,990
మరియు ఈ అవి ఆపరేటింగ్ సిస్టమ్ నిర్మించారు మార్గాల్లో ఒకటి

121
00:07:56,990 --> 00:08:01,230
ఇది మీరు ఆలోచించినట్లు ప్రమాదకర కాదు ఆలోచన.

122
00:08:01,230 --> 00:08:04,550
మీరు ఇక్కడ అన్ని మీ పరిచయాలను కలిగి కూడా, అన్ని మీ వ్యక్తిగత సమాచారాన్ని,

123
00:08:04,550 --> 00:08:09,080
మీరు మీ ఫోటోలు, మీరు, అక్కడ మీ స్థానాన్ని కలిగి

124
00:08:09,080 --> 00:08:14,820
మీరు ఇక్కడ ఆటో లాగిన్ కోసం మీ బ్యాంకు పిన్ నిల్వ చేస్తున్నారు సురక్షితమని ఎందుకంటే

125
00:08:14,820 --> 00:08:19,430
అనువర్తనాలు కొన్ని భాగాలలో పొందడానికి కొన్ని అనుమతులు కలిగి

126
00:08:19,430 --> 00:08:25,080
పరికరంలో సమాచారం, మరియు యూజర్ యొక్క బహుకరించారు వుంటుంది

127
00:08:25,080 --> 00:08:29,230
ఈ అనుమతులు మరియు సరే చెప్పడానికి.

128
00:08:29,230 --> 00:08:32,590
>> దానితో సమస్య ఎల్లప్పుడూ యూజర్ ఓకే చెప్పారు.

129
00:08:32,590 --> 00:08:35,240
ఒక భద్రతా, నేను మీరు యూజర్ ప్రాంప్ట్ తెలుసు,

130
00:08:35,240 --> 00:08:40,100
నిజంగా చెడు ఏదో జరిగే అన్నారు చెబుతారు, మీరు జరిగే అనుకుంటున్నారు?

131
00:08:40,100 --> 00:08:44,680
మరియు వారు ఒక రష్ లో ఉన్నాము లేదా ఇతర వైపు నిజంగా మనోహరమైన విషయం ఏదైనా ఉంటే,

132
00:08:44,680 --> 00:08:47,760
వంటి ఒక గేమ్, వారు వేచి చేసిన ఇన్స్టాల్ అన్నారు

133
00:08:47,760 --> 00:08:50,860
వారు సరే క్లిక్ వెళ్ళి.

134
00:08:50,860 --> 00:08:56,630
నేను నాకు ఇప్పటికే పందులు వద్ద పక్షులు విసిరివేయు వీలు ఇక్కడ నా స్లయిడ్ నేనంటాను, ఉంది

135
00:08:56,630 --> 00:09:03,150
మరియు మీరు ఒక బ్లాక్బెర్రీ అనుమతి బాక్స్ ఉదాహరణలు ఉంది ఇక్కడ స్లయిడ్ చూడగలరు.

136
00:09:03,150 --> 00:09:05,990
ఇది "బ్లాక్బెర్రీ ప్రయాణం అనువర్తనం అనుమతులను సెట్ చేయండి చెప్పారు

137
00:09:05,990 --> 00:09:09,720
, క్రింది బటన్ క్లిక్ చేయడం "మరియు ప్రధానంగా యూజర్ చెప్పడానికి అన్నారు తరువాత

138
00:09:09,720 --> 00:09:12,240
అనుమతులను సెట్ జ్టోటి.

139
00:09:12,240 --> 00:09:18,010
ఇక్కడ ఇది విషయాలు చూపిస్తుంది ఒక Android ప్రాంప్ట్ ఉంది,

140
00:09:18,010 --> 00:09:20,260
మరియు అది నిజానికి దాదాపు ఒక హెచ్చరిక కనిపించే ఏదో ఉంచుతుంది.

141
00:09:20,260 --> 00:09:25,090
ఇది, అక్కడ దిగుబడి సైన్ మాట్లాడుతూ నెట్వర్క్ కమ్యూనికేషన్, ఫోన్ కాల్ ఒక విధమైన సంపాదించి

142
00:09:25,090 --> 00:09:28,120
కానీ వినియోగదారు కుడి, ఇన్స్టాల్ క్లిక్ అన్నారు?

143
00:09:28,120 --> 00:09:32,940
ఆపై ఆపిల్ ఒక పూర్తిగా హానికరం ఉంది.

144
00:09:32,940 --> 00:09:34,300
ఇది హెచ్చరిక ఎలాంటి ఇవ్వదు.

145
00:09:34,300 --> 00:09:37,380
ఇది ఆపిల్ మీ ప్రస్తుత స్థానాన్ని ఉపయోగించాలనుకుంటే కేవలం ఉంది.

146
00:09:37,380 --> 00:09:39,670
కోర్సు మీరు సరే క్లిక్ వెళ్ళి.

147
00:09:39,670 --> 00:09:42,260
>> ఈ సున్నితమైనవి అనుమతి మోడల్, ఉంది

148
00:09:42,260 --> 00:09:45,890
మరియు Apps వారు డిక్లేర్ పేరు మానిఫెస్ట్ ఫైల్ కలిగి ఉంటుంది

149
00:09:45,890 --> 00:09:49,410
, అనుమతులు వారు అవసరం, మరియు ఆ యూజర్ ప్రదర్శించబడుతుంది అవుతారు

150
00:09:49,410 --> 00:09:53,480
మరియు యూజర్ నేను ఈ అనుమతులు చెప్పటానికి ఉంటుంది.

151
00:09:53,480 --> 00:09:55,080
కానీ యొక్క నిజాయితీ ఉంచబడుతుంది.

152
00:09:55,080 --> 00:09:58,400
వినియోగదారులు కేవలం ఎల్లప్పుడూ సరే చెప్పడానికి వెళ్తున్నారు.

153
00:09:58,400 --> 00:10:04,460
యొక్క ఈ అనువర్తనాలను కోరుతూ ఉన్నాయి అనుమతులు త్వరగా చూద్దాం

154
00:10:04,460 --> 00:10:06,850
మరియు ఉన్నాయి అనుమతులు కొన్ని.

155
00:10:06,850 --> 00:10:09,950
ఈ సంస్థ Praetorian గత సంవత్సరం ఒక సర్వే చేశారు

156
00:10:09,950 --> 00:10:14,170
Android మార్కెట్ మరియు 3rd పార్టీ మార్కెట్లలో విశ్లేషించారు 53,000 అప్లికేషన్లు,

157
00:10:14,170 --> 00:10:16,770
ఈ అన్ని Android ఉంది.

158
00:10:16,770 --> 00:10:19,670
మరియు సగటు అనువర్తనం 3 అనుమతులను అభ్యర్థించింది.

159
00:10:19,670 --> 00:10:23,370
కొన్ని అనువర్తనాలు 117 అనుమతులను అభ్యర్థించింది,

160
00:10:23,370 --> 00:10:27,480
కాబట్టి స్పష్టంగా ఈ అర్థం ఒక వినియోగదారు కోసం కణాలతో మరియు విధంగా చాలా క్లిష్టమైన చాలా జరిమానా

161
00:10:27,480 --> 00:10:31,600
వారు ఈ 117 పెర్మిషన్స్ అవసరం ఈ అనువర్తనం బహుకరించారు చేస్తున్నారు ఉంటే.

162
00:10:31,600 --> 00:10:37,270
ఇది 45 పేజీలున్న ఆ ముగింపు యూజర్ లైసెన్స్ ఒప్పందం వంటిది.

163
00:10:37,270 --> 00:10:40,240
బహుశా వారు ఇది వంటిది ఒక ఎంపిక ఉంటుంది

164
00:10:40,240 --> 00:10:43,100
అనుమతులు ప్రింట్ మరియు ఒక ఇమెయిల్ పంపండి.

165
00:10:43,100 --> 00:10:45,480
>> కానీ మీరు టాప్ ఆసక్తికరమైన అనుమతులు కొన్ని చూడండి ఉంటే

166
00:10:45,480 --> 00:10:50,840
వారు 53,000 బయటకు డౌన్లోడ్ అనువర్తనాలను 24%

167
00:10:50,840 --> 00:10:57,230
పరికరం నుండి అభ్యర్థించిన GPS సమాచారాన్ని.

168
00:10:57,230 --> 00:10:59,810
8% పరిచయాలు చదవడానికి.

169
00:10:59,810 --> 00:11:03,770
4% పంపుతాయి, మరియు 3% SMS పొందింది.

170
00:11:03,770 --> 00:11:07,730
2% ఆడియో రికార్డు.

171
00:11:07,730 --> 00:11:11,210
1% అవుట్గోయింగ్ కాల్స్ ప్రాసెస్.

172
00:11:11,210 --> 00:11:13,140
నేను తెలియదు.

173
00:11:13,140 --> 00:11:17,520
నేను అనువర్తనం స్టోర్ లో Apps యొక్క 4% నిజంగా SMS టెక్స్ట్ సందేశాలను పంపడానికి అవసరం భావించడం లేదు

174
00:11:17,520 --> 00:11:21,410
నేను అవాంఛనీయ ఏదో జరుగుతుందో సూచనను అని.

175
00:11:21,410 --> 00:11:24,350
Apps యొక్క 8% మీ పరిచయాలను జాబితా చదవడానికి అవసరం.

176
00:11:24,350 --> 00:11:26,510
ఇది బహుశా అవసరమైన కాదు.

177
00:11:26,510 --> 00:11:30,990
అనుమతులు గురించి ఇతర ఆసక్తికరమైన విషయాలు ఒకటి

178
00:11:30,990 --> 00:11:36,740
మీ అప్లికేషన్ లోకి షేర్డ్ గ్రంథాలయాల్లో లింక్

179
00:11:36,740 --> 00:11:39,780
ఆ అప్లికేషన్ యొక్క అనుమతులు వారసత్వంగా,

180
00:11:39,780 --> 00:11:46,570
మీ అనువర్తనం పరిచయం జాబితా అవసరం లేదా పని చేయడానికి GPS నగర అవసరం ఉంటే

181
00:11:46,570 --> 00:11:49,940
మరియు మీరు ఉదాహరణకు, ఒక ప్రకటన లైబ్రరీలో లింక్,

182
00:11:49,940 --> 00:11:53,170
ప్రకటన లైబ్రరీ కూడా పరిచయాలను ప్రాప్తి చేయగలరు

183
00:11:53,170 --> 00:11:57,630
మరియు GPS నగర యాక్సెస్ చేయగలదు,

184
00:11:57,630 --> 00:12:01,990
మరియు అనువర్తనం యొక్క డెవలపర్ ప్రకటన లైబ్రరీ అమలు చేసే కోడ్ గురించి ఏమీ తెలియదు.

185
00:12:01,990 --> 00:12:05,370
వారు వారి అనువర్తనం మోనటైజ్ కావలసిన ఎందుకంటే వారు ఆ లో లింక్ చేసిన.

186
00:12:05,370 --> 00:12:09,820
>> ఈ పేరు మరియు నేను ఈ కొన్ని ఉదాహరణలు మాట్లాడదాము

187
00:12:09,820 --> 00:12:13,930
పండోర అని ఒక అప్లికేషన్ పేరు ఒక అప్లికేషన్ డెవలపర్

188
00:12:13,930 --> 00:12:18,910
తెలియకుండానే కారుట సమాచారం ఉండవచ్చు

189
00:12:18,910 --> 00:12:24,580
వారి వినియోగదారులు నుండి ఎందుకంటే వారు సైన్ లింక్ చేసిన లైబ్రరీలను

190
00:12:24,580 --> 00:12:30,110
అన్ని వివిధ Apps చూడటం, అక్కడ భూభాగం సర్వేయింగ్

191
00:12:30,110 --> 00:12:34,310
హానికర లేదా చేయడం ఏదో వినియోగదారులు ఇష్టం లేదు వార్తలు లో నివేదించబడిన

192
00:12:34,310 --> 00:12:39,360
ఆపై చాలా పరిశీలించేందుకు యాప్స్ మేము, మొబైల్ అనువర్తనాలు స్థిర బైనరీ విశ్లేషణ చేస్తాను

193
00:12:39,360 --> 00:12:42,010
కాబట్టి మేము వాటిని తనిఖీ మరియు కోడ్ చూశారు చేసిన నాయనా

194
00:12:42,010 --> 00:12:49,640
మేము అనువర్తనాల్లో ప్రమాదకర ప్రవర్తన మా టాప్ 10 జాబితాలో పిలుస్తాము ముందుకు వచ్చారు.

195
00:12:49,640 --> 00:12:54,180
మరియు అది, 2 విభాగాలు, హానికరమైన కోడ్ లోకి విభజించవచ్చు

196
00:12:54,180 --> 00:12:57,600
కాబట్టి ఈ అనువర్తనాలను చేస్తూ ఉండవచ్చు ఆ చెడు విషయాలు అని

197
00:12:57,600 --> 00:13:06,520
ఒక ప్రమాదకర వ్యక్తి ఏదో రానున్నాయి

198
00:13:06,520 --> 00:13:10,060
ప్రత్యేకంగా అప్లికేషన్, కానీ కొద్దిగా గజిబిజి ఉంది ఉంది.

199
00:13:10,060 --> 00:13:13,300
ఇది, ఒక డెవలపర్ జరిమానా భావించిన ఏదో ఉంటుంది

200
00:13:13,300 --> 00:13:16,350
కానీ వినియోగదారు ద్వారా వంటి హానికరమైన యొక్క ఆలోచన ముగుస్తుంది.

201
00:13:16,350 --> 00:13:19,830
>> ఆపై రెండవ విభాగం మేము ప్రమాదాలను కోడింగ్ పిలుస్తాము,

202
00:13:19,830 --> 00:13:24,600
మరియు ఈ డెవలపర్ ప్రాథమికంగా తప్పులు చేయడం రాష్ట్రం విషయాలు

203
00:13:24,600 --> 00:13:27,200
లేదా కేవలం సురక్షితంగా అనువర్తనం రాయడానికి ఎలా అర్థం లేదు,

204
00:13:27,200 --> 00:13:30,260
 మరియు ఆ ప్రమాదం అనువర్తనం వినియోగదారు ఉంచడం.

205
00:13:30,260 --> 00:13:34,060
నేను అంశంలోనూ ద్వారా వెళ్ళి కొన్ని ఉదాహరణలు ఇవ్వాలని వెళుతున్న.

206
00:13:34,060 --> 00:13:39,620
సూచన కోసం, నేను OWASP మొబైల్ టాప్ 10 జాబితాలో ఇవ్వడానికి కావలెను.

207
00:13:39,620 --> 00:13:43,590
ఈ 10 సమస్యలు అని OWASP ఒక సమూహం,

208
00:13:43,590 --> 00:13:48,900
ఓపెన్ వెబ్ అనువర్తనంసెక్యూరిటీ ప్రాజెక్ట్, వారు ఒక కార్యవర్గం కలిగి

209
00:13:48,900 --> 00:13:50,620
ఒక మొబైల్ టాప్ 10 జాబితాలో పని.

210
00:13:50,620 --> 00:13:54,600
ఉన్నత 10 ఇవి చాలా ప్రసిద్ధ వెబ్ టాప్ 10 జాబితా, ఉన్నాయి

211
00:13:54,600 --> 00:13:57,180
riskiest విషయాలు మీరు ఒక వెబ్ అప్లికేషన్ లో కలిగి.

212
00:13:57,180 --> 00:13:59,090
వారు మొబైల్ కోసం ఇదే చేస్తున్నా,

213
00:13:59,090 --> 00:14:01,750
మరియు జాబితాలో మాది కంటే కొద్దిగా భిన్నంగా ఉంటుంది.

214
00:14:01,750 --> 00:14:03,670
10 నుండి 6 ఒకటే.

215
00:14:03,670 --> 00:14:06,020
వారు వివిధ ఉన్నాయి 4 ఉంటాయి.

216
00:14:06,020 --> 00:14:10,550
నేను వారు వేరే టేక్ కొద్దిగా ఉన్నాయి అనుకుంటున్నాను

217
00:14:10,550 --> 00:14:14,490
మొబైల్ అనువర్తనాలు లో ప్రమాదం వారి సమస్యలను చాలా

218
00:14:14,490 --> 00:14:20,490
నిజంగా అప్లికేషన్ బ్యాక్ ఎండ్ సర్వర్ సంభాషించడం ఎలా

219
00:14:20,490 --> 00:14:23,100
లేదా ఏ బ్యాక్ ఎండ్ సర్వర్లో జరగబోతోంది,

220
00:14:23,100 --> 00:14:29,220
కేవలం సూటిగా క్లయింట్ అనువర్తనాలను అని ప్రమాదకర ప్రవర్తన కలిగి అని కాదు అనువర్తనాలు.

221
00:14:29,220 --> 00:14:36,640
>> ఇక్కడ ఎరుపు లో వాటిని 2 జాబితాలు మధ్య తేడాలు.

222
00:14:36,640 --> 00:14:40,740
మరియు నా పరిశోధనలో జట్టు కొన్ని వాస్తవానికి ఈ ప్రాజెక్టు దోహదపడింది,

223
00:14:40,740 --> 00:14:44,570
కాబట్టి మనం కాలక్రమంలో ఏమి చూస్తారు, కానీ నేను ఇక్కడ takeaway అనుకుంటున్నాను

224
00:14:44,570 --> 00:14:47,550
మేము నిజంగా టాప్ 10 జాబితాలో మొబైల్ అనువర్తనాలు లో ఏమి లేదు ఎందుకంటే

225
00:14:47,550 --> 00:14:50,510
వారు నిజంగా, ఇప్పుడు 2 లేదా 3 సంవత్సరాలు చుట్టూ చేసిన

226
00:14:50,510 --> 00:14:57,750
మరియు నిజంగా ఆపరేటింగ్ వ్యవస్థలు పరిశోధన తగినంత సమయం ఉండదు

227
00:14:57,750 --> 00:15:00,450
మరియు వారు సామర్థ్యం ఉన్నారు, మరియు తగినంత సమయం ఉండదు

228
00:15:00,450 --> 00:15:06,870
మీరు హానికరమైన కమ్యూనిటీ కోసం,, తగినంత సమయం ఖర్చు చేశారు

229
00:15:06,870 --> 00:15:12,910
మొబైల్ అనువర్తనాలు ద్వారా వినియోగదారులు దాడి ప్రయత్నిస్తున్న, కాబట్టి నేను ఈ జాబితాలు కొద్దిగా మార్చడానికి ఆశించే.

230
00:15:12,910 --> 00:15:18,720
కానీ ఇప్పుడు కోసం, ఈ గురించి ఆందోళన టాప్ 10 విషయాలు.

231
00:15:18,720 --> 00:15:24,150
మీరు మొబైల్ వైపు ఆశ్చర్యానికి ఉండవచ్చు పేరు చేస్తుంది హానికరమైన మొబైల్ కోడ్-

232
00:15:24,150 --> 00:15:28,880
ఎలా ఇది పరికరం లో పొందండి?

233
00:15:28,880 --> 00:15:35,210
నార్త్ కరోలినా స్టేట్ మొబైల్ మాల్వేర్ జీనోమ్ ప్రాజెక్ట్ అనే ప్రాజెక్ట్ను ఉంది

234
00:15:35,210 --> 00:15:39,520
వారు, వారు వంటి మొబైల్ మాల్వేర్ సేకరించి విశ్లేషించడం ఉన్నాయి

235
00:15:39,520 --> 00:15:45,270
మరియు వారు, మొబైల్ మాల్వేర్ ఉపయోగించే ఇంజక్షన్ వెక్టర్స్ విచ్ఛిన్నం చేసిన

236
00:15:45,270 --> 00:15:51,490
మరియు 86%, పరచుట అనే సాంకేతిక

237
00:15:51,490 --> 00:15:54,160
మరియు ఈ Android వేదిక మీద మాత్రమే ఉంది

238
00:15:54,160 --> 00:15:56,720
మీరు ఈ పరచుట చేయవచ్చు.

239
00:15:56,720 --> 00:16:03,100
>> కారణం Android కోడ్ తో నిర్మించబడింది ఉంది

240
00:16:03,100 --> 00:16:08,130
సులభంగా decompilable ఇది Dalvik అనే జావా బైట్ కోడ్.

241
00:16:08,130 --> 00:16:12,460
సర్వేజనా వ్యక్తి చేయవచ్చు ఉంది

242
00:16:12,460 --> 00:16:16,590
ఒక Android అనువర్తనం పడుతుంది, ఇది decompile,

243
00:16:16,590 --> 00:16:20,120
వారి హానికరమైన కోడ్ ఇన్సర్ట్, మళ్ళీ కంపైల్,

244
00:16:20,120 --> 00:16:28,070
మరియు ఆ అనువర్తనం క్రొత్త వెర్షన్ ఉద్దేశం అనువర్తనం స్టోర్ లో కనబరచింది,

245
00:16:28,070 --> 00:16:30,330
లేదా కేవలం ఉండవచ్చు అప్లికేషన్ యొక్క పేరు మార్చడం.

246
00:16:30,330 --> 00:16:35,140
ఇది ఆట యొక్క విధమైన ఉంది ఉంటే,, కొద్దిగా పేరు మార్చడానికి

247
00:16:35,140 --> 00:16:42,860
మరియు ఈ పరచుట మొబైల్ మాల్వేర్ 86% పంపిణీ అవుతుంది ఎలా ఉంది.

248
00:16:42,860 --> 00:16:45,810
మరొక పద్ధతి అని నవీకరణ ఉంది

249
00:16:45,810 --> 00:16:50,030
పరచుట కు సమానమైన, కానీ మీరు నిజంగా సైన్ హానికరమైన కోడ్ ఉంచవద్దు

250
00:16:50,030 --> 00:16:52,870
మీరు ఏమి మీరు ఒక చిన్న నవీకరణ విధానం ప్రవేశపెట్టింది.

251
00:16:52,870 --> 00:16:56,660
మీరు decompile, మీరు ఒక నవీకరణ విధానం ప్రవేశపెట్టింది, మరియు మీరు మళ్ళీ కంపైల్,

252
00:16:56,660 --> 00:17:02,360
ఆపై అప్లికేషన్ పరికరంలో మాల్వేర్ డౌన్ లాగుతుంది రన్ చేసినప్పుడు.

253
00:17:02,360 --> 00:17:06,300
>> ఇప్పటివరకు మెజారిటీ ఆ 2 పద్ధతులు ఉన్నాయి.

254
00:17:06,300 --> 00:17:12,710
మొబైల్ లో నిజంగా చాలా డౌన్ లోడ్ డ్రైవ్-bys లేదా డ్రైవ్ ద్వారా డౌన్, లేదు

255
00:17:12,710 --> 00:17:15,890
ఒక ఫిషింగ్ దాడి వంటి కావచ్చు ఇది.

256
00:17:15,890 --> 00:17:18,200
హే, ఇది నిజంగా చల్లని వెబ్సైట్ తనిఖీ,

257
00:17:18,200 --> 00:17:21,020
లేదా మీరు ఈ వెబ్ సైట్ వెళ్ళి, ఈ నింపేందుకు అవసరం

258
00:17:21,020 --> 00:17:24,420
ఏదో చేయడం నిరంతర ఉంచడానికి.

259
00:17:24,420 --> 00:17:26,230
ఆ దాడులు ఫిషింగ్ ఉంటాయి.

260
00:17:26,230 --> 00:17:28,160
ఇదే మొబైల్ వేదిక జరిగే వారు

261
00:17:28,160 --> 00:17:33,830
, డౌన్లోడ్ చెప్పడానికి ఒక మొబైల్ అనువర్తనం సూచించడానికి "హాయ్, ఈ బ్యాంక్ ఆఫ్ అమెరికా ఉంది."

262
00:17:33,830 --> 00:17:36,070
"మీరు ఈ అనువర్తనం ఉపయోగిస్తున్నట్లయితే చూడండి."

263
00:17:36,070 --> 00:17:38,540
"ఈ ఇతర అప్లికేషన్ డౌన్లోడ్ చేయాలి."

264
00:17:38,540 --> 00:17:41,170
సిద్ధాంతపరంగా, ఆ పని కాలేదు.

265
00:17:41,170 --> 00:17:48,610
బహుశా అది కేవలం, ఇది విజయవంతమైన లేదా నిర్ధారించడానికి తగినంత ఉపయోగించనట్లయితే

266
00:17:48,610 --> 00:17:51,680
కానీ అవి పద్ధతిని 1% కంటే తక్కువ ఉపయోగిస్తారు కనుగొన్నారు.

267
00:17:51,680 --> 00:17:56,130
ఎక్కువ సమయం ఇది నిజంగా ఒక కొత్త రూపంలో కోడ్ ఉంది.

268
00:17:56,130 --> 00:17:58,710
>> మరొక వర్గం అనే స్వతంత్ర ఉంది

269
00:17:58,710 --> 00:18:01,420
ఎవరైనా కేవలం ఒక బ్రాండ్ కొత్త అప్లికేషన్ రూపొందించారు పేరు.

270
00:18:01,420 --> 00:18:04,020
వారు ఏదో వ్రాశాడు అనువర్తనాన్ని తయారు.

271
00:18:04,020 --> 00:18:07,360
ఇది ఏదో ఒక పరచుట కాదు, మరియు ఆ హానికరమైన కోడ్ ఉంది.

272
00:18:07,360 --> 00:18:11,230
ఆ సమయం 14% ఉపయోగిస్తారు.

273
00:18:11,230 --> 00:18:17,880
ఇప్పుడు నేను హానికరమైన కోడ్ ఏమి గురించి చర్చ అనుకుంటున్నారా?

274
00:18:17,880 --> 00:18:23,070
అక్కడ మొదటి మాల్వేర్ ఒక

275
00:18:23,070 --> 00:18:25,490
మీరు ఒక స్పైవేర్ పరిగణించవచ్చు.

276
00:18:25,490 --> 00:18:27,620
ఇది ప్రాథమికంగా యూజర్ న గూఢచారులు.

277
00:18:27,620 --> 00:18:30,470
ఇది ఇమెయిళ్ళు, SMS సందేశాలను సేకరిస్తుంది.

278
00:18:30,470 --> 00:18:32,340
ఇది మైక్రోఫోన్ మారుతుంది.

279
00:18:32,340 --> 00:18:37,330
ఇది పరిచయం పుస్తకం పంటలు, మరియు అది మరొకరికి పంపివేస్తాడు.

280
00:18:37,330 --> 00:18:40,870
స్పైవేర్ ఈ రకమైన PC లో ఉంది,

281
00:18:40,870 --> 00:18:46,200
ప్రజలు మొబైల్ పరికరాల్లో దీన్ని ప్రయత్నించండి కోసం కాబట్టి ఇది ఖచ్చితమైన అర్థవంతంగా ఉంటుంది.

282
00:18:46,200 --> 00:18:53,230
>> ఈ మొదటి ఉదాహరణ ఒక సీక్రెట్ SMS రెప్లికేటర్ అనే కార్యక్రమం.

283
00:18:53,230 --> 00:18:56,250
ఇది, కొన్ని సంవత్సరాల క్రితం Android Marketplace లో ఉంది

284
00:18:56,250 --> 00:18:59,960
మీరు ఒకరి Android ఫోన్ ప్రవేశం ఉంది ఉంటే మరియు ఆలోచన

285
00:18:59,960 --> 00:19:03,450
మీరు గూఢచర్యం అనుకున్నారు కాబట్టి ఉండవచ్చు మీ జీవిత భాగస్వామి అని

286
00:19:03,450 --> 00:19:07,600
లేదా మీ ఇతర ముఖ్యమైన మరియు మీరు వారి టెక్స్ట్ సందేశ గూఢచర్యం కావలసిన,

287
00:19:07,600 --> 00:19:11,200
మీరు ఈ అనువర్తనం ఇన్స్టాల్ మరియు ఆకృతీకరించుటకు కాలేదు

288
00:19:11,200 --> 00:19:16,540
ప్రతిని మీకు ఒక SMS టెక్స్ట్ సందేశం పంపడానికి

289
00:19:16,540 --> 00:19:21,710
ప్రతి SMS టెక్స్ట్ సందేశం యొక్క వారు వచ్చింది.

290
00:19:21,710 --> 00:19:27,220
ఈ సహజంగా, సేవ యొక్క అనువర్తనం స్టోర్ పదాల ఉల్లంఘనలకు ఉంది

291
00:19:27,220 --> 00:19:32,040
మరియు ఈ, అది అక్కడ ఉండి 18 గంటల్లో Android Marketplace నుండి తొలగించారు

292
00:19:32,040 --> 00:19:36,760
కాబట్టి ప్రజల అతి తక్కువ సంఖ్యలో ఈ కారణంగా ముప్పు.

293
00:19:36,760 --> 00:19:42,510
ఇప్పుడు, నేను కార్యక్రమం ఏదో ఉండవచ్చు కొద్దిగా తక్కువ రెచ్చగొట్టే అని పిలిచేవారు ఉంటే

294
00:19:42,510 --> 00:19:48,690
సీక్రెట్ SMS రెప్లికేటర్ లాగా బహుశా చాలా బాగా పని చేస్తుంది.

295
00:19:48,690 --> 00:19:52,870
కానీ రకమైన స్పష్టమైనది.

296
00:19:52,870 --> 00:19:58,680
>> యూజర్స్ మనం అనుకుంటున్న ప్రవర్తనతో ఉంటే గుర్తించడానికి చేయవచ్చు విషయాలు ఒకటి

297
00:19:58,680 --> 00:20:01,410
కోడ్ తనిఖీ ఉంది.

298
00:20:01,410 --> 00:20:06,250
ఈ నిజానికి యూజర్స్ decompile ఎందుకంటే Android న చేయడానికి నిజంగా సులభం.

299
00:20:06,250 --> 00:20:11,050
IOS న మీరు IDA ప్రో వంటి disassembler ఉపయోగించవచ్చు

300
00:20:11,050 --> 00:20:17,190
అనువర్తనం కాల్ మరియు దానిని ఏమి API లు ఏమి చూడండి.

301
00:20:17,190 --> 00:20:20,680
మేము మా కోడ్ కోసం మా సొంత బైనరీ స్టాటిక్ విశ్లేషణా రాశారు

302
00:20:20,680 --> 00:20:24,940
మరియు మేము దీన్ని, మరియు మీరు ఏమి మీరు చెప్పగల్గినవి ఉంది

303
00:20:24,940 --> 00:20:30,490
పరికరం ప్రాథమికంగా నాకు గూఢచర్యం లేదా నాకు ట్రాకింగ్ అని ఏదైనా చేస్తుంది?

304
00:20:30,490 --> 00:20:33,360
నేను ఇక్కడ ఐఫోన్ కొన్ని ఉదాహరణలు ఉన్నాయి.

305
00:20:33,360 --> 00:20:41,440
ఈ మొదటి ఉదాహరణ ఫోన్ లో UUID యాక్సెస్ ఎలా ఉంది.

306
00:20:41,440 --> 00:20:47,060
ఈ నిజానికి ఆపిల్ కేవలం కొత్త అనువర్తనాలను నిషేధించారు ఉంది ఆ విషయం,

307
00:20:47,060 --> 00:20:52,540
కానీ మీరు మీ ఫోన్ నడుస్తున్న ఉండవచ్చని పాత అప్లికేషన్లు ఇప్పటికీ చేయవచ్చు,

308
00:20:52,540 --> 00:20:56,500
అందువలన, ప్రత్యేక ఐడెంటిఫైయర్ మీరు ట్రాక్ ఉపయోగించవచ్చు

309
00:20:56,500 --> 00:21:00,440
అనేక అనువర్తనాల్లో.

310
00:21:00,440 --> 00:21:07,180
>> Android న నేను ఇక్కడ పరికర స్థానాన్ని పొందడానికి ఒక ఉదాహరణ ఉందా.

311
00:21:07,180 --> 00:21:10,310
మీరు, ఆ API కాల్ ఉంది ఉంటే ఆ అనువర్తనం ట్రాక్ చేస్తోంది చూడగలరు

312
00:21:10,310 --> 00:21:15,000
మరియు మీరు జరిమానా నగర లేదా ముతక నగర సంతరించుకోనుంది లేదో చూడగలరు.

313
00:21:15,000 --> 00:21:18,860
మరియు ఇక్కడ అడుగున, నేను బ్లాక్బెర్రీలో ఎలా ఒక ఉదాహరణ కలిగి

314
00:21:18,860 --> 00:21:25,130
ఒక అనువర్తనం మీ ఇన్బాక్స్లో ఇమెయిల్ను సందేశాలను ఉండవచ్చు.

315
00:21:25,130 --> 00:21:27,660
ఈ మీరు చూడటానికి తనిఖీ చేయవచ్చు విషయాలు రకం ఉన్నాయి

316
00:21:27,660 --> 00:21:32,360
అనువర్తనం ఆ పనులను ఉంటే.

317
00:21:32,360 --> 00:21:38,320
రెండవ పెద్ద హానికరమైన ప్రవర్తన వర్గం, మరియు ఈ ఇప్పుడు బహుశా అతిపెద్ద వర్గం,

318
00:21:38,320 --> 00:21:43,950
ఉంది అనధికార డయలింగ్, అనధికార ఉన్నత SMS టెక్స్ట్ సందేశాలను

319
00:21:43,950 --> 00:21:46,080
లేదా అనధికారిక చెల్లింపులు.

320
00:21:46,080 --> 00:21:48,930
ఫోన్ గురించి ఏకైక మరొక విషయం

321
00:21:48,930 --> 00:21:52,700
పరికరం ఒక బిల్లింగ్ ఖాతాకు కట్టిపడేశాయి ఉంది,

322
00:21:52,700 --> 00:21:55,960
మరియు కార్యకలాపాలు ఫోన్ లో జరిగే సమయంలో

323
00:21:55,960 --> 00:21:58,510
ఇది ఆరోపణలు సృష్టించవచ్చు.

324
00:21:58,510 --> 00:22:00,700
మీరు ఫోన్ విషయాలు కొనుగోలు చేయవచ్చు,

325
00:22:00,700 --> 00:22:04,390
మీరు ఒక ప్రీమియం SMS టెక్స్ట్ సందేశం పంపండి మరియు మీరు నిజంగా డబ్బు ఇవ్వడం చేస్తున్నారు

326
00:22:04,390 --> 00:22:11,590
ఇతర వైపు ఫోన్ నంబర్ యొక్క ఖాతాదారుకు.

327
00:22:11,590 --> 00:22:17,420
ఈ స్టాక్ కోట్లను పొందడానికి లేదా మీ రోజువారీ జాతకం లేదా ఇతర విషయాలు పొందడానికి స్థాపించబడినవి

328
00:22:17,420 --> 00:22:21,680
కానీ వారు ఒక SMS టెక్స్ట్ పంపడం ద్వారా ఒక ఉత్పత్తి ఆజ్ఞాపించాలని అమర్చవచ్చు.

329
00:22:21,680 --> 00:22:26,970
ప్రజలు ఒక వచన సందేశాన్ని రెడ్ క్రాస్ డబ్బు ఇవ్వడం.

330
00:22:26,970 --> 00:22:30,650
మీరు $ 10 ఆ విధంగా ఇస్తుంది.

331
00:22:30,650 --> 00:22:34,190
>> వారు చేసిన ఏ దాడి, వారు ఏర్పాటు ఉంది

332
00:22:34,190 --> 00:22:38,750
విదేశీ దేశాలలో ఖాతాల, మరియు వారు మాల్వేర్ పొందుపరచడానికి

333
00:22:38,750 --> 00:22:42,840
ఫోన్ ఒక ప్రీమియం SMS టెక్స్ట్ సందేశం పంపుతుంది,

334
00:22:42,840 --> 00:22:47,700
కొన్ని సార్లు ఒక రోజు, మరియు మీరు ఖర్చు చేసిన మీరు గ్రహించడం నెల చివరిలో, చెప్పటానికి

335
00:22:47,700 --> 00:22:52,090
పదుల లేదా ఉండవచ్చు డాలర్ల కూడా వందల, మరియు వారు డబ్బు దూరంగా నడిచి.

336
00:22:52,090 --> 00:22:57,280
ఈ మొదటి విషయం ఉంది కాబట్టి చెడు వచ్చింది Android

337
00:22:57,280 --> 00:23:00,760
మార్కెట్ లేదా Google స్థానంలో అది, సమయంలో Android Marketplace ఉంది

338
00:23:00,760 --> 00:23:04,430
మరియు Google ప్లే-Google కోసం తనిఖీ ప్రారంభించారు మొదటి విషయం ఇప్పుడు.

339
00:23:04,430 --> 00:23:08,700
Google వారి అనువర్తనం స్టోర్ లో Android Apps పంపిణీ మొదలు

340
00:23:08,700 --> 00:23:11,350
వారు ఏదైనా తనిఖీ ఉండదని తెలిపారు.

341
00:23:11,350 --> 00:23:15,630
మేము వారు మా సేవా నిబంధనలను విభజించవచ్చు చేసిన తెలుపబడెను చేసిన తర్వాత అనువర్తనాలు తీసి చేస్తాము,

342
00:23:15,630 --> 00:23:17,520
కానీ మేము ఏదైనా తనిఖీ వెళ్ళి లేదు.

343
00:23:17,520 --> 00:23:24,350
బాగా, గురించి ఒక సంవత్సరం క్రితం ఈ చేసుకోండి SMS టెక్స్ట్ సందేశం మాల్వేర్ దిగజారింది

344
00:23:24,350 --> 00:23:28,030
ఈ వారు కోసం తనిఖీ ప్రారంభించారు మొదటి విషయం అని.

345
00:23:28,030 --> 00:23:31,770
ఒక అనువర్తనం SMS టెక్స్ట్ సందేశాలను పంపే ఉంటే

346
00:23:31,770 --> 00:23:34,750
వారు మరింత మానవీయంగా అప్లికేషన్ పరీక్షించబడతారు.

347
00:23:34,750 --> 00:23:38,770
వారు ఈ కాల్ API లు కోసం చూడండి,

348
00:23:38,770 --> 00:23:40,580
మరియు ఇప్పుడు అప్పటి నుండి Google విస్తరించింది,

349
00:23:40,580 --> 00:23:46,900
కానీ వారు కోసం ప్రారంభించిన మొదటి విషయం.

350
00:23:46,900 --> 00:23:50,690
>> కొన్ని SMS టెక్స్ట్ సందేశాలను అని కొన్ని ఇతర అనువర్తనాలు,

351
00:23:50,690 --> 00:23:56,980
ఈ Android Qicsomos, నేను అని అంచనా.

352
00:23:56,980 --> 00:24:02,670
ఈ CarrierIQ బయటకు వచ్చిన మొబైల్ లో ఈ ప్రస్తుత ఈవెంట్ ఉంది

353
00:24:02,670 --> 00:24:07,720
వంటి స్పైవేర్, వాహకాలు ద్వారా పరికరం మీద పెట్టి

354
00:24:07,720 --> 00:24:10,820
కాబట్టి ప్రజలు, వారి ఫోన్ ఈ అవకాశం నాకు ఉంటే తెలుసుకోవాలనుకున్నాడు

355
00:24:10,820 --> 00:24:13,890
మరియు ఈ అని పరీక్షలు ఒక ఉచిత అప్లికేషన్ ఉంది.

356
00:24:13,890 --> 00:24:17,520
బాగా, వాస్తవానికి, ఈ అనువర్తనం చేశాడు, ఇది ఉన్నత SMS టెక్స్ట్ సందేశాలను పంపారు ఉంది

357
00:24:17,520 --> 00:24:20,090
కాబట్టి మీరు స్పైవేర్ చేస్తున్నారు లేదో పరీక్ష ద్వారా

358
00:24:20,090 --> 00:24:24,930
మీరు మీ పరికరంలో మాల్వేర్ లోడ్.

359
00:24:24,930 --> 00:24:27,310
మేము ఇదే గత సూపర్ బౌల్ వద్ద జరిగే చూసింది.

360
00:24:27,310 --> 00:24:33,180
మాడెన్ ఫుట్బాల్ ఆట ఒక బూటకపు వెర్షన్ ఉంది

361
00:24:33,180 --> 00:24:38,320
ప్రీమియం SMS టెక్స్ట్ సందేశాలను పంపారు.

362
00:24:38,320 --> 00:24:45,750
ఇది నిజానికి పరికరంలో చాలా ఒక బాట్ నెట్వర్క్ సృష్టించడానికి ప్రయత్నించారు.

363
00:24:45,750 --> 00:24:48,090
ఇక్కడ నేను కొన్ని ఉదాహరణలు ఉన్నాయి.

364
00:24:48,090 --> 00:24:52,640
తగినంత ఆసక్తి, ఆపిల్, అందంగా స్మార్ట్ ఉంది

365
00:24:52,640 --> 00:24:58,470
వారు అనువర్తనాలను అన్ని వద్ద SMS టెక్స్ట్ సందేశాలను పంపడానికి అనుమతించము.

366
00:24:58,470 --> 00:25:00,350
ఏ అనువర్తన దీన్ని చెయ్యవచ్చు.

367
00:25:00,350 --> 00:25:03,530
బలహీనతని మొత్తం తరగతి తొలగిస్తున్నాము ఒక గొప్ప మార్గం,

368
00:25:03,530 --> 00:25:09,040
కానీ Android న మీరు దీన్ని చెయ్యవచ్చు, మరియు కోర్సు యొక్క, బ్లాక్బెర్రీ మీరు చాలా చేయవచ్చు.

369
00:25:09,040 --> 00:25:13,060
ఇది బ్లాక్బెర్రీలో మీరు ఇంటర్నెట్ అనుమతులు అని ఆసక్తికరమైన అనిపిస్తుంది

370
00:25:13,060 --> 00:25:18,370
ఒక SMS టెక్స్ట్ సందేశం పంపడానికి.

371
00:25:18,370 --> 00:25:21,580
>> మేము కోసం చూడండి నిజంగా ఇతర విషయం

372
00:25:21,580 --> 00:25:24,780
ఏదో హానికరమైన ఉంటే చూడటానికి చూస్తు ఏ రకమైన ఉంది

373
00:25:24,780 --> 00:25:28,100
అనధికార కార్యక్రమాలు, వంటి కార్యక్రమాలు చూడండి

374
00:25:28,100 --> 00:25:31,570
అనువర్తనం దాని కార్యాచరణ కలిగి కోరుకుంటున్నాము,

375
00:25:31,570 --> 00:25:35,380
మరియు ఈ ఇతర కార్యక్రమాలు చూడండి.

376
00:25:35,380 --> 00:25:43,380
బహుశా పని అనువర్తనం, HTTP డేటాను పొందడానికి ఉంది,

377
00:25:43,380 --> 00:25:47,500
కానీ ఇమెయిల్ లేదా SMS లేదా Bluetooth లేదా అలాంటిదే పనులు ఉంటే

378
00:25:47,500 --> 00:25:52,890
ఇప్పుడు ఆ అనువర్తనం సమర్థవంతంగా హానికరమైన కావచ్చు, ఈ మీరు కోసం తనిఖీ మరొక విషయం.

379
00:25:52,890 --> 00:26:00,430
మరియు ఇక్కడ ఈ స్లయిడ్ పై నేను కొన్ని ఉదాహరణలు ఉన్నాయి.

380
00:26:00,430 --> 00:26:05,950
మేము మాల్వేర్ చూసింది మరో ఆసక్తికరమైన విషయం 2009 లో తిరిగి జరిగిన

381
00:26:05,950 --> 00:26:07,600
మరియు అది ఒక పెద్ద విధంగా జరిగింది.

382
00:26:07,600 --> 00:26:11,390
అప్పటినుండి అది చాలా జరిగిందని ఉంటే నాకు తెలీదు, కానీ ఒక అనువర్తనం ఉంది

383
00:26:11,390 --> 00:26:15,140
మరో అప్లికేషన్ ప్రతిరూపంగా.

384
00:26:15,140 --> 00:26:21,700
, ఉన్నాయి apps సమితి, ఇది 09Droid దాడి గా

385
00:26:21,700 --> 00:26:29,770
మరియు ఎవరైనా చిన్న, ప్రాంతీయ, మధ్యతరహా బ్యాంకులు చాలా ఉన్నాయి నిర్ణయించుకుంది

386
00:26:29,770 --> 00:26:32,260
ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్లు లేదు,

387
00:26:32,260 --> 00:26:36,870
కాబట్టి వాళ్ళు ఏమి వారు 50 ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్లు నిర్మించిన

388
00:26:36,870 --> 00:26:39,410
వాళ్లు అన్ని యూజర్ పేరు మరియు పాస్వర్డ్ పడుతుంది అని

389
00:26:39,410 --> 00:26:42,190
మరియు వెబ్సైట్ మళ్లించేవరకు.

390
00:26:42,190 --> 00:26:47,470
కాబట్టి వారు Google Marketplace లో ఈ అన్ని జారీ,

391
00:26:47,470 --> 00:26:51,530
Android Marketplace లో మరియు ఎవరైనా శోధించినప్పుడు చూడడానికి వారి బ్యాంకు

392
00:26:51,530 --> 00:26:56,000
, వారు బోగస్ అప్లికేషన్ కనుగొంటుంది ఒక అప్లికేషన్ కలిగి

393
00:26:56,000 --> 00:27:01,230
వారి ఆధారాలను సేకరించి తరువాత వారి వెబ్సైట్లో వాటిని మళ్ళించబడింది ఇది.

394
00:27:01,230 --> 00:27:06,640
ఈ నిజానికి ఆ విధంగా మారింది అనువర్తనాలు, కొన్ని వారాలు ఉన్నాయి

395
00:27:06,640 --> 00:27:09,050
మరియు డౌన్ వేలాదిమంది ఉన్నాయి.

396
00:27:09,050 --> 00:27:12,910
>> ఈ వెలుగులోకి వచ్చింది మార్గం ఎవరైనా సమస్య కలిగి ఉంది

397
00:27:12,910 --> 00:27:15,740
అనువర్తనాల్లో ఒకటి, మరియు వారు వారి బ్యాంకు అని, తో

398
00:27:15,740 --> 00:27:18,390
మరియు వారు వారి బ్యాంకు యొక్క కస్టమర్ మద్దతు లైన్ పిలిచి,

399
00:27:18,390 --> 00:27:21,180
"నేను మీ మొబైల్ బ్యాంకింగ్ అప్లికేషన్ తో ఒక సమస్య వెబ్."

400
00:27:21,180 --> 00:27:23,460
"మీరు నాకు సహాయం చేయవచ్చు?"

401
00:27:23,460 --> 00:27:26,540
మరియు వారు "మేము ఒక మొబైల్ బ్యాంకింగ్ అప్లికేషన్ లేదు.", అన్నారు

402
00:27:26,540 --> 00:27:28,120
ఆ విచారణను ప్రారంభించింది.

403
00:27:28,120 --> 00:27:31,200
, బ్యాంక్ Google అని పిలుస్తారు మరియు Google కొనేమనిషి

404
00:27:31,200 --> 00:27:37,220
"వావ్, అదే రచయిత, 50 బ్యాంకు అప్లికేషన్లు వ్రాశారు" మరియు వాటిని అన్ని డౌన్ పట్టింది.

405
00:27:37,220 --> 00:27:43,410
కానీ ఖచ్చితంగా మళ్ళీ జరిగి.

406
00:27:43,410 --> 00:27:51,790
అన్ని వివిధ బ్యాంకుల జాబితా ఇక్కడ ఉంది

407
00:27:51,790 --> 00:27:55,870
ఈ స్కామ్ భాగంగా ఉన్నాయి.

408
00:27:55,870 --> 00:28:02,050
ఒక అనువర్తనం ఏమి ఇతర విషయం మరొక అప్లికేషన్ యొక్క UI ఉంది.

409
00:28:02,050 --> 00:28:06,430
అది నడుస్తున్న లో ఉన్నప్పుడు ఇది Facebook UI అప్ పాప్.

410
00:28:06,430 --> 00:28:09,540
మీరు కొనసాగించడానికి మీ యూజర్ పేరు మరియు పాస్వర్డ్ ఉంటుంది చెప్పారు

411
00:28:09,540 --> 00:28:15,090
లేదా ఒక వెబ్సైట్ కోసం ఏ యూజర్ పేరు మరియు పాస్వర్డ్ UI జారీ

412
00:28:15,090 --> 00:28:18,420
బహుశా వినియోగదారు యూజర్ మోసపూరిత ప్రయత్నించండి కేవలం ఉపయోగించే

413
00:28:18,420 --> 00:28:21,340
సైన్ వారి ఆధారాలను ఉంచడం

414
00:28:21,340 --> 00:28:25,590
ఈ నిజంగా ఇమెయిల్ ఫిషింగ్ దాడులు నేరుగా, సమాంతరంగా ఉంది

415
00:28:25,590 --> 00:28:28,210
ఎవరైనా మీరు ఒక ఇమెయిల్ సందేశాన్ని పంపుతుంది ఇక్కడ

416
00:28:28,210 --> 00:28:33,050
మరియు మీరు ఒక వెబ్ సైట్ కోసం ప్రాథమికంగా ఒక నకిలీ UI ఇస్తుంది

417
00:28:33,050 --> 00:28:37,320
మీరు ప్రాప్తి ఆ.

418
00:28:37,320 --> 00:28:41,590
>> మేము హానికరమైన కోడ్ లో చూడండి ఇతర విషయం వ్యవస్థ మార్పు.

419
00:28:41,590 --> 00:28:48,160
మీరు రూట్ హక్కు అవసరమయ్యే అన్ని API కాల్స్ కోసం చూడవచ్చు

420
00:28:48,160 --> 00:28:50,870
సరిగ్గా అమలు.

421
00:28:50,870 --> 00:28:56,160
పరికరం యొక్క వెబ్ ప్రాక్సీ మార్చడం ఒక అనువర్తనం ఏదో ఉంటుంది

422
00:28:56,160 --> 00:28:59,530
చేస్తామని ఉండకూడదు.

423
00:28:59,530 --> 00:29:03,030
కానీ అప్లికేషన్ అలా అక్కడ కోడ్ కలిగి ఉంటే

424
00:29:03,030 --> 00:29:05,960
మీరు బహుశా ఒక హానికరమైన అనువర్తనం తెలుసు

425
00:29:05,960 --> 00:29:09,620
లేదా బాగా ఒక హానికరమైన అనువర్తనం అవకాశం,

426
00:29:09,620 --> 00:29:13,910
అందువలన జరుగుతుంది అనువర్తనం హక్కు పెంపొందించడం విధంగా ఉన్నాయి అని ఉంది.

427
00:29:13,910 --> 00:29:17,200
ఇది కొన్ని అధికార వృద్ధిని దోపిడీ వుంటుంది

428
00:29:17,200 --> 00:29:20,730
ఇది అధికారాలను తీసినది అప్లికేషన్ లో, మరియు తరువాత ఒకసారి

429
00:29:20,730 --> 00:29:23,800
ఈ వ్యవస్థ మార్పులు చేయరు.

430
00:29:23,800 --> 00:29:28,010
మీరు అధికార వృద్ధిని కలిగి మాల్వేర్ వెదుక్కోవచ్చు

431
00:29:28,010 --> 00:29:32,550
అది కూడా ఎలా అధికార వృద్ధిని తెలియకుండా

432
00:29:32,550 --> 00:29:37,960
దోపిడీ జరిగే, మరియు ఒక nice, సులభమైన మార్గం

433
00:29:37,960 --> 00:29:41,220
మాల్వేర్ కోసం చూడండి.

434
00:29:41,220 --> 00:29:46,030
DroidDream బహుశా Android మాల్వేర్ అత్యంత ప్రసిద్ధ భాగం.

435
00:29:46,030 --> 00:29:50,530
నేను కొన్ని రోజుల పాటు 2,50,000 వినియోగదారులు ప్రభావితం అనుకుంటున్నాను

436
00:29:50,530 --> 00:29:52,810
ఇది కనుగొనబడింది ముందు.

437
00:29:52,810 --> 00:29:56,890
వారు 50 బోగస్ అప్లికేషన్లు తిరిగి ప్యాకింగ్,

438
00:29:56,890 --> 00:30:00,370
Android అనువర్తనం స్టోర్ వాటిని చాలు,

439
00:30:00,370 --> 00:30:10,940
మరియు ముఖ్యంగా అధికారాలను దిగారు Android jailbreak కోడ్ ఉపయోగిస్తారు

440
00:30:10,940 --> 00:30:16,380
ఆపై ఒక కమాండ్ ఇన్స్టాల్ మరియు అన్ని బాధితులను నియంత్రించడానికి శాంసన్

441
00:30:16,380 --> 00:30:20,690
ఒక బాట్ నికర, కానీ మీరు ఈ కనుగొన్నాము కాలేదు

442
00:30:20,690 --> 00:30:24,170
మీరు అప్లికేషన్ స్కానింగ్ మరియు కేవలం వెతుకుతున్న ఉంటే

443
00:30:24,170 --> 00:30:32,230
API అవసరం రూట్ అనుమతి సరిగ్గా అమలు అని పిలుస్తుంది.

444
00:30:32,230 --> 00:30:40,150
>> నేను ప్రాక్సీ మారుతున్న ఇది కలిగి ఇక్కడ ఒక ఉదాహరణ ఉంది,

445
00:30:40,150 --> 00:30:46,380
మరియు ఈ నిజంగా Android లో మాత్రమే అందుబాటులో ఉంది.

446
00:30:46,380 --> 00:30:49,070
మీరు నేను మీరు Android న ఉదాహరణలు చాలా ఇవ్వడం వెబ్ చూడగలరు

447
00:30:49,070 --> 00:30:53,990
అత్యంత చురుకైన మాల్వేర్ ఎకోసిస్టమ్ వుంటాయి

448
00:30:53,990 --> 00:30:58,690
హానికరమైన కోడ్ ను దాడి కోసం నిజంగా సులభం ఎందుకంటే

449
00:30:58,690 --> 00:31:01,470
Android Marketplace లోకి.

450
00:31:01,470 --> 00:31:06,480
అది Apple App స్టోర్ లో అలా చాలా సులభం కాదు

451
00:31:06,480 --> 00:31:10,250
ఆపిల్ తమను తాము డెవలపర్లు అవసరం ఎందుకంటే

452
00:31:10,250 --> 00:31:12,790
మరియు కోడ్ సైన్.

453
00:31:12,790 --> 00:31:20,340
వారు నిజానికి మీరు ఎవరు తనిఖీ, మరియు ఆపిల్ నిజానికి అప్లికేషన్లు scrutinizing ఉంది.

454
00:31:20,340 --> 00:31:27,450
మేము పరికర రాజీ పడకుండా రాష్ట్రం నిజమైన మాల్వేర్ చాలా చూడలేదు.

455
00:31:27,450 --> 00:31:32,250
నేను, అది నిజంగా రాజీ సంతరించుకోనుంది గోప్యతా వార్తలు కొన్ని ఉదాహరణలు గురించి చర్చ ఉంటుంది

456
00:31:32,250 --> 00:31:38,460
మరియు ఆ నిజంగా ఆపిల్ పరికరంలో ఏం ఉంది.

457
00:31:38,460 --> 00:31:44,090
హానికరమైన కోడ్ కు ఇంకొక విషయం, పరికరాల్లో ప్రమాదకర కోడ్

458
00:31:44,090 --> 00:31:50,300
తర్కం లేదా సమయం బాంబులు, మరియు సమయం బాంబులు బహుశా

459
00:31:50,300 --> 00:31:53,370
సులభంగా తర్కం బాంబులు కంటే కోసం చూడండి.

460
00:31:53,370 --> 00:31:57,030
కానీ సమయం బాంబులు తో, మీరు చెయ్యగలరు మీరు కోసం చూడవచ్చు ఉంది

461
00:31:57,030 --> 00:32:04,760
సమయం పరీక్ష కోడ్ లేదా ఒక సంపూర్ణ సమయం స్థలాల కోసం చూసారు

462
00:32:04,760 --> 00:32:08,190
అనువర్తనంలో నిర్దిష్ట కార్యాచరణ జరుగుతుంది ముందు.

463
00:32:08,190 --> 00:32:14,200
మరియు ఈ, యూజర్ నుండి కార్యాచరణని దాచడానికి చేయవచ్చు

464
00:32:14,200 --> 00:32:17,510
కాబట్టి ఇది అర్థరాత్రి జరుగుతున్నది.

465
00:32:17,510 --> 00:32:24,350
DroidDream 11 PM మరియు 8 AM స్థానిక సమయం మధ్య అన్ని దాని సూచించే చేసింది

466
00:32:24,350 --> 00:32:30,650
యూజర్ వారి పరికరం ఉపయోగించి కాకపోవచ్చు సమయంలో దీన్ని ప్రయత్నించండి.

467
00:32:30,650 --> 00:32:38,680
ప్రజలు అనువర్తన ప్రవర్తనా విశ్లేషణ ఉపయోగించి ఉంటే >> దీన్ని మరో కారణం,

468
00:32:38,680 --> 00:32:43,430
, అనువర్తనం యొక్క ప్రవర్తనను చూడటానికి ఒక sandbox లో అనువర్తనం అమలు

469
00:32:43,430 --> 00:32:51,090
వారు సూచించే చేయడానికి సమయం ఆధారిత తర్కం ఉపయోగించవచ్చు

470
00:32:51,090 --> 00:32:54,640
అనువర్తనం sandbox లో లేనప్పుడు.

471
00:32:54,640 --> 00:33:01,520
ఆపిల్ వంటి ఉదాహరణకు, అనువర్తనం స్టోర్

472
00:33:01,520 --> 00:33:07,940
అప్లికేషన్ నడుస్తుంది, కానీ వారు బహుశా, సే, 30 రోజులు ప్రతి అప్లికేషన్ రన్ లేదు

473
00:33:07,940 --> 00:33:10,550
ఇది ఆమోదించే పూర్వం, కాబట్టి మీరు ఉంచవచ్చు

474
00:33:10,550 --> 00:33:14,120
సరే, మాత్రమే చెడు పనిని, అని మీ అప్లికేషన్ లో తర్కం

475
00:33:14,120 --> 00:33:20,490
30 రోజులు, అప్లికేషన్ ప్రచురణ తేదీ తర్వాత 30 రోజుల ద్వారా లేదా తర్వాత పోయింది తర్వాత

476
00:33:20,490 --> 00:33:27,020
మరియు ఇది పరిశీలించేందుకు ప్రజలు నుండి హానికరమైన కోడ్ దాచు సహాయపడుతుంది.

477
00:33:27,020 --> 00:33:30,050
వ్యతిరేక వైరస్ కంపెనీలు sandboxes లో విషయాలు నడుస్తున్న ఉంటే

478
00:33:30,050 --> 00:33:36,370
లేదా అప్లికేషన్ స్టోర్లు తమను ఈ సహాయపడుతుంది ఉంటాయి

479
00:33:36,370 --> 00:33:39,260
ఆ తనిఖీ నుండి ఆ దాచడానికి.

480
00:33:39,260 --> 00:33:43,020
ఇప్పుడు, ఆ యొక్క ఫ్లిప్ సైడ్, తిన్నని విశ్లేషణ కనుగొనేందుకు సులభం ఉంది

481
00:33:43,020 --> 00:33:46,170
కాబట్టి నిజానికి మీరు అన్ని ప్రదేశాలలో కోసం చూడండి కోడ్ పరిశీలించేందుకు

482
00:33:46,170 --> 00:33:54,010
అప్లికేషన్ సమయం పరీక్షలు మరియు ఆ విధంగా తనిఖీ పేరు.

483
00:33:54,010 --> 00:33:58,850
మరియు ఇక్కడ నేను ఈ 3 వివిధ వేదికలపై కొన్ని ఉదాహరణలు ఉన్నాయి

484
00:33:58,850 --> 00:34:05,640
సమయం అనువర్తనం maker ద్వారా తనిఖీ ఎలా

485
00:34:05,640 --> 00:34:10,520
కాబట్టి మీరు గణాంకపరంగా అనువర్తనం పరిశీలించేందుకు చేస్తుంటే కోసం చూడండి ఏమి.

486
00:34:10,520 --> 00:34:14,570
>> నేను వివిధ హానికరమైన కార్యకలాపాలు యొక్క మొత్తం బంచ్ సాగింది

487
00:34:14,570 --> 00:34:18,969
మనం అటవీ చూసిన, కానీ ఏవో చాలా ప్రబలంగా?

488
00:34:18,969 --> 00:34:23,940
నార్త్ కరోలినా స్టేట్ మొబైల్ జీనోమ్ ప్రాజెక్టు నుండి అదే అధ్యయనం

489
00:34:23,940 --> 00:34:28,560
కొన్ని డేటా ప్రచురించారు మరియు 4 ప్రాంతాల్లో ప్రాథమికంగా ఉన్నాయి

490
00:34:28,560 --> 00:34:32,850
సూచించే చాలా అక్కడ వారు చూసిన.

491
00:34:32,850 --> 00:34:35,370
అనువర్తనాలు 37%, అధికార వృద్ధిని చేశాడు

492
00:34:35,370 --> 00:34:38,429
కాబట్టి వారు అక్కడ jailbreak కోడ్ కొన్ని రకం కలిగి

493
00:34:38,429 --> 00:34:42,070
వారు అధికారాలను దిగారు ప్రయత్నించారు పేరు భావించారు కాబట్టి

494
00:34:42,070 --> 00:34:48,360
API ఆదేశాలను ఆపరేటింగ్ సిస్టమ్ వంటి పరుగు.

495
00:34:48,360 --> 00:34:52,520
అనువర్తనాల 45% అక్కడ, ఉన్నత SMS చేశాడు

496
00:34:52,520 --> 00:34:57,260
కాబట్టి నేరుగా మోనటైజ్ ప్రయత్నిస్తున్నారు ఆ భారీ శాతం ఉంది.

497
00:34:57,260 --> 00:35:02,640
93% రిమోట్ కంట్రోల్, అందువలన వారు ఒక బాట్ నికర, ఒక మొబైల్ బోట్ నికర ఏర్పాటు ప్రయత్నించారు.

498
00:35:02,640 --> 00:35:08,990
మరియు 45% సమాచారాన్ని గానీ

499
00:35:08,990 --> 00:35:16,230
ఫోన్ నంబర్లు, UUID లను, GPS నగర, యూజర్ ఖాతాల, వంటి

500
00:35:16,230 --> 00:35:22,870
చాలా మాల్వేర్ ఈ విషయాలు కొన్ని చేయడానికి ప్రయత్నించారు ఎందుకంటే ఈ కంటే ఎక్కువ 100 వరకు జతచేస్తుంది.

501
00:35:22,870 --> 00:35:27,070
>> నేను రెండవ సగం మారడం మరియు కోడ్ ప్రమాదాలను గురించి చర్చ వెళుతున్న.

502
00:35:27,070 --> 00:35:29,480
ఈ ప్రమాదకర సూచించే రెండవ సగం ఉంటుంది.

503
00:35:29,480 --> 00:35:33,450
డెవలపర్ లోపాలు మేకింగ్ రాష్ట్రం ముఖ్యంగా ఈ.

504
00:35:33,450 --> 00:35:37,210
న్యాయమైన అనువర్తనం రచన చట్టబద్ధమైన డెవలపర్

505
00:35:37,210 --> 00:35:41,830
లోపాలు మేకింగ్ లేదా మొబైల్ వేదిక నష్టాలను తెలివితక్కువగా.

506
00:35:41,830 --> 00:35:44,780
వారు కేవలం సురక్షిత మొబైల్ అనువర్తనం చేయడానికి ఎలా తెలియదు,

507
00:35:44,780 --> 00:35:47,700
లేదా కొన్నిసార్లు డెవలపర్ ప్రమాదం యూజర్ ఉంచడం గురించి పట్టించుకోరు.

508
00:35:47,700 --> 00:35:50,850
కొన్నిసార్లు వారి వ్యాపార నమూనా భాగంగా ఉండవచ్చు

509
00:35:50,850 --> 00:35:54,610
వినియోగదారు యొక్క వ్యక్తిగత సమాచారాన్ని సాగు.

510
00:35:54,610 --> 00:35:58,090
ఇతర వర్గం యొక్క విధమైన ఉంది, మరియు ఆ ఎందుకు ఈ హానికరమైన కొన్ని

511
00:35:58,090 --> 00:36:03,200
అభిప్రాయాలకు తేడా ఉంది ఎందుకంటే చట్టబద్ధమైన మొదలవుతుంది వర్సెస్ పైగా రక్తసిక్తం

512
00:36:03,200 --> 00:36:10,440
యూజర్ ఏ కావాలని యూజర్ ఏ ప్రమాదకర భావించింది మధ్య

513
00:36:10,440 --> 00:36:13,050
మరియు అప్లికేషన్ డెవలపర్ ప్రమాదకర భావించింది.

514
00:36:13,050 --> 00:36:18,380
అయితే, చాలా సందర్భాలలో అప్లికేషన్ డెవలపర్ యొక్క డేటా కాదు.

515
00:36:18,380 --> 00:36:22,030
>> మరియు తర్వాత చివరకు, ఈ జరుగుతుంది మరొక మార్గం ఒక డెవలపర్ లో లింక్ ఉండవచ్చు ఉంది

516
00:36:22,030 --> 00:36:28,600
ఇది దుర్బలత్వం లేదా ఈ ప్రమాదకర ప్రవర్తన కలిగి దగ్గరగా

517
00:36:28,600 --> 00:36:32,480
వారికి తెలియకుండా.

518
00:36:32,480 --> 00:36:37,060
మొదటి వర్గం సున్నితమైన డేటా లీకేజ్ ఉంది,

519
00:36:37,060 --> 00:36:40,030
అనువర్తనం సమాచారం సేకరిస్తుంది మరియు ఈ ఉంది

520
00:36:40,030 --> 00:36:44,980
నగర, చిరునామా పుస్తకం సమాచారం, యజమాని వంటి

521
00:36:44,980 --> 00:36:48,000
మరియు పరికరం ఆఫ్ అని పంపుతుంది.

522
00:36:48,000 --> 00:36:53,050
మరియు అది పరికరం ఆఫ్ అయినప్పుడు, మేము ఆ సమాచారాన్ని తో ఏం తెలియదు.

523
00:36:53,050 --> 00:36:57,170
ఇది అప్లికేషన్ డెవలపర్ ద్వారా insecurely నిల్వ చేయాలి.

524
00:36:57,170 --> 00:37:02,070
మేము అప్లికేషన్ డెవలపర్లు కాంప్రమైజ్ చూసిన,

525
00:37:02,070 --> 00:37:05,820
మరియు వారు నిల్వ చేస్తున్న డేటా పొందే.

526
00:37:05,820 --> 00:37:10,970
ఈ ఫ్లోరిడా లో డౌన్ ఒక డెవలపర్కు కొన్ని నెలల క్రితం జరిగింది

527
00:37:10,970 --> 00:37:21,660
ఆఫ్ ఇది ఒక భారీ సంఖ్యలో ఐప్యాడ్ UUID లను మరియు పరికర నామములను అక్కడ

528
00:37:21,660 --> 00:37:25,270
ఎవరైనా, నేను అనామక భావిస్తున్నాను ఎందుకంటే, గుప్పుమన్నాయి

529
00:37:25,270 --> 00:37:29,460
దీన్ని పేర్కొన్నారు, ఈ డెవలపర్ యొక్క సర్వర్లు ప్రవేశించింది

530
00:37:29,460 --> 00:37:34,920
మరియు ఐప్యాడ్ UUID లను మిలియన్ల దొంగిలించారు

531
00:37:34,920 --> 00:37:37,390
మరియు కంప్యూటర్ పేర్లు.

532
00:37:37,390 --> 00:37:40,260
అత్యంత ప్రమాదకర సమాచారం,

533
00:37:40,260 --> 00:37:46,820
కానీ ఆ ఉంటే యూజర్ పేర్లు మరియు పాస్వర్డ్లను నిల్వ ఉంది

534
00:37:46,820 --> 00:37:48,170
మరియు ఇంటి చిరునామాలు?

535
00:37:48,170 --> 00:37:51,100
మానసికంగా నిల్వ అనువర్తనాలను ఎన్నో ఉన్నాయి.

536
00:37:51,100 --> 00:37:53,230
ప్రమాదం ఉంది.

537
00:37:53,230 --> 00:37:56,620
డెవలపర్ సంరక్షణ తీసుకోనప్పుడు >> జరుగుతుంది ఇతర విషయం

538
00:37:56,620 --> 00:38:01,370
డేటా ఛానల్ సురక్షిత, మరియు నేను గురించి చర్చ వెళుతున్న మరొక పెద్ద దాడిని వార్తలు,

539
00:38:01,370 --> 00:38:05,160
డేటా స్పష్టమైన లో పంపబడింది.

540
00:38:05,160 --> 00:38:09,040
వినియోగదారుకు పబ్లిక్ Wi-Fi నెట్వర్క్లో ఉంటే

541
00:38:09,040 --> 00:38:12,330
లేదా ఎవరైనా ఎక్కడో ఇంటర్నెట్ sniffing ఉంది

542
00:38:12,330 --> 00:38:19,260
మార్గం వెంట ఆ డేటాను లోనయ్యే ఉంది.

543
00:38:19,260 --> 00:38:23,790
ఈ సమాచారం లీకేజ్ ఒకటి చాలా ప్రసిద్ధ కేసు పండోర తో జరిగింది,

544
00:38:23,790 --> 00:38:27,250
మరియు ఈ మేము Veracode వద్ద పరిశోధన విషయం.

545
00:38:27,250 --> 00:38:33,200
మేము ఒక-నేను ఒక ఫెడరల్ ట్రేడ్ కమిషన్ భావించాను ఉందని విని

546
00:38:33,200 --> 00:38:35,310
పండోర తో జరగబోతోంది విచారణ.

547
00:38:35,310 --> 00:38:39,830
మేము "అక్కడ జరగబోతోంది? యొక్క పండోర అప్లికేషన్ లోకి త్రవ్వడం మొదలు లెట్.", అన్నారు

548
00:38:39,830 --> 00:38:46,690
మరియు మేము గుర్తిస్తారు సేకరించిన పండోర అనువర్తనం

549
00:38:46,690 --> 00:38:51,270
మీ లింగ మరియు మీ వయసు,

550
00:38:51,270 --> 00:38:56,660
మరియు అది కూడా మీ GPS నగర మరియు పండోర అప్లికేషన్ ఆక్సెస్

551
00:38:56,660 --> 00:39:00,200
వారు చట్టబద్దమైన కారణాల అని దానికి చేసింది.

552
00:39:00,200 --> 00:39:05,360
వారు ప్లే-పండోర చేసిన సంగీతం ఒక మ్యూజిక్ స్ట్రీమింగ్ అప్లికేషన్-ఉంది

553
00:39:05,360 --> 00:39:07,530
వారు ఆడారు సంగీతం యునైటెడ్ స్టేట్స్ లో లైసెన్స్,

554
00:39:07,530 --> 00:39:13,020
కాబట్టి అవి ఉందని వారి లైసెన్స్ ఒప్పందాలు లోబడి తనిఖీ వచ్చింది

555
00:39:13,020 --> 00:39:17,240
యూజర్ యునైటెడ్ స్టేట్స్ లో అని సంగీతం కోసం.

556
00:39:17,240 --> 00:39:25,070
వారు కూడా తల్లిదండ్రుల సలహా లోబడి కోరుకున్నారు

557
00:39:25,070 --> 00:39:33,790
సంగీతం చుట్టూ వయోజన భాష,

558
00:39:33,790 --> 00:39:37,500
మరియు కనుక ఇది ఒక స్వచ్ఛంద కార్యక్రమం, కానీ వారు లోబడి కోరుకున్నారు

559
00:39:37,500 --> 00:39:43,010
మరియు పిల్లలు 13 మరియు కి స్పష్టమైన సాహిత్యం ప్లే కాదు.

560
00:39:43,010 --> 00:39:46,280
>> వారు ఈ డేటాను సేకరించడం కోసం చట్టబద్ధమైన కారణాల.

561
00:39:46,280 --> 00:39:49,160
వారి అనువర్తనం దీన్ని అనుమతులు కలిగి.

562
00:39:49,160 --> 00:39:52,000
వినియోగదారులు ఈ చట్టబద్ధమైన భావించారు. కానీ ఏమి జరిగింది?

563
00:39:52,000 --> 00:39:55,810
వారు 3 లేదా 4 వివిధ ప్రకటన గ్రంథాలయాల్లో లింక్.

564
00:39:55,810 --> 00:39:59,140
ఇప్పుడు అకస్మాత్తుగా ఈ ప్రకటన లైబ్రరీలను అన్ని

565
00:39:59,140 --> 00:40:02,970
ఈ అదే సమాచారాన్ని ప్రాప్తి పొందడానికి.

566
00:40:02,970 --> 00:40:05,830
ప్రకటన గ్రంథాలయాలు, మీరు ప్రకటనను గ్రంథాలయాల్లో కోడ్ చూస్తే

567
00:40:05,830 --> 00:40:08,430
వారు ఎటువంటి ప్రతి ప్రకటన లైబ్రరీ చెప్పారు ఉంది

568
00:40:08,430 --> 00:40:11,340
"నా అనువర్తనం GPS నగర పొందడానికి అనుమతి లేదు?"

569
00:40:11,340 --> 00:40:14,890
"ఓహ్, ఇది? సరే, నాకు GPS నగర మనకేమి."

570
00:40:14,890 --> 00:40:16,620
ప్రతి పాట ప్రకటన లైబ్రరీ ఆ చేస్తుంది,

571
00:40:16,620 --> 00:40:19,740
మరియు అనువర్తనం GPS అనుమతి లేదు ఉంటే

572
00:40:19,740 --> 00:40:23,460
అది పొందుటకు చేయలేరు, కానీ అది ఉంటే, అది పొందుతారు.

573
00:40:23,460 --> 00:40:26,240
ఈ ప్రకటన లైబ్రరీలను పేరు వ్యాపార నమూనా

574
00:40:26,240 --> 00:40:31,160
యూజర్ యొక్క గోప్యతా వ్యతిరేకించింది.

575
00:40:31,160 --> 00:40:34,980
మరియు మీరు వయస్సు తెలిస్తే చెబుతాను అక్కడ అధ్యయనాలు ఉన్నాయి

576
00:40:34,980 --> 00:40:38,430
ఒక వ్యక్తి యొక్క మరియు వారి నగర తెలుసు

577
00:40:38,430 --> 00:40:42,530
మీరు వారి GPS అక్షాంశాలు ఎందుకంటే వారు, రాత్రి నిద్ర పేరు

578
00:40:42,530 --> 00:40:46,030
వారు బహుశా నిద్ర అయితే, మీరు ఆ వ్యక్తి ఎవరు సరిగ్గా తెలుసు

579
00:40:46,030 --> 00:40:50,230
మీరు ఆ గృహ సభ్యుడు వ్యక్తి గుర్తించగలదు ఎందుకంటే.

580
00:40:50,230 --> 00:40:54,780
నిజంగా ఈ ప్రకటనకర్తలకు గుర్తించడం ఉంది

581
00:40:54,780 --> 00:40:59,530
ఖచ్చితంగా మీరు మరియు అది చట్టబద్ధమైన లాగా కనిపిస్తోంది.

582
00:40:59,530 --> 00:41:02,800
నేను నా స్ట్రీమింగ్ సంగీతం, మరియు ఇది పొందడానికి మాత్రమే మార్గం.

583
00:41:02,800 --> 00:41:05,370
>> సరే, మేము ఈ బహిర్గతం.

584
00:41:05,370 --> 00:41:08,030
మేము అనేక బ్లాగ్లో ఈ అప్ రాశారు,

585
00:41:08,030 --> 00:41:13,280
మరియు అది ముగిసిన అని రోలింగ్ స్టోన్ పత్రిక నుండి ఎవరైనా

586
00:41:13,280 --> 00:41:18,810
మా బ్లాగు పోస్ట్ ఒకటి చదివి దాని గురించి రోలింగ్ స్టోన్ వారి సొంత బ్లాగ్ రాశారు,

587
00:41:18,810 --> 00:41:22,120
మరియు చాలా తరువాత రోజు పండోర ఇది ఒక మంచి ఆలోచన భావించారు

588
00:41:22,120 --> 00:41:27,600
వారి అప్లికేషన్ నుండి ప్రకటన గ్రంధాలయాలు తొలగించడానికి.

589
00:41:27,600 --> 00:41:31,270
చాలా నేను తెలిసిన వారు మాత్రమే వారు ఆ ఉండాలి ఉన్నారు.

590
00:41:31,270 --> 00:41:35,770
నేను వారు ఈ చేశానని అనువర్తనం మాత్రమే ఫ్రీమియం రకం భావిస్తున్నాను.

591
00:41:35,770 --> 00:41:38,660
అన్ని ఇతర ఫ్రీమియం అనువర్తనాలు ఈ అదే ప్రవర్తన కలిగి,

592
00:41:38,660 --> 00:41:41,780
కాబట్టి మీరు ఇవ్వడం సిద్ధపడినా ఏ విధమైన గురించి ఆలోచించడానికి పొందారు

593
00:41:41,780 --> 00:41:48,330
ఇది ప్రకటనలు చేస్తాడు ఈ ఫ్రీమియం అప్లికేషన్లు ఎందుకంటే.

594
00:41:48,330 --> 00:41:53,390
Praetorian కూడా భాగస్వామ్యం లైబ్రరీలను గురించి ఒక అధ్యయనం చేశారు మరియు చెప్పారు,

595
00:41:53,390 --> 00:41:57,100
", లైబ్రరీల టాప్ షేర్డ్ లైబ్రరీలను ఉంటాయి షేర్డ్ చూద్దాం" మరియు ఈ డేటాను ఉంది.

596
00:41:57,100 --> 00:41:59,420
>> వారు 53,000 అనువర్తనాలు విశ్లేషించారు,

597
00:41:59,420 --> 00:42:01,900
మరియు సంఖ్య 1 షేర్డ్ లైబ్రరీ AdMob ఉంది.

598
00:42:01,900 --> 00:42:06,060
ఇది, అక్కడ అప్లికేషన్లు 38% నిజానికి ఉంది

599
00:42:06,060 --> 00:42:08,800
మీరు ఉపయోగించే అప్లికేషన్లు కాబట్టి 38%

600
00:42:08,800 --> 00:42:11,250
అవకాశం మీ వ్యక్తిగత సమాచారాన్ని సాగు చేస్తారు

601
00:42:11,250 --> 00:42:16,650
మరియు ప్రకటన నెట్వర్క్ల పంపడానికి.

602
00:42:16,650 --> 00:42:19,350
Apache మరియు Android 8% మరియు 6%,

603
00:42:19,350 --> 00:42:22,960
ఆపై దిగువ, Google ప్రకటనలు, ఫ్లురీ ఈ ఇతర వాటిని డౌన్,

604
00:42:22,960 --> 00:42:26,600
మోబ్ సిటీ మరియు వెయ్యేళ్ళ మీడియా,

605
00:42:26,600 --> 00:42:30,500
ఈ, అప్పుడు, తగినంత ఆసక్తి అన్ని ప్రకటన కంపెనీలు ఉన్నాయి, మరియు

606
00:42:30,500 --> 00:42:33,500
4% Facebook లైబ్రరీలో లింక్

607
00:42:33,500 --> 00:42:38,870
బహుశా Facebook ద్వారా ధృవీకరణ చేయడానికి

608
00:42:38,870 --> 00:42:40,810
అనువర్తనం ఫేస్బుక్ ప్రమాణీకరించడానికి కాలేదు.

609
00:42:40,810 --> 00:42:44,660
కానీ కూడా Facebook కోడ్ నియంత్రిస్తుంది కార్పొరేషన్ అర్థం

610
00:42:44,660 --> 00:42:49,010
అని, అక్కడ ఆండ్రాయిడ్ మొబైల్ అనువర్తనాలు 4% లో అమలు

611
00:42:49,010 --> 00:42:53,490
మరియు వారు ఆ అనువర్తనం వద్ద పొందడానికి అనుమతి ఉందని అన్ని డేటా యాక్సెస్.

612
00:42:53,490 --> 00:42:57,170
Facebook తప్పనిసరిగా ప్రకటనకు అమ్మే ప్రయత్నిస్తుంది.

613
00:42:57,170 --> 00:43:00,120
వారి ముగ్గులు.

614
00:43:00,120 --> 00:43:02,920
>> మీరు ఈ అనుమతులు ఈ మొత్తం పర్యావరణ చూడండి

615
00:43:02,920 --> 00:43:07,740
మరియు మీరు ఆ చూడడానికి షేర్డ్ లైబ్రరీలను

616
00:43:07,740 --> 00:43:13,850
మీరు ఒక దయ్యం చట్టబద్ధమైన అప్లికేషన్ లో ప్రమాదం చాలా.

617
00:43:13,850 --> 00:43:19,360
పండోర తో జరిగిన ఒకే విధమైన విషయం

618
00:43:19,360 --> 00:43:22,340
, మార్గం అని ఒక అప్లికేషన్ తో జరిగిన

619
00:43:22,340 --> 00:43:27,660
చంపాను వారు ఉపయోగపడిందా, స్నేహపూర్వక డెవలపర్లు అని భావిస్తున్నట్టు.

620
00:43:27,660 --> 00:43:32,160
వారు కేవలం మీరు ఒక గొప్ప యూజర్ అనుభవం ఇవ్వాలని ప్రయత్నిస్తున్నారు,

621
00:43:32,160 --> 00:43:37,810
మరియు అది ముగిసిన వినియోగదారిని లేదా వినియోగదారు చెప్పడం లేకుండా ఏదైనా

622
00:43:37,810 --> 00:43:40,400
మరియు ఈ, ఐఫోన్ మరియు ఆండ్రాయిడ్ లో జరిగిన

623
00:43:40,400 --> 00:43:44,420
పండోర అనువర్తనం ఐఫోన్ మరియు న Android-

624
00:43:44,420 --> 00:43:48,890
మార్గం అప్లికేషన్ మీ మొత్తం చిరునామా పుస్తకం పట్టుకుని ఆ

625
00:43:48,890 --> 00:43:52,830
మరియు మీరు ఇన్స్టాల్ మరియు అప్లికేషన్ నడిచింది కేవలం ఉన్నప్పుడు మార్గం దానిని అప్లోడ్,

626
00:43:52,830 --> 00:43:55,840
మరియు వారు ఈ గురించి తెలియజేస్తుంది లేదు.

627
00:43:55,840 --> 00:43:58,750
వారు మీరు నిజంగా ఉపయోగకరంగా భావించారు

628
00:43:58,750 --> 00:44:04,040
మీ చిరునామా పుస్తకంలో అన్ని వ్యక్తులతో భాగస్వామ్యం చెయ్యడానికి

629
00:44:04,040 --> 00:44:06,920
మీరు మార్గం అప్లికేషన్ ఉపయోగించి చేస్తున్న.

630
00:44:06,920 --> 00:44:09,490
>> సరే, స్పష్టంగా మార్గం ఈ వారి కంపెనీ ఎంతో భావించారు.

631
00:44:09,490 --> 00:44:13,510
వినియోగదారుకు కాబట్టి గొప్ప కాదు.

632
00:44:13,510 --> 00:44:19,020
మీరు బహుశా ఒక యువకుడు ఒక విషయం అని ఆలోచించడం కలిగి

633
00:44:19,020 --> 00:44:23,700
, ఈ అనువర్తనం ఉపయోగించి మరియు స్నేహితులు వారి డజన్ల కొద్దీ అక్కడ ఉన్న ఉంది

634
00:44:23,700 --> 00:44:29,360
కానీ మార్గం ఇన్స్టాల్ చేసే కంపెనీ CEO ఏది ఉంటే

635
00:44:29,360 --> 00:44:33,170
ఆపై అకస్మాత్తుగా వారి మొత్తం చిరునామా పుస్తకం అన్ని అప్ ఉంది?

636
00:44:33,170 --> 00:44:38,310
మీరు సమర్థవంతంగా విలువైన పరిచయం సమాచారం చాలా పొందడానికి వెళుతున్న

637
00:44:38,310 --> 00:44:40,920
ప్రజలు చాలా కోసం.

638
00:44:40,920 --> 00:44:44,500
న్యూయార్క్ టైమ్స్ నుండి ఒక విలేఖరి, మీరు ఫోన్ నంబర్ పొందండి చేయగలరు

639
00:44:44,500 --> 00:44:47,380
వారి చిరునామా పుస్తకం నుండి మాజీ అధ్యక్షులు కోసం,

640
00:44:47,380 --> 00:44:54,780
కాబట్టి స్పష్టంగా సున్నితమైన సమాచారం చాలా ఈ వంటి ఏదో తో సమాధానంగా చెప్పారు.

641
00:44:54,780 --> 00:44:58,090
ఆ మార్గం క్షమాపణ ఈ గురించి ఒక పెద్ద ఫ్లాప్ ఉంది.

642
00:44:58,090 --> 00:45:01,610
వారు వారి అనువర్తనం మారింది, మరియు కూడా ఆపిల్ ప్రభావం.

643
00:45:01,610 --> 00:45:06,950
ఆపిల్ మేము వినియోగదారులు ఫలితానికి అనువర్తనం విక్రేతలు బలవంతంగా చూడాలని ", చెప్పారు

644
00:45:06,950 --> 00:45:12,650
వారు వారి మొత్తం చిరునామా పుస్తకం సేకరించిన చూడాలని ఉంటే. "

645
00:45:12,650 --> 00:45:15,360
>> ఇది ఇక్కడ ఏం కనిపిస్తోంది

646
00:45:15,360 --> 00:45:19,430
అక్కడ ఒక పెద్ద గోప్యతా ఉల్లంఘన మరియు అది ప్రెస్ చేస్తుంది

647
00:45:19,430 --> 00:45:21,680
మేము అక్కడ ఒక మార్పు చూడండి.

648
00:45:21,680 --> 00:45:23,230
కానీ కోర్సు యొక్క, ఇతర విషయాలు అక్కడ ఉంది.

649
00:45:23,230 --> 00:45:27,440
లింక్డ్ఇన్ అప్లికేషన్ మీ క్యాలెండర్ ఎంట్రీలు పంటలు,

650
00:45:27,440 --> 00:45:34,530
కానీ ఆపిల్ యూజర్ గురించి ప్రాంప్ట్ ఉండవని.

651
00:45:34,530 --> 00:45:38,030
క్యాలెండర్ ఎంట్రీలు చాలా వాటిని లో సున్నితమైన సమాచారాన్ని కలిగి.

652
00:45:38,030 --> 00:45:40,000
ఎక్కడ లైన్ డ్రా వెళ్తున్నారు?

653
00:45:40,000 --> 00:45:43,960
ఈ నిజంగా రకమైన ఒక పరిణమిస్తున్న వేదిక

654
00:45:43,960 --> 00:45:47,640
ఏ మంచి ప్రామాణిక అక్కడ నిజంగా ఇక్కడ

655
00:45:47,640 --> 00:45:51,990
వారి సమాచారం ప్రమాదం మాత్రం వినియోగదారులతో అర్థం కోసం

656
00:45:51,990 --> 00:45:57,820
వారు తెలిసిన చూడాలని అది తీసుకున్న చేయబడిన.

657
00:45:57,820 --> 00:46:03,040
మేము, అడియోస్ అని Veracode వద్ద ఒక అనువర్తనం రాశారు

658
00:46:03,040 --> 00:46:08,350
మరియు ముఖ్యంగా మీరు మీ iTunes డైరెక్టరీలలో అనువర్తనం సూచించడానికి అనుమతి

659
00:46:08,350 --> 00:46:12,550
మరియు మీ పూర్తి చిరునామా పుస్తకం సాగు చేసిన అన్ని అప్లికేషన్లు చూడండి.

660
00:46:12,550 --> 00:46:19,760
మరియు మీరు ఇక్కడ ఈ జాబితాలో చూడగలరు గా, యాంగ్రీ పక్షులు,

661
00:46:19,760 --> 00:46:21,590
AIM, AroundMe.

662
00:46:21,590 --> 00:46:24,050
ఎందుకు యాంగ్రీ మీ చిరునామా పుస్తకం అవసరం లేదు?

663
00:46:24,050 --> 00:46:29,160
నేను తెలియదు, కానీ ఏదో చేస్తుంది.

664
00:46:29,160 --> 00:46:32,310
>> ఈ చాలా చాలా అప్లికేషన్లు విషయం.

665
00:46:32,310 --> 00:46:34,780
ఈ కోసం కోడ్ తనిఖీ.

666
00:46:34,780 --> 00:46:38,660
ఐఫోన్, బ్లాక్బెర్రీ కోసం మంచి వివరణాత్మకమైన API లు ఉంది

667
00:46:38,660 --> 00:46:42,120
చిరునామా పుస్తకం పొందడానికి.

668
00:46:42,120 --> 00:46:48,520
మీరు నిజంగా సులభంగా ఈ కోసం తనిఖీ, మరియు ఈ మేము మా Adios అప్లికేషన్ ఏమి ఉంది.

669
00:46:48,520 --> 00:46:52,320
ఇంతకీ, అసురక్షిత సెన్సిటివ్ డేటా నిల్వ,

670
00:46:52,320 --> 00:46:55,670
డెవలపర్లు ఒక పిన్ వంటి ఏదో పడుతుంది పేరు ఏదో లేదా ఒక ఖాతా సంఖ్య

671
00:46:55,670 --> 00:46:58,530
లేదా ఒక పాస్వర్డ్ను మరియు పరికరంలో స్పష్టమైన లో నిల్వ.

672
00:46:58,530 --> 00:47:02,310
చెత్తగా, వారు ఫోన్ లో ఒక ప్రాంతంలో స్టోర్

673
00:47:02,310 --> 00:47:06,820
ఇది SD కార్డ్ వంటి, ప్రపంచవ్యాప్తంగా అందుబాటులో ఉంది.

674
00:47:06,820 --> 00:47:11,320
Android SD కార్డ్ కోసం అనుమతిస్తుంది ఎందుకంటే మీరు Android న తరచుగా ఈ చూడండి.

675
00:47:11,320 --> 00:47:13,200
ఐఫోన్ పరికరాల లేదు.

676
00:47:13,200 --> 00:47:17,900
కానీ మేము కూడా ఈ సిటీ గ్రూప్ అప్లికేషన్ లో జరిగే చూసింది.

677
00:47:17,900 --> 00:47:25,450
వారి ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్, insecurely ఖాతా సంఖ్యలను నిల్వ

678
00:47:25,450 --> 00:47:28,120
కేవలం స్పష్టమైన లో, కాబట్టి మీరు మీ పరికరం కోల్పోతే,

679
00:47:28,120 --> 00:47:30,670
మీకు మీ బ్యాంకు ఖాతా.

680
00:47:30,670 --> 00:47:36,000
నేను వ్యక్తిగతంగా నా ఐఫోన్ బ్యాంకింగ్ చెయ్యమని ఎందుకు ఉంది.

681
00:47:36,000 --> 00:47:43,710
నేను కార్యకలాపాలు ఈ రకాల చేయడానికి ప్రస్తుతం ప్రమాదకర అని.

682
00:47:43,710 --> 00:47:45,950
>> స్కైప్ ఇదే చేశాడు.

683
00:47:45,950 --> 00:47:49,870
స్కైప్, కోర్సు, ఒక ఖాతా సంతులనం, ఒక యూజర్ పేరు మరియు పాస్వర్డ్ ఉంది

684
00:47:49,870 --> 00:47:51,030
సంతులనం ప్రాప్యత.

685
00:47:51,030 --> 00:48:00,080
వారు మొబైల్ పరికరంలో స్పష్టమైన లో ఆ సమాచారం నిల్వ.

686
00:48:00,080 --> 00:48:05,760
నేను ఫైళ్లు సృష్టించే ఇక్కడ కొన్ని ఉదాహరణలు ఉన్నాయి

687
00:48:05,760 --> 00:48:10,310
కుడివైపు అనుమతులు లేదా డిస్క్ వ్రాయడం లేదు

688
00:48:10,310 --> 00:48:17,260
మరియు ఏ ఎన్క్రిప్షన్ను కోసం జరిగే చేయడంలో.

689
00:48:17,260 --> 00:48:20,190
ఈ తదుపరి ప్రాంతం, అసురక్షిత సెన్సిటివ్ డేటా ట్రాన్స్మిషన్,

690
00:48:20,190 --> 00:48:24,450
నేను ఈ కొన్ని సార్లు పేర్కొన్నట్లు, మరియు బహిరంగ Wi-Fi చేసిన

691
00:48:24,450 --> 00:48:27,770
ఈ ఖచ్చితంగా చెయ్యాల్సిన అనువర్తనాలు విషయం,

692
00:48:27,770 --> 00:48:31,250
మరియు ఈ మేము చాలా తప్పు చూసే బహుశా ఉంది.

693
00:48:31,250 --> 00:48:34,920
నేను నిజానికి, నేను నేను అసలు డేటా కలిగి అనుకుంటున్నాను,

694
00:48:34,920 --> 00:48:38,120
కానీ సగం మొబైల్ అనువర్తనాలు దగ్గరగా ఉంది

695
00:48:38,120 --> 00:48:41,780
SSL చేయడం మేకు.

696
00:48:41,780 --> 00:48:43,910
వారు కేవలం API లు సరిగ్గా ఉపయోగిస్తాయి.

697
00:48:43,910 --> 00:48:47,970
నేను మీరు చేయడానికి వచ్చింది అన్ని, సూచనలను అనుసరించండి మరియు API లని ఉపయోగించే ఉంది

698
00:48:47,970 --> 00:48:54,720
కానీ వారు వంటి వాటిని, ఇతర చివరిలో చెల్లని సర్టిఫికేట్ అని తనిఖీ లేదు

699
00:48:54,720 --> 00:49:02,120
ఇతర ముగింపు ఒక ప్రోటోకాల్ డౌన్గ్రేడ్ దాడి చేయడానికి ప్రయత్నిస్తున్నారు ఉంటే తనిఖీ.

700
00:49:02,120 --> 00:49:07,200
>> డెవలపర్లు, వారు వారి చెక్బాక్స్ పొందాలనుకోవడం, కుడి?

701
00:49:07,200 --> 00:49:11,910
వారి అవసరం విక్రయించడానికి ఈ ఉపయోగించడానికి ఉంది. వారు అమ్మే ఈ ఉపయోగించి.

702
00:49:11,910 --> 00:49:14,800
అవసరం, సురక్షితంగా విక్రయించడానికి ఈ ఉపయోగించడానికి కాదు

703
00:49:14,800 --> 00:49:19,680
SSL ఉపయోగించే అన్ని అప్లికేషన్లు డేటా సురక్షిత ఎందుకు చిరునవ్వు నవ్వుతాను

704
00:49:19,680 --> 00:49:23,470
ఇది ఆఫ్ ప్రసారం చేయబడిన వంటి పరికరం నిజంగా పరీక్షించాలి అవసరం

705
00:49:23,470 --> 00:49:28,950
సరిగ్గా అమలు నిర్ధారించడానికి.

706
00:49:28,950 --> 00:49:32,850
మరియు ఇక్కడ నేను మీరు ఒక అనువర్తనం ఇక్కడ కొన్ని ఉదాహరణలు ఉన్నాయి

707
00:49:32,850 --> 00:49:37,400
HTTP బదులుగా HTTPS ఉపయోగిస్తూ ఉండవచ్చు.

708
00:49:37,400 --> 00:49:40,510
కొన్ని సందర్భాల్లో అనువర్తనాలు HTTP తిరిగి పడటం

709
00:49:40,510 --> 00:49:44,250
HTTPS పని చెయ్యకపోతే.

710
00:49:44,250 --> 00:49:49,070
నేను, వారు సర్టిఫికేట్ చెక్ నిలిపివేసాము పేరు Android ఇక్కడ మరొక కాల్ కలిగి

711
00:49:49,070 --> 00:49:51,700
కాబట్టి ఒక వ్యక్తిచే మధ్య దాడి జరుగుతుంది.

712
00:49:51,700 --> 00:49:56,370
ఒక చెల్లని సర్టిఫికేట్ అంగీకరించబడుతుంది.

713
00:49:56,370 --> 00:50:01,920
ఈ దాడి పొందలేరు ఉంటాయని కేసులు ఉన్నాయి

714
00:50:01,920 --> 00:50:07,150
యూజర్ మరియు యాక్సెస్ అన్ని డేటా అదే Wi-Fi కనెక్షన్

715
00:50:07,150 --> 00:50:11,650
ఇంటర్నెట్లో ఆ పంపబడింది.

716
00:50:11,650 --> 00:50:15,970
>> చివరకు, నేను ఇక్కడ చివరిగా వర్గం hardcoded పాస్వర్డ్ను మరియు కీలు ఉంది.

717
00:50:15,970 --> 00:50:21,470
మేము నిజంగా డెవలపర్లు చాలా అదే కోడింగ్ శైలి ఉపయోగించండి చూడండి

718
00:50:21,470 --> 00:50:25,900
వారు వెబ్ సర్వర్ అప్లికేషన్లు నిర్మించడానికి సమయంలో చేశాడు, ఆ

719
00:50:25,900 --> 00:50:29,700
కాబట్టి వారు ఒక జావా సర్వర్ అప్లికేషన్ నిర్మించడం చేస్తున్నారు, మరియు వారు కీ hardcoding చేస్తున్నారు.

720
00:50:29,700 --> 00:50:31,940
సరే, మీరు ఒక సర్వర్ అప్లికేషన్ నిర్మించడం చేసినప్పుడు, అవును,

721
00:50:31,940 --> 00:50:34,240
కీ hardcoding ఒక మంచి ఆలోచన కాదు.

722
00:50:34,240 --> 00:50:36,290
ఇది కష్టం మార్చడానికి చేస్తుంది.

723
00:50:36,290 --> 00:50:40,700
ఎవరు సర్వర్లో ప్రాప్తి ఉంది ఎందుకంటే కానీ సర్వర్ వైపు చెడు కాదు?

724
00:50:40,700 --> 00:50:43,140
నిర్వాహకులు మాత్రమే.

725
00:50:43,140 --> 00:50:48,100
కానీ మీరు అదే కోడ్ తీసుకొని మీరు ఒక మొబైల్ అప్లికేషన్ కి కురిపించింది

726
00:50:48,100 --> 00:50:52,550
ఇప్పుడు మొబైల్ అప్లికేషన్ ఆ hardcoded కీ యాక్సెస్ ప్రతి వారు

727
00:50:52,550 --> 00:50:56,380
మరియు మేము నిజంగా ఈ సార్లు చాలా చూడండి, మరియు నేను కొన్ని గణాంకాలు

728
00:50:56,380 --> 00:51:00,920
మేము ఈ జరిగే చూడండి ఎంత తరచుగా న.

729
00:51:00,920 --> 00:51:04,940
ఇది నిజానికి మాస్టర్ ప్రచురించింది ఉదాహరణకు కోడ్ లో

730
00:51:04,940 --> 00:51:06,850
వారి సేవ ఎలా ఉపయోగించాలో న.

731
00:51:06,850 --> 00:51:11,860
ఉదాహరణకు కోడ్ మీరు పాస్వర్డ్ను పడుతుందని ఎలా చూపించాడు

732
00:51:11,860 --> 00:51:14,850
మరియు, అక్కడే ఒక hardcoded స్ట్రింగ్ లో ఉంచండి

733
00:51:14,850 --> 00:51:19,380
మరియు మేము డెవలపర్లు కోడ్ స్నిప్పెట్స్ కాపీ మరియు పేస్ట్ ప్రేమ ఎలా

734
00:51:19,380 --> 00:51:22,360
వారు ఏదో ప్రయత్నిస్తున్న, కాబట్టి మీరు కోడ్ స్నిప్పెట్ కాపీ మరియు పేస్ట్ చేసినప్పుడు

735
00:51:22,360 --> 00:51:28,450
వారు ఉదాహరణకు కోడ్ ఇచ్చిన, మరియు మీరు సురక్షితంకాని అప్లికేషన్ కలిగి.

736
00:51:28,450 --> 00:51:31,490
>> మరియు మేము కొన్ని ఉదాహరణలు ఉన్నాయి.

737
00:51:31,490 --> 00:51:35,840
ఈ మొదటి మేము వారు Hardcode పేరు చాలా చూడండి ఒకటి

738
00:51:35,840 --> 00:51:40,510
పంపిన పొందే ఒక URL లోకి డేటా కుడి.

739
00:51:40,510 --> 00:51:45,120
కొన్నిసార్లు మేము స్ట్రింగ్ పాస్వర్డ్ను = పాస్వర్డ్ను చూడండి.

740
00:51:45,120 --> 00:51:49,060
ఆ బ్లాక్బెర్రీ మరియు ఆండ్రాయిడ్ లో అందంగా గుర్తించడం సులభం, లేదా స్ట్రింగ్ పాస్వర్డ్ను ఉంది.

741
00:51:49,060 --> 00:51:53,680
ఇది నిజంగా ఎందుకంటే దాదాపు ఎల్లప్పుడూ తనిఖీ అందంగా సులభం

742
00:51:53,680 --> 00:51:57,030
డెవలపర్ పేర్లు పాస్వర్డ్ను పట్టుకొని చేసే వేరియబుల్

743
00:51:57,030 --> 00:52:02,290
పాస్వర్డ్ను కొంత వ్యత్యాసం.

744
00:52:02,290 --> 00:52:05,200
నేను, మేము Veracode వద్ద స్టాటిక్ విశ్లేషణ పేర్కొన్నారు

745
00:52:05,200 --> 00:52:11,790
కాబట్టి మేము అనేక వందల Android మరియు iOS అప్లికేషన్లు విశ్లేషించారు చేసిన.

746
00:52:11,790 --> 00:52:15,160
మేము వాటిని పూర్తి నమూనాలను తయారు చేసిన, మరియు మేము వాటిని స్కాన్ చూడగలరని

747
00:52:15,160 --> 00:52:19,280
వివిధ రకాల ప్రమాదాలతో, నేను మాట్లాడుతున్న ముఖ్యంగా దుర్బలత్వం కోసం

748
00:52:19,280 --> 00:52:21,050
మరియు నేను ఇక్కడ కొన్ని డేటా కలిగి.

749
00:52:21,050 --> 00:52:24,320
మేము చూసాము Android Apps యొక్క 68.5%

750
00:52:24,320 --> 00:52:28,590
క్రిప్టోగ్రాఫిక్ కోడ్ ఉల్లంఘించాడని,

751
00:52:28,590 --> 00:52:33,240
మీరు మీ సొంత క్రిప్టో రొటీన్ చేసిన ఉంటే మాకు, మేము గుర్తించలేదు ఇది,

752
00:52:33,240 --> 00:52:38,980
ఒక మంచి ఆలోచన, కానీ ఈ నిజానికి ప్రచురితమైన API లు ఉపయోగిస్తోంది కాదు

753
00:52:38,980 --> 00:52:42,530
వేదికపై కానీ ఆ విధంగా వాటిని చేయడం

754
00:52:42,530 --> 00:52:46,680
క్రిప్టో, 68.5 అవకాశం ఉంటుంది అని.

755
00:52:46,680 --> 00:52:49,870
మరియు ఈ నిజంగా మాకు దరఖాస్తులు పంపుతున్నారు ప్రజలకు ఎందుకంటే

756
00:52:49,870 --> 00:52:53,730
వారు భద్రతా పరీక్ష చేయడానికి ఒక మంచి ఆలోచన అని.

757
00:52:53,730 --> 00:52:56,960
ఈ, బహుశా సురక్షితంగా ఆలోచిస్తే ప్రజలు

758
00:52:56,960 --> 00:52:59,540
కాబట్టి ఇది బహుశా చెత్తగా.

759
00:52:59,540 --> 00:53:02,690
>> నేను నియంత్రణ లైన్ ఫీడ్ ఇంజక్షన్ గురించి మాట్లాడరు.

760
00:53:02,690 --> 00:53:07,640
ఇది మేము తనిఖీ ఏదో ఉంది, కానీ ఇది ఒక సమస్య అని ప్రమాదకర కాదు.

761
00:53:07,640 --> 00:53:15,390
ఇన్ఫర్మేషన్ లీకేజ్, ఈ సున్నితమైన డేటా పరికరం పంపిన రాష్ట్రం ఉంది.

762
00:53:15,390 --> 00:53:19,270
మేము అప్లికేషన్లు 40% లో కనుగొన్నారు.

763
00:53:19,270 --> 00:53:23,540
సమయం మరియు రాష్ట్ర, ఆ, దోపిడి సాధారణంగా అందంగా హార్డ్ రేసు పరిస్థితి రకం సమస్యలు, ఉన్నాయి

764
00:53:23,540 --> 00:53:26,170
నేను గురించి మాట్లాడరు, కాని మేము ఇది చూశారు.

765
00:53:26,170 --> 00:53:28,750
23% SQL ఇంజెక్షన్ సమస్యలను కలిగి.

766
00:53:28,750 --> 00:53:32,020
మంది తెలియదు అప్లికేషన్లు చాలా

767
00:53:32,020 --> 00:53:35,880
డేటా నిల్వచేయటానికి తిరిగి చివరికి ఒక చిన్న చిన్న SQL డేటాబేస్ ఉపయోగించడానికి.

768
00:53:35,880 --> 00:53:40,430
బాగా, మీరు నెట్వర్కులో ఈడ్చడం చేస్తున్న డేటా

769
00:53:40,430 --> 00:53:43,800
అది SQL ఇంజెక్షన్ దాడి తీగలను ఉంది

770
00:53:43,800 --> 00:53:45,970
ఎవరైనా ద్వారా పరికరం రాజీ చేయవచ్చు,

771
00:53:45,970 --> 00:53:49,800
అందువలన నేను, మేము వెబ్ అప్లికేషన్లు 40% ఈ సమస్య కనుగొనేందుకు అనుకుంటున్నాను

772
00:53:49,800 --> 00:53:52,840
ఇది భారీ అంటువ్యాధి సమస్య.

773
00:53:52,840 --> 00:53:55,740
మేము మొబైల్ అనువర్తనాలు లో సమయం 23% కనుగొనేందుకు

774
00:53:55,740 --> 00:54:02,030
పలు ముఖ్యమైన వెబ్ మొబైల్ కంటే SQL ఉపయోగిస్తాయి మరియు బహుశా ఉంది.

775
00:54:02,030 --> 00:54:05,580
>> ఆపై మేము ఇంకా కొన్ని క్రాస్ సైట్ స్క్రిప్టింగ్, అధికార సమస్యలు, చూడండి

776
00:54:05,580 --> 00:54:09,400
మీరు మీ hardcoded పాస్వర్డ్ను ఉంటుంది ఆపై క్రెడెన్షియల్ నిర్వహణ, ఆ.

777
00:54:09,400 --> 00:54:14,540
అప్లికేషన్లు 5% లో మేము ఆ చూడండి.

778
00:54:14,540 --> 00:54:17,970
మరియు తర్వాత మేము iOS కొన్ని డేటా కలిగి.

779
00:54:17,970 --> 00:54:20,180
81% లోపం నిర్వహణ సమస్యలను కలిగి.

780
00:54:20,180 --> 00:54:23,130
ఈ ఒక కోడ్ నాణ్యత సమస్య ఎక్కువ,

781
00:54:23,130 --> 00:54:28,010
కానీ 67% క్రిప్టోగ్రాఫిక్ సమస్యలను కలిగి, కాబట్టి Android వంటి చాలా చెడ్డదిగా కాదు.

782
00:54:28,010 --> 00:54:32,440
బహుశా API లు కొద్దిగా సులభంగా, iOS కొద్దిగా మెరుగ్గా ఉదాహరణకు సంకేతాలు.

783
00:54:32,440 --> 00:54:35,420
కానీ ఇప్పటికీ అత్యధిక శాతం.

784
00:54:35,420 --> 00:54:39,040
మేము సమాచారాన్ని నష్టం తో 54% కలిగి,

785
00:54:39,040 --> 00:54:42,080
బఫర్ నిర్వహణ లోపాలతో 30%.

786
00:54:42,080 --> 00:54:45,930
సమర్థవంతమైన ఒక మెమరీ అవినీతి సమస్య ఉండవచ్చు చోట్ల ఉంది.

787
00:54:45,930 --> 00:54:50,350
ఇది ఆ దోపిడీ కోసం ఒక సమస్య ఎక్కువగా కాదు అవుతుంది

788
00:54:50,350 --> 00:54:56,450
అన్ని కోడ్ సంతకం వుంటుంది iOS న ఎందుకంటే,

789
00:54:56,450 --> 00:55:02,210
కాబట్టి అది iOS అనియత కోడ్ అమలు దాడి కోసం కష్టం.

790
00:55:02,210 --> 00:55:07,880
కోడ్ నాణ్యత, డైరెక్టరీ ట్రావెర్సల్, కానీ ఇక్కడ 14.6% వద్ద అప్పుడు ఆధారాలను నిర్వహణ,

791
00:55:07,880 --> 00:55:09,250
Android న కంటే దారుణంగా.

792
00:55:09,250 --> 00:55:13,240
మేము సరిగ్గా పాస్వర్డ్లను నిర్వహించడానికి లేదు కలిగి.

793
00:55:13,240 --> 00:55:15,790
ఆపై సంఖ్యా లోపాలు మరియు బఫర్ ఓవర్ఫ్లో,

794
00:55:15,790 --> 00:55:22,680
ఆ మరింత iOS న కోడ్ నాణ్యత సమస్యలు ఉంటాయని.

795
00:55:22,680 --> 00:55:26,110
>> అది నా ప్రదర్శన కోసం ఉంది. మేము సమయం లేదా తెలియకపోతే నాకు తెలీదు.

796
00:55:26,110 --> 00:55:29,540
ఏ ప్రశ్నలు ఉంటే నాకు తెలీదు.

797
00:55:29,540 --> 00:55:33,220
[MALE] ఫ్రాగ్మెంటేషన్ మరియు Android మార్కెట్ చుట్టూ త్వరిత ప్రశ్న.

798
00:55:33,220 --> 00:55:36,240
ఆపిల్ కనీసం Patching కలిగి.

799
00:55:36,240 --> 00:55:40,780
వారు Android ప్రదేశంలో అయితే తక్కువ కాబట్టి దాన్ని పొందడానికి ఒక మంచి ఉద్యోగం చేయండి.

800
00:55:40,780 --> 00:55:44,280
మీరు దాదాపు ప్రస్తుత ఉండడానికి మీ ఫోన్ jailbreak అవసరం

801
00:55:44,280 --> 00:55:46,660
Android యొక్క ప్రస్తుత విడుదల.

802
00:55:46,660 --> 00:55:50,960
మీరు గురించి ఆలోచించడం ఉంటే అవును, భారీ సమస్య మరియు మొహాలు

803
00:55:50,960 --> 00:55:52,280
[MALE] ఎందుకు మీరు పునరావృతం కాదు?

804
00:55:52,280 --> 00:55:55,610
>> ఓహ్, కాబట్టి ప్రశ్న గురించి విభజన

805
00:55:55,610 --> 00:56:00,410
Android వేదిక మీద ఆపరేటింగ్ సిస్టమ్ యొక్క?

806
00:56:00,410 --> 00:56:05,890
ఎలా ఆ పరికరాల riskiness ప్రభావితం చేస్తుంది?

807
00:56:05,890 --> 00:56:09,700
ఏమి జరుగుతుంది ఎందుకంటే మరియు అది నిజానికి ఒక భారీ సమస్య

808
00:56:09,700 --> 00:56:15,110
పాత పరికరాలను, ఎవరైనా పరికరం కోసం ఒక jailbreak తో వచ్చినప్పుడు,

809
00:56:15,110 --> 00:56:19,960
ముఖ్యంగా ఆ ఆపరేటింగ్ సిస్టమ్ ఆధారపడే అధికార వృద్ధిని, మరియు

810
00:56:19,960 --> 00:56:25,350
మాల్వేర్ను తరువాత, పూర్తిగా పరికరం రాజీ బలహీనతని ఉపయోగించవచ్చు

811
00:56:25,350 --> 00:56:30,200
మరియు మేము ఆండ్రాయిడ్ లో చూస్తున్నారని కొత్త ఆపరేటింగ్ సిస్టమ్ పొందడానికి ఉంది

812
00:56:30,200 --> 00:56:34,690
గూగుల్ హార్డ్వేర్ తయారీదారు ఆపరేటింగ్ సిస్టమ్ ఆర్పేందుకు ఉంది, మరియు

813
00:56:34,690 --> 00:56:39,390
అనుకూలీకరించడానికి ఉంది, తరువాత క్యారియర్ అనుకూలీకరించడానికి మరియు కు ఉంది.

814
00:56:39,390 --> 00:56:43,070
మీరు, ప్రధానంగా ఇక్కడ 3 కదిలే భాగాలను

815
00:56:43,070 --> 00:56:47,210
మరియు వాహకాలు పట్టించుకోను ఆ చెయ్యడానికి,

816
00:56:47,210 --> 00:56:50,400
మరియు హార్డ్వేర్ తయారీదారులు పట్టించుకోను, మరియు Google తగినంత వాటిని prodding లేదు

817
00:56:50,400 --> 00:56:54,430
అక్కడ కాబట్టి ముఖ్యంగా పరికరాలు సగానికిపైగా, ఏమీ

818
00:56:54,430 --> 00:57:00,590
వారిని ఈ అధికార వృద్ధిని ప్రమాదాలను కలిగి ఆపరేటింగ్ సిస్టంలు,

819
00:57:00,590 --> 00:57:08,440
మీరు మీ Android పరికరంలో మాల్వేర్ వస్తే మరియు కనుక ఇది చాలా సమస్య మరింత.

820
00:57:08,440 --> 00:57:10,350
>> సరే, చాలా కృతజ్ఞతలు.

821
00:57:10,350 --> 00:57:12,310
[చప్పట్లు]

822
00:57:12,310 --> 00:57:14,310
[CS50.TV]