[సెమినార్] [పరికర వెనుక డిఫెండింగ్: మొబైల్ అనువర్తనంసెక్యూరిటీ] [క్రిస్ Wysopal] [హార్వర్డ్ విశ్వవిద్యాలయం] [ఈ CS50 ఉంది.] [CS50.TV] 

గుడ్ మధ్యాహ్నం. నా పేరు క్రిస్ Wysopal ఉంది. నేను CTO మరియు Veracode సహవ్యవస్థాపకుడు ఉన్నాను. Veracode ఒక అప్లికేషన్ భద్రతా సంస్థ. మేము వివిధ అప్లికేషన్లు అన్ని రకాల పరీక్షించడానికి, మరియు నేను ఈ రోజు గురించి మాట్లాడటానికి వెళుతున్న మొబైల్ అప్లికేషన్ భద్రతా ఉంది. నా నేపథ్య నేను భద్రతా పరిశోధన చేయడం చేసిన ఉంది చాలా కాలం, బహుశా కాలం ఎవరైనా గురించి. నేను 90 ల మధ్య కాలములో ప్రారంభించారు, మరియు ఇది అందంగా ఆసక్తికరమైన అని ఒక సమయం ఎందుకంటే మేము మధ్యలో 90 ఒక నమూనా మార్పు ఉంది. అకస్మాత్తుగా అందరి కంప్యూటర్ అన్ని ఇంటర్నెట్ వరకు కట్టిపడేశాయి జరిగినది, మరియు తర్వాత మేము వెబ్ అప్లికేషన్లు ప్రారంభమైంది, మరియు ఆ నేను చాలా పై దృష్టి ఏమిటి. ఇది ఆసక్తికరంగా. ఇప్పుడు మేము, కంప్యూటింగ్ తో సంభవించే మరొక ఉదాహరణ మార్పు ఇది మొబైల్ అనువర్తనాలు మారిందంటోంది. 

నేను అది 90 ల లో ఇదే సమయం రకంగా అనుభూతి మేము వెబ్ అప్లికేషన్లు దర్యాప్తు మరియు వంటి లోపాలు కనుగొనడంలో సమయంలో సెషన్ నిర్వహణ లోపాలు మరియు SQL ఇంజెక్షన్ ఇది నిజంగా ముందు ఉనికిలో లేదు, మరియు ఆకస్మికంగా వారు ప్రతిచోటా ఉన్నాయి వెబ్ అప్లికేషన్లు లో, మరియు ఇప్పుడు నేను ఖర్చు సమయం చాలా మొబైల్ అనువర్తనాలు చూడటం మరియు అడవి లో అక్కడ ఏమి చూస్తున్నప్పటికీ. మొబైల్ అనువర్తనాలు నిజంగా ఆధిపత్య కంప్యూటింగ్ ప్లాట్ఫాం ఉంటాయని, కాబట్టి మేము నిజంగా మీరు భద్రతా పరిశ్రమలో అయితే సమయం చాలా ఖర్చు అవసరం వెబ్ అప్లికేషన్లు దృష్టి. 2011 లో డౌన్లోడ్ 29 బిలియన్ల మొబైల్ అనువర్తనాలు ఉన్నాయి. ఇది 2014 ద్వారా 76 బిలియన్ Apps అంచనా యొక్క. ఈ సంవత్సరం కొనుగోలు వెళ్ళే 686 మిలియన్ పరికరాలు ఉంది, ప్రజలు విధంగా కావడం ఇక్కడ ఈ ఉంది  వారి క్లయింట్ కంప్యూటింగ్ మెజారిటీ ముందుకు వెళ్ళడం. 

నేను ఫిడిలిటీ పెట్టుబడులు వద్ద ఉపాధ్యక్షుడు మాట్లాడుతున్నది ఒక జంట నెలల క్రితం, మరియు అతను వారు కేవలం మరింత ట్రాఫిక్ చూసింది అన్నారు వారి వినియోగదారులు నుండి ఆర్థిక లావాదేవీలు చేయడం వారి వెబ్ సైట్ లో కంటే వారి మొబైల్ అప్లికేషన్, కాబట్టి గతంలో వెబ్ కోసం ఒక సాధారణ ఉపయోగం ఉంది ,, మీ స్టాక్ కోట్లు తనిఖీ మీ పోర్ట్ఫోలియో మేనేజింగ్ మరియు మేము నిజంగా మీద 2012 స్విచ్ ఆ చూస్తున్నారని మొబైల్ వేదిక మీద మరింత ప్రాధాన్యత. ఏ నేర ఉన్నట్లు జరగబోతోంది ఉంటే ఖచ్చితంగా, ఏ హానికరమైన సూచించే, ఇది మొబైల్ వేదిక మీద దృష్టి ఆరంభమవుతుంది ప్రజలు ఆ కు మారేలా కాలక్రమేణా వంటి. మీరు మొబైల్ వేదిక చూడండి, ఇది వివిధ పొరలు విచ్ఛిన్నం ఉపయోగం వేదిక నష్టాలు చూడండి, మీరు డెస్క్టాప్ కంప్యూటర్ చేయరా కేవలం వంటి, మరియు మీరు వివిధ పొరలు సాఫ్ట్వేర్, ఆపరేటింగ్ సిస్టమ్, ఆలోచించడానికి నెట్వర్క్ పొర, హార్డ్వేర్ పొర, మరియు కోర్సు యొక్క, అన్ని పొరలు న ప్రమాదాలను ఉంది. 

ఇదే మొబైల్ న జరుగుతుంది. కానీ మొబైల్, అది ఆ పొరలు కొన్ని అధ్వాన్న అని. ఒక కోసం, నెట్వర్క్ పొర మొబైల్ మరింత సమస్యాత్మకం ప్రజలు చాలా వారి కార్యాలయంలో లేదా ఇంట్లో ఎందుకంటే కనెక్షన్లు వైర్డు లేదా సురక్షితమైన Wi-Fi కనెక్షన్లు కలిగి, మరియు మొబైల్ పరికరాల చాలా మీకు ఇంటి వెలుపల స్పష్టంగా ఉన్నారు లేదా చాలా కార్యాలయం వెలుపల, మరియు మీరు Wi-Fi ఉపయోగిస్తున్నట్లయితే ఉన్నాయి మీరు సురక్షితం Wi-Fi కనెక్షన్ ఉపయోగిస్తూ ఉండవచ్చు, ఒక ప్రజా Wi-Fi కనెక్షన్ ఏదో, మేము మొబైల్ అనువర్తనాలు గురించి ఆలోచించినప్పుడు కాబట్టి మేము పరిగణనలోకి తీసుకోవాలని నెట్వర్క్ వాతావరణంలో ఆ అనువర్తనాల కోసం ప్రమాదకరమైన అని Wi-Fi వినియోగంలో ఉన్నప్పుడు. నేను మొబైల్ అప్లికేషన్ నష్టాలను మరింత లోకి వచ్చినప్పుడు మరింత ముఖ్యమైన వై మీరు చూస్తారు. మొబైల్ పరికరాల్లో హార్డ్వేర్ స్థాయిలో సమస్యలు ఉన్నాయి. ఈ జరుగుతున్న పరిశోధన యొక్క ఒక ప్రాంతం. ప్రజలు ఈ బ్రాడ్బ్యాండ్ దాడులు లేదా ఆధారబ్యాండ్ దాడులు కాల్ మీరు రేడియోలో వింటున్నారో ఫ్రేమ్వేర్కు దాడి ఎక్కడ. 

ఈ నిజంగా చాలా భయపెట్టాడు దాడులు ఎందుకంటే యూజర్ ఏమీ లేదు. మీరు RF పరిధిలో పరికరాల మా కొడుతూ ఒకేసారి, మరియు ఈ పరిశోధన అప్ బుడగలు చేసినప్పుడు వంటి ఉంది ఇది త్వరగా పేరు క్లాసిఫైడ్ గెట్స్ మంది లో మారండి మరియు చెప్పటానికి, "ఇక్కడ, ఆ గురించి మాకు మరియు అది మాట్లాడతానని దయచేసి." బ్రాడ్బ్యాండ్ ప్రాంతంలో జరగబోతోంది కొన్ని పరిశోధన ఉంది, కానీ చాలా హుష్ హుష్ ఉంది. నేను జరగబోతోంది పరిశోధన దేశం రాష్ట్ర రకం అని. క్రియాశీల పరిశోధన, అయితే, ఆపరేటింగ్ సిస్టమ్ పొర, మళ్ళీ, ఈ డెస్క్టాప్ కంప్యూటింగ్ ప్రపంచంలో కంటే భిన్నంగా ఉంటుంది మొబైల్ ప్రదేశంలో మీరు Jailbreakers అని ప్రజలు ఈ జట్లు, ఎందుకంటే మరియు Jailbreakers సాధారణ దాడిని పరిశోధకులు కంటే భిన్నంగా ఉంటాయి. వారు, ఆపరేటింగ్ సిస్టమ్ లో హాని కనుగొనేందుకు ప్రయత్నిస్తున్న కానీ వారు హాని కనుగొనేందుకు ప్రయత్నిస్తున్న కారణం కాదు ఇతరుల యంత్రం బ్రేక్ మరియు రాజీ. ఇది వారి స్వంత కంప్యూటర్ ప్రవేశించే ఉంది. వారు వారి సొంత మొబైల్ విరగగొడదామనుకుంటున్నాను 

వారి స్వంత మొబైల్ యొక్క ఆపరేటింగ్ సిస్టమ్ను మార్చడానికి వారు తమకు నచ్చిన దరఖాస్తులను తద్వారా మరియు పూర్తి నిర్వహణ అనుమతులు తో విషయాలు మార్చడానికి, మరియు వారు ఈ గురించి విక్రేత చెప్పడం లేదు. వారు ఒక తెల్ల టోపీ భద్రతా పరిశోధకుడు ఇది ఒక భద్రతా పరిశోధకుడు ఇష్టం లేదు బాధ్యత బహిర్గతం మరియు దాని గురించి విక్రేత చెప్పండి అన్నారు ఇది. వారు ఈ పరిశోధన చేయాలని, మరియు వారు నిజానికి ప్రచురించాలనుకుంటే ఒక దోపిడీ లేదా ఒక రూట్కిట్ లేదా ఒక jailbreak కోడ్, మరియు వారు తర్వాత వంటి, వ్యూహాత్మకంగా చేయాలనుకుంటున్నాను విక్రేత నౌకలు కొత్త ఆపరేటింగ్ సిస్టమ్. ఈ పటిష్టమయిన సంబంధం మొబైల్ లో OS స్థాయి ప్రమాదాలను తో, నేను చాలా ఆసక్తికరంగా ఉంటుంది అనుకుంటున్నాను, మరియు ఒక స్థానంలో చూడము ఇది మంచి దోపిడి ప్రచురితమైన కోడ్ అక్కడ ఉంది కాబట్టి అది చేస్తుంది కెర్నల్ స్థాయి వలయాలను, మరియు మేము నిజంగా మాల్వేర్ రచయితలు ఉపయోగించవచ్చు ఆ చూసిన. ఇది PC ప్రపంచ కంటే కొద్దిగా భిన్నమైనది. ఆపై చివరి పొర పైభాగంలో పొర, అప్లికేషన్ లేయర్ ఉంది. ఆ నేను ఈ రోజు గురించి మాట్లాడటానికి వెళుతున్న ఏమిటి. >>, ఇతర పొరలు ఉన్నాయి, మరియు ఇతర పొరలు దీనిని ప్లే కానీ నేను ఎక్కువగా అప్లికేషన్ పొర వద్ద ఏమి గురించి మాట్లాడటానికి వెళుతున్న కోడ్ sandbox లో నడుచును. అది నిర్వాహక అధికారాలను లేదు. ఇది పరికరం యొక్క API లు ఉపయోగించడానికి ఉంది, కానీ ఇప్పటికీ, హానికరమైన సూచించే చాలా మరియు నష్టాన్ని చాలా ఆ పొరలో జరుగుతుంది అన్ని సమాచారం పేరు పొర ఎందుకంటే. Apps పరికరంలో అన్ని సమాచారాన్ని ప్రాప్తి చేయవచ్చు వారికి సరైన అనుమతులు ఉంటే, మరియు వారు పరికరంలో వివిధ సెన్సార్లు యాక్సెస్ చేయవచ్చు, GPS సెన్సార్, మైక్రోఫోన్, కెమెరా, మీరు ఏమి. మేము మాత్రమే దరఖాస్తు పొరలో గురించి మాట్లాడటం ఉన్నప్పటికీ మేము అక్కడ ప్రమాదం చాలా. మొబైల్ వాతావరణంలో గురించి వివిధ అని ఇతర విషయం వ్యవస్థ క్రీడాకారులు, అది ఉంది బ్లాక్బెర్రీ లేదా Android లేదా iOS లేదా Windows మొబైల్, వారు అన్ని, ఒక ఫైన్ గ్రెయిండ్ అనుమతి మోడల్కు మరియు ఈ అవి ఆపరేటింగ్ సిస్టమ్ నిర్మించారు మార్గాల్లో ఒకటి ఇది మీరు ఆలోచించినట్లు ప్రమాదకర కాదు ఆలోచన. మీరు ఇక్కడ అన్ని మీ పరిచయాలను కలిగి కూడా, అన్ని మీ వ్యక్తిగత సమాచారాన్ని, మీరు మీ ఫోటోలు, మీరు, అక్కడ మీ స్థానాన్ని కలిగి మీరు ఇక్కడ ఆటో లాగిన్ కోసం మీ బ్యాంకు పిన్ నిల్వ చేస్తున్నారు సురక్షితమని ఎందుకంటే అనువర్తనాలు కొన్ని భాగాలలో పొందడానికి కొన్ని అనుమతులు కలిగి పరికరంలో సమాచారం, మరియు యూజర్ యొక్క బహుకరించారు వుంటుంది ఈ అనుమతులు మరియు సరే చెప్పడానికి. 

దానితో సమస్య ఎల్లప్పుడూ యూజర్ ఓకే చెప్పారు. ఒక భద్రతా, నేను మీరు యూజర్ ప్రాంప్ట్ తెలుసు, నిజంగా చెడు ఏదో జరిగే అన్నారు చెబుతారు, మీరు జరిగే అనుకుంటున్నారు? మరియు వారు ఒక రష్ లో ఉన్నాము లేదా ఇతర వైపు నిజంగా మనోహరమైన విషయం ఏదైనా ఉంటే, వంటి ఒక గేమ్, వారు వేచి చేసిన ఇన్స్టాల్ అన్నారు వారు సరే క్లిక్ వెళ్ళి. నేను నాకు ఇప్పటికే పందులు వద్ద పక్షులు విసిరివేయు వీలు ఇక్కడ నా స్లయిడ్ నేనంటాను, ఉంది మరియు మీరు ఒక బ్లాక్బెర్రీ అనుమతి బాక్స్ ఉదాహరణలు ఉంది ఇక్కడ స్లయిడ్ చూడగలరు. ఇది "బ్లాక్బెర్రీ ప్రయాణం అనువర్తనం అనుమతులను సెట్ చేయండి చెప్పారు , క్రింది బటన్ క్లిక్ చేయడం "మరియు ప్రధానంగా యూజర్ చెప్పడానికి అన్నారు తరువాత అనుమతులను సెట్ జ్టోటి. ఇక్కడ ఇది విషయాలు చూపిస్తుంది ఒక Android ప్రాంప్ట్ ఉంది, మరియు అది నిజానికి దాదాపు ఒక హెచ్చరిక కనిపించే ఏదో ఉంచుతుంది. ఇది, అక్కడ దిగుబడి సైన్ మాట్లాడుతూ నెట్వర్క్ కమ్యూనికేషన్, ఫోన్ కాల్ ఒక విధమైన సంపాదించి కానీ వినియోగదారు కుడి, ఇన్స్టాల్ క్లిక్ అన్నారు? ఆపై ఆపిల్ ఒక పూర్తిగా హానికరం ఉంది. ఇది హెచ్చరిక ఎలాంటి ఇవ్వదు. ఇది ఆపిల్ మీ ప్రస్తుత స్థానాన్ని ఉపయోగించాలనుకుంటే కేవలం ఉంది. కోర్సు మీరు సరే క్లిక్ వెళ్ళి. 

ఈ సున్నితమైనవి అనుమతి మోడల్, ఉంది మరియు Apps వారు డిక్లేర్ పేరు మానిఫెస్ట్ ఫైల్ కలిగి ఉంటుంది , అనుమతులు వారు అవసరం, మరియు ఆ యూజర్ ప్రదర్శించబడుతుంది అవుతారు మరియు యూజర్ నేను ఈ అనుమతులు చెప్పటానికి ఉంటుంది. కానీ యొక్క నిజాయితీ ఉంచబడుతుంది. వినియోగదారులు కేవలం ఎల్లప్పుడూ సరే చెప్పడానికి వెళ్తున్నారు. యొక్క ఈ అనువర్తనాలను కోరుతూ ఉన్నాయి అనుమతులు త్వరగా చూద్దాం మరియు ఉన్నాయి అనుమతులు కొన్ని. ఈ సంస్థ Praetorian గత సంవత్సరం ఒక సర్వే చేశారు Android మార్కెట్ మరియు 3rd పార్టీ మార్కెట్లలో విశ్లేషించారు 53,000 అప్లికేషన్లు, ఈ అన్ని Android ఉంది. మరియు సగటు అనువర్తనం 3 అనుమతులను అభ్యర్థించింది. కొన్ని అనువర్తనాలు 117 అనుమతులను అభ్యర్థించింది, కాబట్టి స్పష్టంగా ఈ అర్థం ఒక వినియోగదారు కోసం కణాలతో మరియు విధంగా చాలా క్లిష్టమైన చాలా జరిమానా వారు ఈ 117 పెర్మిషన్స్ అవసరం ఈ అనువర్తనం బహుకరించారు చేస్తున్నారు ఉంటే. ఇది 45 పేజీలున్న ఆ ముగింపు యూజర్ లైసెన్స్ ఒప్పందం వంటిది. బహుశా వారు ఇది వంటిది ఒక ఎంపిక ఉంటుంది అనుమతులు ప్రింట్ మరియు ఒక ఇమెయిల్ పంపండి. 

కానీ మీరు టాప్ ఆసక్తికరమైన అనుమతులు కొన్ని చూడండి ఉంటే వారు 53,000 బయటకు డౌన్లోడ్ అనువర్తనాలను 24% పరికరం నుండి అభ్యర్థించిన GPS సమాచారాన్ని. 8% పరిచయాలు చదవడానికి. 4% పంపుతాయి, మరియు 3% SMS పొందింది. 2% ఆడియో రికార్డు. 1% అవుట్గోయింగ్ కాల్స్ ప్రాసెస్. నేను తెలియదు. నేను అనువర్తనం స్టోర్ లో Apps యొక్క 4% నిజంగా SMS టెక్స్ట్ సందేశాలను పంపడానికి అవసరం భావించడం లేదు నేను అవాంఛనీయ ఏదో జరుగుతుందో సూచనను అని. Apps యొక్క 8% మీ పరిచయాలను జాబితా చదవడానికి అవసరం. ఇది బహుశా అవసరమైన కాదు. అనుమతులు గురించి ఇతర ఆసక్తికరమైన విషయాలు ఒకటి మీ అప్లికేషన్ లోకి షేర్డ్ గ్రంథాలయాల్లో లింక్ ఆ అప్లికేషన్ యొక్క అనుమతులు వారసత్వంగా, మీ అనువర్తనం పరిచయం జాబితా అవసరం లేదా పని చేయడానికి GPS నగర అవసరం ఉంటే మరియు మీరు ఉదాహరణకు, ఒక ప్రకటన లైబ్రరీలో లింక్, ప్రకటన లైబ్రరీ కూడా పరిచయాలను ప్రాప్తి చేయగలరు మరియు GPS నగర యాక్సెస్ చేయగలదు, మరియు అనువర్తనం యొక్క డెవలపర్ ప్రకటన లైబ్రరీ అమలు చేసే కోడ్ గురించి ఏమీ తెలియదు. వారు వారి అనువర్తనం మోనటైజ్ కావలసిన ఎందుకంటే వారు ఆ లో లింక్ చేసిన. 

ఈ పేరు మరియు నేను ఈ కొన్ని ఉదాహరణలు మాట్లాడదాము పండోర అని ఒక అప్లికేషన్ పేరు ఒక అప్లికేషన్ డెవలపర్ తెలియకుండానే కారుట సమాచారం ఉండవచ్చు వారి వినియోగదారులు నుండి ఎందుకంటే వారు సైన్ లింక్ చేసిన లైబ్రరీలను అన్ని వివిధ Apps చూడటం, అక్కడ భూభాగం సర్వేయింగ్ హానికర లేదా చేయడం ఏదో వినియోగదారులు ఇష్టం లేదు వార్తలు లో నివేదించబడిన ఆపై చాలా పరిశీలించేందుకు యాప్స్ మేము, మొబైల్ అనువర్తనాలు స్థిర బైనరీ విశ్లేషణ చేస్తాను కాబట్టి మేము వాటిని తనిఖీ మరియు కోడ్ చూశారు చేసిన నాయనా మేము అనువర్తనాల్లో ప్రమాదకర ప్రవర్తన మా టాప్ 10 జాబితాలో పిలుస్తాము ముందుకు వచ్చారు. మరియు అది, 2 విభాగాలు, హానికరమైన కోడ్ లోకి విభజించవచ్చు కాబట్టి ఈ అనువర్తనాలను చేస్తూ ఉండవచ్చు ఆ చెడు విషయాలు అని ఒక ప్రమాదకర వ్యక్తి ఏదో రానున్నాయి ప్రత్యేకంగా అప్లికేషన్, కానీ కొద్దిగా గజిబిజి ఉంది ఉంది. ఇది, ఒక డెవలపర్ జరిమానా భావించిన ఏదో ఉంటుంది కానీ వినియోగదారు ద్వారా వంటి హానికరమైన యొక్క ఆలోచన ముగుస్తుంది. 

ఆపై రెండవ విభాగం మేము ప్రమాదాలను కోడింగ్ పిలుస్తాము, మరియు ఈ డెవలపర్ ప్రాథమికంగా తప్పులు చేయడం రాష్ట్రం విషయాలు లేదా కేవలం సురక్షితంగా అనువర్తనం రాయడానికి ఎలా అర్థం లేదు,  మరియు ఆ ప్రమాదం అనువర్తనం వినియోగదారు ఉంచడం. నేను అంశంలోనూ ద్వారా వెళ్ళి కొన్ని ఉదాహరణలు ఇవ్వాలని వెళుతున్న. సూచన కోసం, నేను OWASP మొబైల్ టాప్ 10 జాబితాలో ఇవ్వడానికి కావలెను. ఈ 10 సమస్యలు అని OWASP ఒక సమూహం, ఓపెన్ వెబ్ అనువర్తనంసెక్యూరిటీ ప్రాజెక్ట్, వారు ఒక కార్యవర్గం కలిగి ఒక మొబైల్ టాప్ 10 జాబితాలో పని. ఉన్నత 10 ఇవి చాలా ప్రసిద్ధ వెబ్ టాప్ 10 జాబితా, ఉన్నాయి riskiest విషయాలు మీరు ఒక వెబ్ అప్లికేషన్ లో కలిగి. వారు మొబైల్ కోసం ఇదే చేస్తున్నా, మరియు జాబితాలో మాది కంటే కొద్దిగా భిన్నంగా ఉంటుంది. 10 నుండి 6 ఒకటే. వారు వివిధ ఉన్నాయి 4 ఉంటాయి. నేను వారు వేరే టేక్ కొద్దిగా ఉన్నాయి అనుకుంటున్నాను మొబైల్ అనువర్తనాలు లో ప్రమాదం వారి సమస్యలను చాలా నిజంగా అప్లికేషన్ బ్యాక్ ఎండ్ సర్వర్ సంభాషించడం ఎలా లేదా ఏ బ్యాక్ ఎండ్ సర్వర్లో జరగబోతోంది, కేవలం సూటిగా క్లయింట్ అనువర్తనాలను అని ప్రమాదకర ప్రవర్తన కలిగి అని కాదు అనువర్తనాలు. 

ఇక్కడ ఎరుపు లో వాటిని 2 జాబితాలు మధ్య తేడాలు. మరియు నా పరిశోధనలో జట్టు కొన్ని వాస్తవానికి ఈ ప్రాజెక్టు దోహదపడింది, కాబట్టి మనం కాలక్రమంలో ఏమి చూస్తారు, కానీ నేను ఇక్కడ takeaway అనుకుంటున్నాను మేము నిజంగా టాప్ 10 జాబితాలో మొబైల్ అనువర్తనాలు లో ఏమి లేదు ఎందుకంటే వారు నిజంగా, ఇప్పుడు 2 లేదా 3 సంవత్సరాలు చుట్టూ చేసిన మరియు నిజంగా ఆపరేటింగ్ వ్యవస్థలు పరిశోధన తగినంత సమయం ఉండదు మరియు వారు సామర్థ్యం ఉన్నారు, మరియు తగినంత సమయం ఉండదు మీరు హానికరమైన కమ్యూనిటీ కోసం,, తగినంత సమయం ఖర్చు చేశారు మొబైల్ అనువర్తనాలు ద్వారా వినియోగదారులు దాడి ప్రయత్నిస్తున్న, కాబట్టి నేను ఈ జాబితాలు కొద్దిగా మార్చడానికి ఆశించే. కానీ ఇప్పుడు కోసం, ఈ గురించి ఆందోళన టాప్ 10 విషయాలు. మీరు మొబైల్ వైపు ఆశ్చర్యానికి ఉండవచ్చు పేరు చేస్తుంది హానికరమైన మొబైల్ కోడ్- ఎలా ఇది పరికరం లో పొందండి? నార్త్ కరోలినా స్టేట్ మొబైల్ మాల్వేర్ జీనోమ్ ప్రాజెక్ట్ అనే ప్రాజెక్ట్ను ఉంది వారు, వారు వంటి మొబైల్ మాల్వేర్ సేకరించి విశ్లేషించడం ఉన్నాయి మరియు వారు, మొబైల్ మాల్వేర్ ఉపయోగించే ఇంజక్షన్ వెక్టర్స్ విచ్ఛిన్నం చేసిన మరియు 86%, పరచుట అనే సాంకేతిక మరియు ఈ Android వేదిక మీద మాత్రమే ఉంది మీరు ఈ పరచుట చేయవచ్చు. 

కారణం Android కోడ్ తో నిర్మించబడింది ఉంది సులభంగా decompilable ఇది Dalvik అనే జావా బైట్ కోడ్. సర్వేజనా వ్యక్తి చేయవచ్చు ఉంది ఒక Android అనువర్తనం పడుతుంది, ఇది decompile, వారి హానికరమైన కోడ్ ఇన్సర్ట్, మళ్ళీ కంపైల్, మరియు ఆ అనువర్తనం క్రొత్త వెర్షన్ ఉద్దేశం అనువర్తనం స్టోర్ లో కనబరచింది, లేదా కేవలం ఉండవచ్చు అప్లికేషన్ యొక్క పేరు మార్చడం. ఇది ఆట యొక్క విధమైన ఉంది ఉంటే,, కొద్దిగా పేరు మార్చడానికి మరియు ఈ పరచుట మొబైల్ మాల్వేర్ 86% పంపిణీ అవుతుంది ఎలా ఉంది. మరొక పద్ధతి అని నవీకరణ ఉంది పరచుట కు సమానమైన, కానీ మీరు నిజంగా సైన్ హానికరమైన కోడ్ ఉంచవద్దు మీరు ఏమి మీరు ఒక చిన్న నవీకరణ విధానం ప్రవేశపెట్టింది. మీరు decompile, మీరు ఒక నవీకరణ విధానం ప్రవేశపెట్టింది, మరియు మీరు మళ్ళీ కంపైల్, ఆపై అప్లికేషన్ పరికరంలో మాల్వేర్ డౌన్ లాగుతుంది రన్ చేసినప్పుడు. 

ఇప్పటివరకు మెజారిటీ ఆ 2 పద్ధతులు ఉన్నాయి. మొబైల్ లో నిజంగా చాలా డౌన్ లోడ్ డ్రైవ్-bys లేదా డ్రైవ్ ద్వారా డౌన్, లేదు ఒక ఫిషింగ్ దాడి వంటి కావచ్చు ఇది. హే, ఇది నిజంగా చల్లని వెబ్సైట్ తనిఖీ, లేదా మీరు ఈ వెబ్ సైట్ వెళ్ళి, ఈ నింపేందుకు అవసరం ఏదో చేయడం నిరంతర ఉంచడానికి. ఆ దాడులు ఫిషింగ్ ఉంటాయి. ఇదే మొబైల్ వేదిక జరిగే వారు , డౌన్లోడ్ చెప్పడానికి ఒక మొబైల్ అనువర్తనం సూచించడానికి "హాయ్, ఈ బ్యాంక్ ఆఫ్ అమెరికా ఉంది." "మీరు ఈ అనువర్తనం ఉపయోగిస్తున్నట్లయితే చూడండి." "ఈ ఇతర అప్లికేషన్ డౌన్లోడ్ చేయాలి." సిద్ధాంతపరంగా, ఆ పని కాలేదు. బహుశా అది కేవలం, ఇది విజయవంతమైన లేదా నిర్ధారించడానికి తగినంత ఉపయోగించనట్లయితే కానీ అవి పద్ధతిని 1% కంటే తక్కువ ఉపయోగిస్తారు కనుగొన్నారు. ఎక్కువ సమయం ఇది నిజంగా ఒక కొత్త రూపంలో కోడ్ ఉంది. 

మరొక వర్గం అనే స్వతంత్ర ఉంది ఎవరైనా కేవలం ఒక బ్రాండ్ కొత్త అప్లికేషన్ రూపొందించారు పేరు. వారు ఏదో వ్రాశాడు అనువర్తనాన్ని తయారు. ఇది ఏదో ఒక పరచుట కాదు, మరియు ఆ హానికరమైన కోడ్ ఉంది. ఆ సమయం 14% ఉపయోగిస్తారు. ఇప్పుడు నేను హానికరమైన కోడ్ ఏమి గురించి చర్చ అనుకుంటున్నారా? అక్కడ మొదటి మాల్వేర్ ఒక మీరు ఒక స్పైవేర్ పరిగణించవచ్చు. ఇది ప్రాథమికంగా యూజర్ న గూఢచారులు. ఇది ఇమెయిళ్ళు, SMS సందేశాలను సేకరిస్తుంది. ఇది మైక్రోఫోన్ మారుతుంది. ఇది పరిచయం పుస్తకం పంటలు, మరియు అది మరొకరికి పంపివేస్తాడు. స్పైవేర్ ఈ రకమైన PC లో ఉంది, ప్రజలు మొబైల్ పరికరాల్లో దీన్ని ప్రయత్నించండి కోసం కాబట్టి ఇది ఖచ్చితమైన అర్థవంతంగా ఉంటుంది. 

ఈ మొదటి ఉదాహరణ ఒక సీక్రెట్ SMS రెప్లికేటర్ అనే కార్యక్రమం. ఇది, కొన్ని సంవత్సరాల క్రితం Android Marketplace లో ఉంది మీరు ఒకరి Android ఫోన్ ప్రవేశం ఉంది ఉంటే మరియు ఆలోచన మీరు గూఢచర్యం అనుకున్నారు కాబట్టి ఉండవచ్చు మీ జీవిత భాగస్వామి అని లేదా మీ ఇతర ముఖ్యమైన మరియు మీరు వారి టెక్స్ట్ సందేశ గూఢచర్యం కావలసిన, మీరు ఈ అనువర్తనం ఇన్స్టాల్ మరియు ఆకృతీకరించుటకు కాలేదు ప్రతిని మీకు ఒక SMS టెక్స్ట్ సందేశం పంపడానికి ప్రతి SMS టెక్స్ట్ సందేశం యొక్క వారు వచ్చింది. ఈ సహజంగా, సేవ యొక్క అనువర్తనం స్టోర్ పదాల ఉల్లంఘనలకు ఉంది మరియు ఈ, అది అక్కడ ఉండి 18 గంటల్లో Android Marketplace నుండి తొలగించారు కాబట్టి ప్రజల అతి తక్కువ సంఖ్యలో ఈ కారణంగా ముప్పు. ఇప్పుడు, నేను కార్యక్రమం ఏదో ఉండవచ్చు కొద్దిగా తక్కువ రెచ్చగొట్టే అని పిలిచేవారు ఉంటే సీక్రెట్ SMS రెప్లికేటర్ లాగా బహుశా చాలా బాగా పని చేస్తుంది. కానీ రకమైన స్పష్టమైనది. 

యూజర్స్ మనం అనుకుంటున్న ప్రవర్తనతో ఉంటే గుర్తించడానికి చేయవచ్చు విషయాలు ఒకటి కోడ్ తనిఖీ ఉంది. ఈ నిజానికి యూజర్స్ decompile ఎందుకంటే Android న చేయడానికి నిజంగా సులభం. IOS న మీరు IDA ప్రో వంటి disassembler ఉపయోగించవచ్చు అనువర్తనం కాల్ మరియు దానిని ఏమి API లు ఏమి చూడండి. మేము మా కోడ్ కోసం మా సొంత బైనరీ స్టాటిక్ విశ్లేషణా రాశారు మరియు మేము దీన్ని, మరియు మీరు ఏమి మీరు చెప్పగల్గినవి ఉంది పరికరం ప్రాథమికంగా నాకు గూఢచర్యం లేదా నాకు ట్రాకింగ్ అని ఏదైనా చేస్తుంది? నేను ఇక్కడ ఐఫోన్ కొన్ని ఉదాహరణలు ఉన్నాయి. ఈ మొదటి ఉదాహరణ ఫోన్ లో UUID యాక్సెస్ ఎలా ఉంది. ఈ నిజానికి ఆపిల్ కేవలం కొత్త అనువర్తనాలను నిషేధించారు ఉంది ఆ విషయం, కానీ మీరు మీ ఫోన్ నడుస్తున్న ఉండవచ్చని పాత అప్లికేషన్లు ఇప్పటికీ చేయవచ్చు, అందువలన, ప్రత్యేక ఐడెంటిఫైయర్ మీరు ట్రాక్ ఉపయోగించవచ్చు అనేక అనువర్తనాల్లో. 

Android న నేను ఇక్కడ పరికర స్థానాన్ని పొందడానికి ఒక ఉదాహరణ ఉందా. మీరు, ఆ API కాల్ ఉంది ఉంటే ఆ అనువర్తనం ట్రాక్ చేస్తోంది చూడగలరు మరియు మీరు జరిమానా నగర లేదా ముతక నగర సంతరించుకోనుంది లేదో చూడగలరు. మరియు ఇక్కడ అడుగున, నేను బ్లాక్బెర్రీలో ఎలా ఒక ఉదాహరణ కలిగి ఒక అనువర్తనం మీ ఇన్బాక్స్లో ఇమెయిల్ను సందేశాలను ఉండవచ్చు. ఈ మీరు చూడటానికి తనిఖీ చేయవచ్చు విషయాలు రకం ఉన్నాయి అనువర్తనం ఆ పనులను ఉంటే. రెండవ పెద్ద హానికరమైన ప్రవర్తన వర్గం, మరియు ఈ ఇప్పుడు బహుశా అతిపెద్ద వర్గం, ఉంది అనధికార డయలింగ్, అనధికార ఉన్నత SMS టెక్స్ట్ సందేశాలను లేదా అనధికారిక చెల్లింపులు. ఫోన్ గురించి ఏకైక మరొక విషయం పరికరం ఒక బిల్లింగ్ ఖాతాకు కట్టిపడేశాయి ఉంది, మరియు కార్యకలాపాలు ఫోన్ లో జరిగే సమయంలో ఇది ఆరోపణలు సృష్టించవచ్చు. మీరు ఫోన్ విషయాలు కొనుగోలు చేయవచ్చు, మీరు ఒక ప్రీమియం SMS టెక్స్ట్ సందేశం పంపండి మరియు మీరు నిజంగా డబ్బు ఇవ్వడం చేస్తున్నారు ఇతర వైపు ఫోన్ నంబర్ యొక్క ఖాతాదారుకు. ఈ స్టాక్ కోట్లను పొందడానికి లేదా మీ రోజువారీ జాతకం లేదా ఇతర విషయాలు పొందడానికి స్థాపించబడినవి కానీ వారు ఒక SMS టెక్స్ట్ పంపడం ద్వారా ఒక ఉత్పత్తి ఆజ్ఞాపించాలని అమర్చవచ్చు. ప్రజలు ఒక వచన సందేశాన్ని రెడ్ క్రాస్ డబ్బు ఇవ్వడం. మీరు $ 10 ఆ విధంగా ఇస్తుంది. 

వారు చేసిన ఏ దాడి, వారు ఏర్పాటు ఉంది విదేశీ దేశాలలో ఖాతాల, మరియు వారు మాల్వేర్ పొందుపరచడానికి ఫోన్ ఒక ప్రీమియం SMS టెక్స్ట్ సందేశం పంపుతుంది, కొన్ని సార్లు ఒక రోజు, మరియు మీరు ఖర్చు చేసిన మీరు గ్రహించడం నెల చివరిలో, చెప్పటానికి పదుల లేదా ఉండవచ్చు డాలర్ల కూడా వందల, మరియు వారు డబ్బు దూరంగా నడిచి. ఈ మొదటి విషయం ఉంది కాబట్టి చెడు వచ్చింది Android మార్కెట్ లేదా Google స్థానంలో అది, సమయంలో Android Marketplace ఉంది మరియు Google ప్లే-Google కోసం తనిఖీ ప్రారంభించారు మొదటి విషయం ఇప్పుడు. Google వారి అనువర్తనం స్టోర్ లో Android Apps పంపిణీ మొదలు వారు ఏదైనా తనిఖీ ఉండదని తెలిపారు. మేము వారు మా సేవా నిబంధనలను విభజించవచ్చు చేసిన తెలుపబడెను చేసిన తర్వాత అనువర్తనాలు తీసి చేస్తాము, కానీ మేము ఏదైనా తనిఖీ వెళ్ళి లేదు. బాగా, గురించి ఒక సంవత్సరం క్రితం ఈ చేసుకోండి SMS టెక్స్ట్ సందేశం మాల్వేర్ దిగజారింది ఈ వారు కోసం తనిఖీ ప్రారంభించారు మొదటి విషయం అని. ఒక అనువర్తనం SMS టెక్స్ట్ సందేశాలను పంపే ఉంటే వారు మరింత మానవీయంగా అప్లికేషన్ పరీక్షించబడతారు. వారు ఈ కాల్ API లు కోసం చూడండి, మరియు ఇప్పుడు అప్పటి నుండి Google విస్తరించింది, కానీ వారు కోసం ప్రారంభించిన మొదటి విషయం. 

కొన్ని SMS టెక్స్ట్ సందేశాలను అని కొన్ని ఇతర అనువర్తనాలు, ఈ Android Qicsomos, నేను అని అంచనా. ఈ CarrierIQ బయటకు వచ్చిన మొబైల్ లో ఈ ప్రస్తుత ఈవెంట్ ఉంది వంటి స్పైవేర్, వాహకాలు ద్వారా పరికరం మీద పెట్టి కాబట్టి ప్రజలు, వారి ఫోన్ ఈ అవకాశం నాకు ఉంటే తెలుసుకోవాలనుకున్నాడు మరియు ఈ అని పరీక్షలు ఒక ఉచిత అప్లికేషన్ ఉంది. బాగా, వాస్తవానికి, ఈ అనువర్తనం చేశాడు, ఇది ఉన్నత SMS టెక్స్ట్ సందేశాలను పంపారు ఉంది కాబట్టి మీరు స్పైవేర్ చేస్తున్నారు లేదో పరీక్ష ద్వారా మీరు మీ పరికరంలో మాల్వేర్ లోడ్. మేము ఇదే గత సూపర్ బౌల్ వద్ద జరిగే చూసింది. మాడెన్ ఫుట్బాల్ ఆట ఒక బూటకపు వెర్షన్ ఉంది ప్రీమియం SMS టెక్స్ట్ సందేశాలను పంపారు. ఇది నిజానికి పరికరంలో చాలా ఒక బాట్ నెట్వర్క్ సృష్టించడానికి ప్రయత్నించారు. ఇక్కడ నేను కొన్ని ఉదాహరణలు ఉన్నాయి. తగినంత ఆసక్తి, ఆపిల్, అందంగా స్మార్ట్ ఉంది వారు అనువర్తనాలను అన్ని వద్ద SMS టెక్స్ట్ సందేశాలను పంపడానికి అనుమతించము. ఏ అనువర్తన దీన్ని చెయ్యవచ్చు. బలహీనతని మొత్తం తరగతి తొలగిస్తున్నాము ఒక గొప్ప మార్గం, కానీ Android న మీరు దీన్ని చెయ్యవచ్చు, మరియు కోర్సు యొక్క, బ్లాక్బెర్రీ మీరు చాలా చేయవచ్చు. ఇది బ్లాక్బెర్రీలో మీరు ఇంటర్నెట్ అనుమతులు అని ఆసక్తికరమైన అనిపిస్తుంది ఒక SMS టెక్స్ట్ సందేశం పంపడానికి. 

మేము కోసం చూడండి నిజంగా ఇతర విషయం ఏదో హానికరమైన ఉంటే చూడటానికి చూస్తు ఏ రకమైన ఉంది అనధికార కార్యక్రమాలు, వంటి కార్యక్రమాలు చూడండి అనువర్తనం దాని కార్యాచరణ కలిగి కోరుకుంటున్నాము, మరియు ఈ ఇతర కార్యక్రమాలు చూడండి. బహుశా పని అనువర్తనం, HTTP డేటాను పొందడానికి ఉంది, కానీ ఇమెయిల్ లేదా SMS లేదా Bluetooth లేదా అలాంటిదే పనులు ఉంటే ఇప్పుడు ఆ అనువర్తనం సమర్థవంతంగా హానికరమైన కావచ్చు, ఈ మీరు కోసం తనిఖీ మరొక విషయం. మరియు ఇక్కడ ఈ స్లయిడ్ పై నేను కొన్ని ఉదాహరణలు ఉన్నాయి. మేము మాల్వేర్ చూసింది మరో ఆసక్తికరమైన విషయం 2009 లో తిరిగి జరిగిన మరియు అది ఒక పెద్ద విధంగా జరిగింది. అప్పటినుండి అది చాలా జరిగిందని ఉంటే నాకు తెలీదు, కానీ ఒక అనువర్తనం ఉంది మరో అప్లికేషన్ ప్రతిరూపంగా. , ఉన్నాయి apps సమితి, ఇది 09Droid దాడి గా మరియు ఎవరైనా చిన్న, ప్రాంతీయ, మధ్యతరహా బ్యాంకులు చాలా ఉన్నాయి నిర్ణయించుకుంది ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్లు లేదు, కాబట్టి వాళ్ళు ఏమి వారు 50 ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్లు నిర్మించిన వాళ్లు అన్ని యూజర్ పేరు మరియు పాస్వర్డ్ పడుతుంది అని మరియు వెబ్సైట్ మళ్లించేవరకు. కాబట్టి వారు Google Marketplace లో ఈ అన్ని జారీ, Android Marketplace లో మరియు ఎవరైనా శోధించినప్పుడు చూడడానికి వారి బ్యాంకు , వారు బోగస్ అప్లికేషన్ కనుగొంటుంది ఒక అప్లికేషన్ కలిగి వారి ఆధారాలను సేకరించి తరువాత వారి వెబ్సైట్లో వాటిని మళ్ళించబడింది ఇది. ఈ నిజానికి ఆ విధంగా మారింది అనువర్తనాలు, కొన్ని వారాలు ఉన్నాయి మరియు డౌన్ వేలాదిమంది ఉన్నాయి. 

ఈ వెలుగులోకి వచ్చింది మార్గం ఎవరైనా సమస్య కలిగి ఉంది అనువర్తనాల్లో ఒకటి, మరియు వారు వారి బ్యాంకు అని, తో మరియు వారు వారి బ్యాంకు యొక్క కస్టమర్ మద్దతు లైన్ పిలిచి, "నేను మీ మొబైల్ బ్యాంకింగ్ అప్లికేషన్ తో ఒక సమస్య వెబ్." "మీరు నాకు సహాయం చేయవచ్చు?" మరియు వారు "మేము ఒక మొబైల్ బ్యాంకింగ్ అప్లికేషన్ లేదు.", అన్నారు ఆ విచారణను ప్రారంభించింది. , బ్యాంక్ Google అని పిలుస్తారు మరియు Google కొనేమనిషి "వావ్, అదే రచయిత, 50 బ్యాంకు అప్లికేషన్లు వ్రాశారు" మరియు వాటిని అన్ని డౌన్ పట్టింది. కానీ ఖచ్చితంగా మళ్ళీ జరిగి. అన్ని వివిధ బ్యాంకుల జాబితా ఇక్కడ ఉంది ఈ స్కామ్ భాగంగా ఉన్నాయి. ఒక అనువర్తనం ఏమి ఇతర విషయం మరొక అప్లికేషన్ యొక్క UI ఉంది. అది నడుస్తున్న లో ఉన్నప్పుడు ఇది Facebook UI అప్ పాప్. మీరు కొనసాగించడానికి మీ యూజర్ పేరు మరియు పాస్వర్డ్ ఉంటుంది చెప్పారు లేదా ఒక వెబ్సైట్ కోసం ఏ యూజర్ పేరు మరియు పాస్వర్డ్ UI జారీ బహుశా వినియోగదారు యూజర్ మోసపూరిత ప్రయత్నించండి కేవలం ఉపయోగించే సైన్ వారి ఆధారాలను ఉంచడం ఈ నిజంగా ఇమెయిల్ ఫిషింగ్ దాడులు నేరుగా, సమాంతరంగా ఉంది ఎవరైనా మీరు ఒక ఇమెయిల్ సందేశాన్ని పంపుతుంది ఇక్కడ మరియు మీరు ఒక వెబ్ సైట్ కోసం ప్రాథమికంగా ఒక నకిలీ UI ఇస్తుంది మీరు ప్రాప్తి ఆ. 

మేము హానికరమైన కోడ్ లో చూడండి ఇతర విషయం వ్యవస్థ మార్పు. మీరు రూట్ హక్కు అవసరమయ్యే అన్ని API కాల్స్ కోసం చూడవచ్చు సరిగ్గా అమలు. పరికరం యొక్క వెబ్ ప్రాక్సీ మార్చడం ఒక అనువర్తనం ఏదో ఉంటుంది చేస్తామని ఉండకూడదు. కానీ అప్లికేషన్ అలా అక్కడ కోడ్ కలిగి ఉంటే మీరు బహుశా ఒక హానికరమైన అనువర్తనం తెలుసు లేదా బాగా ఒక హానికరమైన అనువర్తనం అవకాశం, అందువలన జరుగుతుంది అనువర్తనం హక్కు పెంపొందించడం విధంగా ఉన్నాయి అని ఉంది. ఇది కొన్ని అధికార వృద్ధిని దోపిడీ వుంటుంది ఇది అధికారాలను తీసినది అప్లికేషన్ లో, మరియు తరువాత ఒకసారి ఈ వ్యవస్థ మార్పులు చేయరు. మీరు అధికార వృద్ధిని కలిగి మాల్వేర్ వెదుక్కోవచ్చు అది కూడా ఎలా అధికార వృద్ధిని తెలియకుండా దోపిడీ జరిగే, మరియు ఒక nice, సులభమైన మార్గం మాల్వేర్ కోసం చూడండి. DroidDream బహుశా Android మాల్వేర్ అత్యంత ప్రసిద్ధ భాగం. నేను కొన్ని రోజుల పాటు 2,50,000 వినియోగదారులు ప్రభావితం అనుకుంటున్నాను ఇది కనుగొనబడింది ముందు. వారు 50 బోగస్ అప్లికేషన్లు తిరిగి ప్యాకింగ్, Android అనువర్తనం స్టోర్ వాటిని చాలు, మరియు ముఖ్యంగా అధికారాలను దిగారు Android jailbreak కోడ్ ఉపయోగిస్తారు ఆపై ఒక కమాండ్ ఇన్స్టాల్ మరియు అన్ని బాధితులను నియంత్రించడానికి శాంసన్ ఒక బాట్ నికర, కానీ మీరు ఈ కనుగొన్నాము కాలేదు మీరు అప్లికేషన్ స్కానింగ్ మరియు కేవలం వెతుకుతున్న ఉంటే API అవసరం రూట్ అనుమతి సరిగ్గా అమలు అని పిలుస్తుంది. 

నేను ప్రాక్సీ మారుతున్న ఇది కలిగి ఇక్కడ ఒక ఉదాహరణ ఉంది, మరియు ఈ నిజంగా Android లో మాత్రమే అందుబాటులో ఉంది. మీరు నేను మీరు Android న ఉదాహరణలు చాలా ఇవ్వడం వెబ్ చూడగలరు అత్యంత చురుకైన మాల్వేర్ ఎకోసిస్టమ్ వుంటాయి హానికరమైన కోడ్ ను దాడి కోసం నిజంగా సులభం ఎందుకంటే Android Marketplace లోకి. అది Apple App స్టోర్ లో అలా చాలా సులభం కాదు ఆపిల్ తమను తాము డెవలపర్లు అవసరం ఎందుకంటే మరియు కోడ్ సైన్. వారు నిజానికి మీరు ఎవరు తనిఖీ, మరియు ఆపిల్ నిజానికి అప్లికేషన్లు scrutinizing ఉంది. మేము పరికర రాజీ పడకుండా రాష్ట్రం నిజమైన మాల్వేర్ చాలా చూడలేదు. నేను, అది నిజంగా రాజీ సంతరించుకోనుంది గోప్యతా వార్తలు కొన్ని ఉదాహరణలు గురించి చర్చ ఉంటుంది మరియు ఆ నిజంగా ఆపిల్ పరికరంలో ఏం ఉంది. హానికరమైన కోడ్ కు ఇంకొక విషయం, పరికరాల్లో ప్రమాదకర కోడ్ తర్కం లేదా సమయం బాంబులు, మరియు సమయం బాంబులు బహుశా సులభంగా తర్కం బాంబులు కంటే కోసం చూడండి. కానీ సమయం బాంబులు తో, మీరు చెయ్యగలరు మీరు కోసం చూడవచ్చు ఉంది సమయం పరీక్ష కోడ్ లేదా ఒక సంపూర్ణ సమయం స్థలాల కోసం చూసారు అనువర్తనంలో నిర్దిష్ట కార్యాచరణ జరుగుతుంది ముందు. మరియు ఈ, యూజర్ నుండి కార్యాచరణని దాచడానికి చేయవచ్చు కాబట్టి ఇది అర్థరాత్రి జరుగుతున్నది. DroidDream 11 PM మరియు 8 AM స్థానిక సమయం మధ్య అన్ని దాని సూచించే చేసింది యూజర్ వారి పరికరం ఉపయోగించి కాకపోవచ్చు సమయంలో దీన్ని ప్రయత్నించండి. ప్రజలు అనువర్తన ప్రవర్తనా విశ్లేషణ ఉపయోగించి ఉంటే 

దీన్ని మరో కారణం, , అనువర్తనం యొక్క ప్రవర్తనను చూడటానికి ఒక sandbox లో అనువర్తనం అమలు వారు సూచించే చేయడానికి సమయం ఆధారిత తర్కం ఉపయోగించవచ్చు అనువర్తనం sandbox లో లేనప్పుడు. ఆపిల్ వంటి ఉదాహరణకు, అనువర్తనం స్టోర్ అప్లికేషన్ నడుస్తుంది, కానీ వారు బహుశా, సే, 30 రోజులు ప్రతి అప్లికేషన్ రన్ లేదు ఇది ఆమోదించే పూర్వం, కాబట్టి మీరు ఉంచవచ్చు సరే, మాత్రమే చెడు పనిని, అని మీ అప్లికేషన్ లో తర్కం 30 రోజులు, అప్లికేషన్ ప్రచురణ తేదీ తర్వాత 30 రోజుల ద్వారా లేదా తర్వాత పోయింది తర్వాత మరియు ఇది పరిశీలించేందుకు ప్రజలు నుండి హానికరమైన కోడ్ దాచు సహాయపడుతుంది. వ్యతిరేక వైరస్ కంపెనీలు sandboxes లో విషయాలు నడుస్తున్న ఉంటే లేదా అప్లికేషన్ స్టోర్లు తమను ఈ సహాయపడుతుంది ఉంటాయి ఆ తనిఖీ నుండి ఆ దాచడానికి. ఇప్పుడు, ఆ యొక్క ఫ్లిప్ సైడ్, తిన్నని విశ్లేషణ కనుగొనేందుకు సులభం ఉంది కాబట్టి నిజానికి మీరు అన్ని ప్రదేశాలలో కోసం చూడండి కోడ్ పరిశీలించేందుకు అప్లికేషన్ సమయం పరీక్షలు మరియు ఆ విధంగా తనిఖీ పేరు. మరియు ఇక్కడ నేను ఈ 3 వివిధ వేదికలపై కొన్ని ఉదాహరణలు ఉన్నాయి సమయం అనువర్తనం maker ద్వారా తనిఖీ ఎలా కాబట్టి మీరు గణాంకపరంగా అనువర్తనం పరిశీలించేందుకు చేస్తుంటే కోసం చూడండి ఏమి. 

నేను వివిధ హానికరమైన కార్యకలాపాలు యొక్క మొత్తం బంచ్ సాగింది మనం అటవీ చూసిన, కానీ ఏవో చాలా ప్రబలంగా? నార్త్ కరోలినా స్టేట్ మొబైల్ జీనోమ్ ప్రాజెక్టు నుండి అదే అధ్యయనం కొన్ని డేటా ప్రచురించారు మరియు 4 ప్రాంతాల్లో ప్రాథమికంగా ఉన్నాయి సూచించే చాలా అక్కడ వారు చూసిన. అనువర్తనాలు 37%, అధికార వృద్ధిని చేశాడు కాబట్టి వారు అక్కడ jailbreak కోడ్ కొన్ని రకం కలిగి వారు అధికారాలను దిగారు ప్రయత్నించారు పేరు భావించారు కాబట్టి API ఆదేశాలను ఆపరేటింగ్ సిస్టమ్ వంటి పరుగు. అనువర్తనాల 45% అక్కడ, ఉన్నత SMS చేశాడు కాబట్టి నేరుగా మోనటైజ్ ప్రయత్నిస్తున్నారు ఆ భారీ శాతం ఉంది. 93% రిమోట్ కంట్రోల్, అందువలన వారు ఒక బాట్ నికర, ఒక మొబైల్ బోట్ నికర ఏర్పాటు ప్రయత్నించారు. మరియు 45% సమాచారాన్ని గానీ ఫోన్ నంబర్లు, UUID లను, GPS నగర, యూజర్ ఖాతాల, వంటి చాలా మాల్వేర్ ఈ విషయాలు కొన్ని చేయడానికి ప్రయత్నించారు ఎందుకంటే ఈ కంటే ఎక్కువ 100 వరకు జతచేస్తుంది. 

నేను రెండవ సగం మారడం మరియు కోడ్ ప్రమాదాలను గురించి చర్చ వెళుతున్న. ఈ ప్రమాదకర సూచించే రెండవ సగం ఉంటుంది. డెవలపర్ లోపాలు మేకింగ్ రాష్ట్రం ముఖ్యంగా ఈ. న్యాయమైన అనువర్తనం రచన చట్టబద్ధమైన డెవలపర్ లోపాలు మేకింగ్ లేదా మొబైల్ వేదిక నష్టాలను తెలివితక్కువగా. వారు కేవలం సురక్షిత మొబైల్ అనువర్తనం చేయడానికి ఎలా తెలియదు, లేదా కొన్నిసార్లు డెవలపర్ ప్రమాదం యూజర్ ఉంచడం గురించి పట్టించుకోరు. కొన్నిసార్లు వారి వ్యాపార నమూనా భాగంగా ఉండవచ్చు వినియోగదారు యొక్క వ్యక్తిగత సమాచారాన్ని సాగు. ఇతర వర్గం యొక్క విధమైన ఉంది, మరియు ఆ ఎందుకు ఈ హానికరమైన కొన్ని అభిప్రాయాలకు తేడా ఉంది ఎందుకంటే చట్టబద్ధమైన మొదలవుతుంది వర్సెస్ పైగా రక్తసిక్తం యూజర్ ఏ కావాలని యూజర్ ఏ ప్రమాదకర భావించింది మధ్య మరియు అప్లికేషన్ డెవలపర్ ప్రమాదకర భావించింది. అయితే, చాలా సందర్భాలలో అప్లికేషన్ డెవలపర్ యొక్క డేటా కాదు. 

మరియు తర్వాత చివరకు, ఈ జరుగుతుంది మరొక మార్గం ఒక డెవలపర్ లో లింక్ ఉండవచ్చు ఉంది ఇది దుర్బలత్వం లేదా ఈ ప్రమాదకర ప్రవర్తన కలిగి దగ్గరగా వారికి తెలియకుండా. మొదటి వర్గం సున్నితమైన డేటా లీకేజ్ ఉంది, అనువర్తనం సమాచారం సేకరిస్తుంది మరియు ఈ ఉంది నగర, చిరునామా పుస్తకం సమాచారం, యజమాని వంటి మరియు పరికరం ఆఫ్ అని పంపుతుంది. మరియు అది పరికరం ఆఫ్ అయినప్పుడు, మేము ఆ సమాచారాన్ని తో ఏం తెలియదు. ఇది అప్లికేషన్ డెవలపర్ ద్వారా insecurely నిల్వ చేయాలి. మేము అప్లికేషన్ డెవలపర్లు కాంప్రమైజ్ చూసిన, మరియు వారు నిల్వ చేస్తున్న డేటా పొందే. ఈ ఫ్లోరిడా లో డౌన్ ఒక డెవలపర్కు కొన్ని నెలల క్రితం జరిగింది ఆఫ్ ఇది ఒక భారీ సంఖ్యలో ఐప్యాడ్ UUID లను మరియు పరికర నామములను అక్కడ ఎవరైనా, నేను అనామక భావిస్తున్నాను ఎందుకంటే, గుప్పుమన్నాయి దీన్ని పేర్కొన్నారు, ఈ డెవలపర్ యొక్క సర్వర్లు ప్రవేశించింది మరియు ఐప్యాడ్ UUID లను మిలియన్ల దొంగిలించారు మరియు కంప్యూటర్ పేర్లు. అత్యంత ప్రమాదకర సమాచారం, కానీ ఆ ఉంటే యూజర్ పేర్లు మరియు పాస్వర్డ్లను నిల్వ ఉంది మరియు ఇంటి చిరునామాలు? మానసికంగా నిల్వ అనువర్తనాలను ఎన్నో ఉన్నాయి. ప్రమాదం ఉంది. డెవలపర్ సంరక్షణ తీసుకోనప్పుడు 

జరుగుతుంది ఇతర విషయం డేటా ఛానల్ సురక్షిత, మరియు నేను గురించి చర్చ వెళుతున్న మరొక పెద్ద దాడిని వార్తలు, డేటా స్పష్టమైన లో పంపబడింది. వినియోగదారుకు పబ్లిక్ Wi-Fi నెట్వర్క్లో ఉంటే లేదా ఎవరైనా ఎక్కడో ఇంటర్నెట్ sniffing ఉంది మార్గం వెంట ఆ డేటాను లోనయ్యే ఉంది. ఈ సమాచారం లీకేజ్ ఒకటి చాలా ప్రసిద్ధ కేసు పండోర తో జరిగింది, మరియు ఈ మేము Veracode వద్ద పరిశోధన విషయం. మేము ఒక-నేను ఒక ఫెడరల్ ట్రేడ్ కమిషన్ భావించాను ఉందని విని పండోర తో జరగబోతోంది విచారణ. మేము "అక్కడ జరగబోతోంది? యొక్క పండోర అప్లికేషన్ లోకి త్రవ్వడం మొదలు లెట్.", అన్నారు మరియు మేము గుర్తిస్తారు సేకరించిన పండోర అనువర్తనం మీ లింగ మరియు మీ వయసు, మరియు అది కూడా మీ GPS నగర మరియు పండోర అప్లికేషన్ ఆక్సెస్ వారు చట్టబద్దమైన కారణాల అని దానికి చేసింది. వారు ప్లే-పండోర చేసిన సంగీతం ఒక మ్యూజిక్ స్ట్రీమింగ్ అప్లికేషన్-ఉంది వారు ఆడారు సంగీతం యునైటెడ్ స్టేట్స్ లో లైసెన్స్, కాబట్టి అవి ఉందని వారి లైసెన్స్ ఒప్పందాలు లోబడి తనిఖీ వచ్చింది యూజర్ యునైటెడ్ స్టేట్స్ లో అని సంగీతం కోసం. వారు కూడా తల్లిదండ్రుల సలహా లోబడి కోరుకున్నారు సంగీతం చుట్టూ వయోజన భాష, మరియు కనుక ఇది ఒక స్వచ్ఛంద కార్యక్రమం, కానీ వారు లోబడి కోరుకున్నారు మరియు పిల్లలు 13 మరియు కి స్పష్టమైన సాహిత్యం ప్లే కాదు. 

వారు ఈ డేటాను సేకరించడం కోసం చట్టబద్ధమైన కారణాల. వారి అనువర్తనం దీన్ని అనుమతులు కలిగి. వినియోగదారులు ఈ చట్టబద్ధమైన భావించారు. కానీ ఏమి జరిగింది? వారు 3 లేదా 4 వివిధ ప్రకటన గ్రంథాలయాల్లో లింక్. ఇప్పుడు అకస్మాత్తుగా ఈ ప్రకటన లైబ్రరీలను అన్ని ఈ అదే సమాచారాన్ని ప్రాప్తి పొందడానికి. ప్రకటన గ్రంథాలయాలు, మీరు ప్రకటనను గ్రంథాలయాల్లో కోడ్ చూస్తే వారు ఎటువంటి ప్రతి ప్రకటన లైబ్రరీ చెప్పారు ఉంది "నా అనువర్తనం GPS నగర పొందడానికి అనుమతి లేదు?" "ఓహ్, ఇది? సరే, నాకు GPS నగర మనకేమి." ప్రతి పాట ప్రకటన లైబ్రరీ ఆ చేస్తుంది, మరియు అనువర్తనం GPS అనుమతి లేదు ఉంటే అది పొందుటకు చేయలేరు, కానీ అది ఉంటే, అది పొందుతారు. ఈ ప్రకటన లైబ్రరీలను పేరు వ్యాపార నమూనా యూజర్ యొక్క గోప్యతా వ్యతిరేకించింది. మరియు మీరు వయస్సు తెలిస్తే చెబుతాను అక్కడ అధ్యయనాలు ఉన్నాయి ఒక వ్యక్తి యొక్క మరియు వారి నగర తెలుసు మీరు వారి GPS అక్షాంశాలు ఎందుకంటే వారు, రాత్రి నిద్ర పేరు వారు బహుశా నిద్ర అయితే, మీరు ఆ వ్యక్తి ఎవరు సరిగ్గా తెలుసు మీరు ఆ గృహ సభ్యుడు వ్యక్తి గుర్తించగలదు ఎందుకంటే. నిజంగా ఈ ప్రకటనకర్తలకు గుర్తించడం ఉంది ఖచ్చితంగా మీరు మరియు అది చట్టబద్ధమైన లాగా కనిపిస్తోంది. నేను నా స్ట్రీమింగ్ సంగీతం, మరియు ఇది పొందడానికి మాత్రమే మార్గం. 

సరే, మేము ఈ బహిర్గతం. మేము అనేక బ్లాగ్లో ఈ అప్ రాశారు, మరియు అది ముగిసిన అని రోలింగ్ స్టోన్ పత్రిక నుండి ఎవరైనా మా బ్లాగు పోస్ట్ ఒకటి చదివి దాని గురించి రోలింగ్ స్టోన్ వారి సొంత బ్లాగ్ రాశారు, మరియు చాలా తరువాత రోజు పండోర ఇది ఒక మంచి ఆలోచన భావించారు వారి అప్లికేషన్ నుండి ప్రకటన గ్రంధాలయాలు తొలగించడానికి. చాలా నేను తెలిసిన వారు మాత్రమే వారు ఆ ఉండాలి ఉన్నారు. నేను వారు ఈ చేశానని అనువర్తనం మాత్రమే ఫ్రీమియం రకం భావిస్తున్నాను. అన్ని ఇతర ఫ్రీమియం అనువర్తనాలు ఈ అదే ప్రవర్తన కలిగి, కాబట్టి మీరు ఇవ్వడం సిద్ధపడినా ఏ విధమైన గురించి ఆలోచించడానికి పొందారు ఇది ప్రకటనలు చేస్తాడు ఈ ఫ్రీమియం అప్లికేషన్లు ఎందుకంటే. Praetorian కూడా భాగస్వామ్యం లైబ్రరీలను గురించి ఒక అధ్యయనం చేశారు మరియు చెప్పారు, ", లైబ్రరీల టాప్ షేర్డ్ లైబ్రరీలను ఉంటాయి షేర్డ్ చూద్దాం" మరియు ఈ డేటాను ఉంది. 

వారు 53,000 అనువర్తనాలు విశ్లేషించారు, మరియు సంఖ్య 1 షేర్డ్ లైబ్రరీ AdMob ఉంది. ఇది, అక్కడ అప్లికేషన్లు 38% నిజానికి ఉంది మీరు ఉపయోగించే అప్లికేషన్లు కాబట్టి 38% అవకాశం మీ వ్యక్తిగత సమాచారాన్ని సాగు చేస్తారు మరియు ప్రకటన నెట్వర్క్ల పంపడానికి. Apache మరియు Android 8% మరియు 6%, ఆపై దిగువ, Google ప్రకటనలు, ఫ్లురీ ఈ ఇతర వాటిని డౌన్, మోబ్ సిటీ మరియు వెయ్యేళ్ళ మీడియా, ఈ, అప్పుడు, తగినంత ఆసక్తి అన్ని ప్రకటన కంపెనీలు ఉన్నాయి, మరియు 4% Facebook లైబ్రరీలో లింక్ బహుశా Facebook ద్వారా ధృవీకరణ చేయడానికి అనువర్తనం ఫేస్బుక్ ప్రమాణీకరించడానికి కాలేదు. కానీ కూడా Facebook కోడ్ నియంత్రిస్తుంది కార్పొరేషన్ అర్థం అని, అక్కడ ఆండ్రాయిడ్ మొబైల్ అనువర్తనాలు 4% లో అమలు మరియు వారు ఆ అనువర్తనం వద్ద పొందడానికి అనుమతి ఉందని అన్ని డేటా యాక్సెస్. Facebook తప్పనిసరిగా ప్రకటనకు అమ్మే ప్రయత్నిస్తుంది. వారి ముగ్గులు. 

మీరు ఈ అనుమతులు ఈ మొత్తం పర్యావరణ చూడండి మరియు మీరు ఆ చూడడానికి షేర్డ్ లైబ్రరీలను మీరు ఒక దయ్యం చట్టబద్ధమైన అప్లికేషన్ లో ప్రమాదం చాలా. పండోర తో జరిగిన ఒకే విధమైన విషయం , మార్గం అని ఒక అప్లికేషన్ తో జరిగిన చంపాను వారు ఉపయోగపడిందా, స్నేహపూర్వక డెవలపర్లు అని భావిస్తున్నట్టు. వారు కేవలం మీరు ఒక గొప్ప యూజర్ అనుభవం ఇవ్వాలని ప్రయత్నిస్తున్నారు, మరియు అది ముగిసిన వినియోగదారిని లేదా వినియోగదారు చెప్పడం లేకుండా ఏదైనా మరియు ఈ, ఐఫోన్ మరియు ఆండ్రాయిడ్ లో జరిగిన పండోర అనువర్తనం ఐఫోన్ మరియు న Android- మార్గం అప్లికేషన్ మీ మొత్తం చిరునామా పుస్తకం పట్టుకుని ఆ మరియు మీరు ఇన్స్టాల్ మరియు అప్లికేషన్ నడిచింది కేవలం ఉన్నప్పుడు మార్గం దానిని అప్లోడ్, మరియు వారు ఈ గురించి తెలియజేస్తుంది లేదు. వారు మీరు నిజంగా ఉపయోగకరంగా భావించారు మీ చిరునామా పుస్తకంలో అన్ని వ్యక్తులతో భాగస్వామ్యం చెయ్యడానికి మీరు మార్గం అప్లికేషన్ ఉపయోగించి చేస్తున్న. 

సరే, స్పష్టంగా మార్గం ఈ వారి కంపెనీ ఎంతో భావించారు. వినియోగదారుకు కాబట్టి గొప్ప కాదు. మీరు బహుశా ఒక యువకుడు ఒక విషయం అని ఆలోచించడం కలిగి , ఈ అనువర్తనం ఉపయోగించి మరియు స్నేహితులు వారి డజన్ల కొద్దీ అక్కడ ఉన్న ఉంది కానీ మార్గం ఇన్స్టాల్ చేసే కంపెనీ CEO ఏది ఉంటే ఆపై అకస్మాత్తుగా వారి మొత్తం చిరునామా పుస్తకం అన్ని అప్ ఉంది? మీరు సమర్థవంతంగా విలువైన పరిచయం సమాచారం చాలా పొందడానికి వెళుతున్న ప్రజలు చాలా కోసం. న్యూయార్క్ టైమ్స్ నుండి ఒక విలేఖరి, మీరు ఫోన్ నంబర్ పొందండి చేయగలరు వారి చిరునామా పుస్తకం నుండి మాజీ అధ్యక్షులు కోసం, కాబట్టి స్పష్టంగా సున్నితమైన సమాచారం చాలా ఈ వంటి ఏదో తో సమాధానంగా చెప్పారు. ఆ మార్గం క్షమాపణ ఈ గురించి ఒక పెద్ద ఫ్లాప్ ఉంది. వారు వారి అనువర్తనం మారింది, మరియు కూడా ఆపిల్ ప్రభావం. ఆపిల్ మేము వినియోగదారులు ఫలితానికి అనువర్తనం విక్రేతలు బలవంతంగా చూడాలని ", చెప్పారు వారు వారి మొత్తం చిరునామా పుస్తకం సేకరించిన చూడాలని ఉంటే. " 

ఇది ఇక్కడ ఏం కనిపిస్తోంది అక్కడ ఒక పెద్ద గోప్యతా ఉల్లంఘన మరియు అది ప్రెస్ చేస్తుంది మేము అక్కడ ఒక మార్పు చూడండి. కానీ కోర్సు యొక్క, ఇతర విషయాలు అక్కడ ఉంది. లింక్డ్ఇన్ అప్లికేషన్ మీ క్యాలెండర్ ఎంట్రీలు పంటలు, కానీ ఆపిల్ యూజర్ గురించి ప్రాంప్ట్ ఉండవని. క్యాలెండర్ ఎంట్రీలు చాలా వాటిని లో సున్నితమైన సమాచారాన్ని కలిగి. ఎక్కడ లైన్ డ్రా వెళ్తున్నారు? ఈ నిజంగా రకమైన ఒక పరిణమిస్తున్న వేదిక ఏ మంచి ప్రామాణిక అక్కడ నిజంగా ఇక్కడ వారి సమాచారం ప్రమాదం మాత్రం వినియోగదారులతో అర్థం కోసం వారు తెలిసిన చూడాలని అది తీసుకున్న చేయబడిన. మేము, అడియోస్ అని Veracode వద్ద ఒక అనువర్తనం రాశారు మరియు ముఖ్యంగా మీరు మీ iTunes డైరెక్టరీలలో అనువర్తనం సూచించడానికి అనుమతి మరియు మీ పూర్తి చిరునామా పుస్తకం సాగు చేసిన అన్ని అప్లికేషన్లు చూడండి. మరియు మీరు ఇక్కడ ఈ జాబితాలో చూడగలరు గా, యాంగ్రీ పక్షులు, AIM, AroundMe. ఎందుకు యాంగ్రీ మీ చిరునామా పుస్తకం అవసరం లేదు? నేను తెలియదు, కానీ ఏదో చేస్తుంది. 

ఈ చాలా చాలా అప్లికేషన్లు విషయం. ఈ కోసం కోడ్ తనిఖీ. ఐఫోన్, బ్లాక్బెర్రీ కోసం మంచి వివరణాత్మకమైన API లు ఉంది చిరునామా పుస్తకం పొందడానికి. మీరు నిజంగా సులభంగా ఈ కోసం తనిఖీ, మరియు ఈ మేము మా Adios అప్లికేషన్ ఏమి ఉంది. ఇంతకీ, అసురక్షిత సెన్సిటివ్ డేటా నిల్వ, డెవలపర్లు ఒక పిన్ వంటి ఏదో పడుతుంది పేరు ఏదో లేదా ఒక ఖాతా సంఖ్య లేదా ఒక పాస్వర్డ్ను మరియు పరికరంలో స్పష్టమైన లో నిల్వ. చెత్తగా, వారు ఫోన్ లో ఒక ప్రాంతంలో స్టోర్ ఇది SD కార్డ్ వంటి, ప్రపంచవ్యాప్తంగా అందుబాటులో ఉంది. Android SD కార్డ్ కోసం అనుమతిస్తుంది ఎందుకంటే మీరు Android న తరచుగా ఈ చూడండి. ఐఫోన్ పరికరాల లేదు. కానీ మేము కూడా ఈ సిటీ గ్రూప్ అప్లికేషన్ లో జరిగే చూసింది. వారి ఆన్లైన్ బ్యాంకింగ్ అప్లికేషన్, insecurely ఖాతా సంఖ్యలను నిల్వ కేవలం స్పష్టమైన లో, కాబట్టి మీరు మీ పరికరం కోల్పోతే, మీకు మీ బ్యాంకు ఖాతా. నేను వ్యక్తిగతంగా నా ఐఫోన్ బ్యాంకింగ్ చెయ్యమని ఎందుకు ఉంది. నేను కార్యకలాపాలు ఈ రకాల చేయడానికి ప్రస్తుతం ప్రమాదకర అని. 

స్కైప్ ఇదే చేశాడు. స్కైప్, కోర్సు, ఒక ఖాతా సంతులనం, ఒక యూజర్ పేరు మరియు పాస్వర్డ్ ఉంది సంతులనం ప్రాప్యత. వారు మొబైల్ పరికరంలో స్పష్టమైన లో ఆ సమాచారం నిల్వ. నేను ఫైళ్లు సృష్టించే ఇక్కడ కొన్ని ఉదాహరణలు ఉన్నాయి కుడివైపు అనుమతులు లేదా డిస్క్ వ్రాయడం లేదు మరియు ఏ ఎన్క్రిప్షన్ను కోసం జరిగే చేయడంలో. ఈ తదుపరి ప్రాంతం, అసురక్షిత సెన్సిటివ్ డేటా ట్రాన్స్మిషన్, నేను ఈ కొన్ని సార్లు పేర్కొన్నట్లు, మరియు బహిరంగ Wi-Fi చేసిన ఈ ఖచ్చితంగా చెయ్యాల్సిన అనువర్తనాలు విషయం, మరియు ఈ మేము చాలా తప్పు చూసే బహుశా ఉంది. నేను నిజానికి, నేను నేను అసలు డేటా కలిగి అనుకుంటున్నాను, కానీ సగం మొబైల్ అనువర్తనాలు దగ్గరగా ఉంది SSL చేయడం మేకు. వారు కేవలం API లు సరిగ్గా ఉపయోగిస్తాయి. నేను మీరు చేయడానికి వచ్చింది అన్ని, సూచనలను అనుసరించండి మరియు API లని ఉపయోగించే ఉంది కానీ వారు వంటి వాటిని, ఇతర చివరిలో చెల్లని సర్టిఫికేట్ అని తనిఖీ లేదు ఇతర ముగింపు ఒక ప్రోటోకాల్ డౌన్గ్రేడ్ దాడి చేయడానికి ప్రయత్నిస్తున్నారు ఉంటే తనిఖీ. 

డెవలపర్లు, వారు వారి చెక్బాక్స్ పొందాలనుకోవడం, కుడి? వారి అవసరం విక్రయించడానికి ఈ ఉపయోగించడానికి ఉంది. వారు అమ్మే ఈ ఉపయోగించి. అవసరం, సురక్షితంగా విక్రయించడానికి ఈ ఉపయోగించడానికి కాదు SSL ఉపయోగించే అన్ని అప్లికేషన్లు డేటా సురక్షిత ఎందుకు చిరునవ్వు నవ్వుతాను ఇది ఆఫ్ ప్రసారం చేయబడిన వంటి పరికరం నిజంగా పరీక్షించాలి అవసరం సరిగ్గా అమలు నిర్ధారించడానికి. మరియు ఇక్కడ నేను మీరు ఒక అనువర్తనం ఇక్కడ కొన్ని ఉదాహరణలు ఉన్నాయి HTTP బదులుగా HTTPS ఉపయోగిస్తూ ఉండవచ్చు. కొన్ని సందర్భాల్లో అనువర్తనాలు HTTP తిరిగి పడటం HTTPS పని చెయ్యకపోతే. నేను, వారు సర్టిఫికేట్ చెక్ నిలిపివేసాము పేరు Android ఇక్కడ మరొక కాల్ కలిగి కాబట్టి ఒక వ్యక్తిచే మధ్య దాడి జరుగుతుంది. ఒక చెల్లని సర్టిఫికేట్ అంగీకరించబడుతుంది. ఈ దాడి పొందలేరు ఉంటాయని కేసులు ఉన్నాయి యూజర్ మరియు యాక్సెస్ అన్ని డేటా అదే Wi-Fi కనెక్షన్ ఇంటర్నెట్లో ఆ పంపబడింది. 

చివరకు, నేను ఇక్కడ చివరిగా వర్గం hardcoded పాస్వర్డ్ను మరియు కీలు ఉంది. మేము నిజంగా డెవలపర్లు చాలా అదే కోడింగ్ శైలి ఉపయోగించండి చూడండి వారు వెబ్ సర్వర్ అప్లికేషన్లు నిర్మించడానికి సమయంలో చేశాడు, ఆ కాబట్టి వారు ఒక జావా సర్వర్ అప్లికేషన్ నిర్మించడం చేస్తున్నారు, మరియు వారు కీ hardcoding చేస్తున్నారు. సరే, మీరు ఒక సర్వర్ అప్లికేషన్ నిర్మించడం చేసినప్పుడు, అవును, కీ hardcoding ఒక మంచి ఆలోచన కాదు. ఇది కష్టం మార్చడానికి చేస్తుంది. ఎవరు సర్వర్లో ప్రాప్తి ఉంది ఎందుకంటే కానీ సర్వర్ వైపు చెడు కాదు? నిర్వాహకులు మాత్రమే. కానీ మీరు అదే కోడ్ తీసుకొని మీరు ఒక మొబైల్ అప్లికేషన్ కి కురిపించింది ఇప్పుడు మొబైల్ అప్లికేషన్ ఆ hardcoded కీ యాక్సెస్ ప్రతి వారు మరియు మేము నిజంగా ఈ సార్లు చాలా చూడండి, మరియు నేను కొన్ని గణాంకాలు మేము ఈ జరిగే చూడండి ఎంత తరచుగా న. ఇది నిజానికి మాస్టర్ ప్రచురించింది ఉదాహరణకు కోడ్ లో వారి సేవ ఎలా ఉపయోగించాలో న. ఉదాహరణకు కోడ్ మీరు పాస్వర్డ్ను పడుతుందని ఎలా చూపించాడు మరియు, అక్కడే ఒక hardcoded స్ట్రింగ్ లో ఉంచండి మరియు మేము డెవలపర్లు కోడ్ స్నిప్పెట్స్ కాపీ మరియు పేస్ట్ ప్రేమ ఎలా వారు ఏదో ప్రయత్నిస్తున్న, కాబట్టి మీరు కోడ్ స్నిప్పెట్ కాపీ మరియు పేస్ట్ చేసినప్పుడు వారు ఉదాహరణకు కోడ్ ఇచ్చిన, మరియు మీరు సురక్షితంకాని అప్లికేషన్ కలిగి. 

మరియు మేము కొన్ని ఉదాహరణలు ఉన్నాయి. ఈ మొదటి మేము వారు Hardcode పేరు చాలా చూడండి ఒకటి పంపిన పొందే ఒక URL లోకి డేటా కుడి. కొన్నిసార్లు మేము స్ట్రింగ్ పాస్వర్డ్ను = పాస్వర్డ్ను చూడండి. ఆ బ్లాక్బెర్రీ మరియు ఆండ్రాయిడ్ లో అందంగా గుర్తించడం సులభం, లేదా స్ట్రింగ్ పాస్వర్డ్ను ఉంది. ఇది నిజంగా ఎందుకంటే దాదాపు ఎల్లప్పుడూ తనిఖీ అందంగా సులభం డెవలపర్ పేర్లు పాస్వర్డ్ను పట్టుకొని చేసే వేరియబుల్ పాస్వర్డ్ను కొంత వ్యత్యాసం. నేను, మేము Veracode వద్ద స్టాటిక్ విశ్లేషణ పేర్కొన్నారు కాబట్టి మేము అనేక వందల Android మరియు iOS అప్లికేషన్లు విశ్లేషించారు చేసిన. మేము వాటిని పూర్తి నమూనాలను తయారు చేసిన, మరియు మేము వాటిని స్కాన్ చూడగలరని వివిధ రకాల ప్రమాదాలతో, నేను మాట్లాడుతున్న ముఖ్యంగా దుర్బలత్వం కోసం మరియు నేను ఇక్కడ కొన్ని డేటా కలిగి. మేము చూసాము Android Apps యొక్క 68.5% క్రిప్టోగ్రాఫిక్ కోడ్ ఉల్లంఘించాడని, మీరు మీ సొంత క్రిప్టో రొటీన్ చేసిన ఉంటే మాకు, మేము గుర్తించలేదు ఇది, ఒక మంచి ఆలోచన, కానీ ఈ నిజానికి ప్రచురితమైన API లు ఉపయోగిస్తోంది కాదు వేదికపై కానీ ఆ విధంగా వాటిని చేయడం క్రిప్టో, 68.5 అవకాశం ఉంటుంది అని. మరియు ఈ నిజంగా మాకు దరఖాస్తులు పంపుతున్నారు ప్రజలకు ఎందుకంటే వారు భద్రతా పరీక్ష చేయడానికి ఒక మంచి ఆలోచన అని. ఈ, బహుశా సురక్షితంగా ఆలోచిస్తే ప్రజలు కాబట్టి ఇది బహుశా చెత్తగా. 

నేను నియంత్రణ లైన్ ఫీడ్ ఇంజక్షన్ గురించి మాట్లాడరు. ఇది మేము తనిఖీ ఏదో ఉంది, కానీ ఇది ఒక సమస్య అని ప్రమాదకర కాదు. ఇన్ఫర్మేషన్ లీకేజ్, ఈ సున్నితమైన డేటా పరికరం పంపిన రాష్ట్రం ఉంది. మేము అప్లికేషన్లు 40% లో కనుగొన్నారు. సమయం మరియు రాష్ట్ర, ఆ, దోపిడి సాధారణంగా అందంగా హార్డ్ రేసు పరిస్థితి రకం సమస్యలు, ఉన్నాయి నేను గురించి మాట్లాడరు, కాని మేము ఇది చూశారు. 23% SQL ఇంజెక్షన్ సమస్యలను కలిగి. మంది తెలియదు అప్లికేషన్లు చాలా డేటా నిల్వచేయటానికి తిరిగి చివరికి ఒక చిన్న చిన్న SQL డేటాబేస్ ఉపయోగించడానికి. బాగా, మీరు నెట్వర్కులో ఈడ్చడం చేస్తున్న డేటా అది SQL ఇంజెక్షన్ దాడి తీగలను ఉంది ఎవరైనా ద్వారా పరికరం రాజీ చేయవచ్చు, అందువలన నేను, మేము వెబ్ అప్లికేషన్లు 40% ఈ సమస్య కనుగొనేందుకు అనుకుంటున్నాను ఇది భారీ అంటువ్యాధి సమస్య. మేము మొబైల్ అనువర్తనాలు లో సమయం 23% కనుగొనేందుకు పలు ముఖ్యమైన వెబ్ మొబైల్ కంటే SQL ఉపయోగిస్తాయి మరియు బహుశా ఉంది. 

ఆపై మేము ఇంకా కొన్ని క్రాస్ సైట్ స్క్రిప్టింగ్, అధికార సమస్యలు, చూడండి మీరు మీ hardcoded పాస్వర్డ్ను ఉంటుంది ఆపై క్రెడెన్షియల్ నిర్వహణ, ఆ. అప్లికేషన్లు 5% లో మేము ఆ చూడండి. మరియు తర్వాత మేము iOS కొన్ని డేటా కలిగి. 81% లోపం నిర్వహణ సమస్యలను కలిగి. ఈ ఒక కోడ్ నాణ్యత సమస్య ఎక్కువ, కానీ 67% క్రిప్టోగ్రాఫిక్ సమస్యలను కలిగి, కాబట్టి Android వంటి చాలా చెడ్డదిగా కాదు. బహుశా API లు కొద్దిగా సులభంగా, iOS కొద్దిగా మెరుగ్గా ఉదాహరణకు సంకేతాలు. కానీ ఇప్పటికీ అత్యధిక శాతం. మేము సమాచారాన్ని నష్టం తో 54% కలిగి, బఫర్ నిర్వహణ లోపాలతో 30%. సమర్థవంతమైన ఒక మెమరీ అవినీతి సమస్య ఉండవచ్చు చోట్ల ఉంది. ఇది ఆ దోపిడీ కోసం ఒక సమస్య ఎక్కువగా కాదు అవుతుంది అన్ని కోడ్ సంతకం వుంటుంది iOS న ఎందుకంటే, కాబట్టి అది iOS అనియత కోడ్ అమలు దాడి కోసం కష్టం. కోడ్ నాణ్యత, డైరెక్టరీ ట్రావెర్సల్, కానీ ఇక్కడ 14.6% వద్ద అప్పుడు ఆధారాలను నిర్వహణ, Android న కంటే దారుణంగా. మేము సరిగ్గా పాస్వర్డ్లను నిర్వహించడానికి లేదు కలిగి. ఆపై సంఖ్యా లోపాలు మరియు బఫర్ ఓవర్ఫ్లో, ఆ మరింత iOS న కోడ్ నాణ్యత సమస్యలు ఉంటాయని. 

అది నా ప్రదర్శన కోసం ఉంది. మేము సమయం లేదా తెలియకపోతే నాకు తెలీదు. ఏ ప్రశ్నలు ఉంటే నాకు తెలీదు. [MALE] ఫ్రాగ్మెంటేషన్ మరియు Android మార్కెట్ చుట్టూ త్వరిత ప్రశ్న. ఆపిల్ కనీసం Patching కలిగి. వారు Android ప్రదేశంలో అయితే తక్కువ కాబట్టి దాన్ని పొందడానికి ఒక మంచి ఉద్యోగం చేయండి. మీరు దాదాపు ప్రస్తుత ఉండడానికి మీ ఫోన్ jailbreak అవసరం Android యొక్క ప్రస్తుత విడుదల. మీరు గురించి ఆలోచించడం ఉంటే అవును, భారీ సమస్య మరియు మొహాలు [MALE] ఎందుకు మీరు పునరావృతం కాదు? 

ఓహ్, కాబట్టి ప్రశ్న గురించి విభజన Android వేదిక మీద ఆపరేటింగ్ సిస్టమ్ యొక్క? ఎలా ఆ పరికరాల riskiness ప్రభావితం చేస్తుంది? ఏమి జరుగుతుంది ఎందుకంటే మరియు అది నిజానికి ఒక భారీ సమస్య పాత పరికరాలను, ఎవరైనా పరికరం కోసం ఒక jailbreak తో వచ్చినప్పుడు, ముఖ్యంగా ఆ ఆపరేటింగ్ సిస్టమ్ ఆధారపడే అధికార వృద్ధిని, మరియు మాల్వేర్ను తరువాత, పూర్తిగా పరికరం రాజీ బలహీనతని ఉపయోగించవచ్చు మరియు మేము ఆండ్రాయిడ్ లో చూస్తున్నారని కొత్త ఆపరేటింగ్ సిస్టమ్ పొందడానికి ఉంది గూగుల్ హార్డ్వేర్ తయారీదారు ఆపరేటింగ్ సిస్టమ్ ఆర్పేందుకు ఉంది, మరియు అనుకూలీకరించడానికి ఉంది, తరువాత క్యారియర్ అనుకూలీకరించడానికి మరియు కు ఉంది. మీరు, ప్రధానంగా ఇక్కడ 3 కదిలే భాగాలను మరియు వాహకాలు పట్టించుకోను ఆ చెయ్యడానికి, మరియు హార్డ్వేర్ తయారీదారులు పట్టించుకోను, మరియు Google తగినంత వాటిని prodding లేదు అక్కడ కాబట్టి ముఖ్యంగా పరికరాలు సగానికిపైగా, ఏమీ వారిని ఈ అధికార వృద్ధిని ప్రమాదాలను కలిగి ఆపరేటింగ్ సిస్టంలు, మీరు మీ Android పరికరంలో మాల్వేర్ వస్తే మరియు కనుక ఇది చాలా సమస్య మరింత. 

సరే, చాలా కృతజ్ఞతలు. [చప్పట్లు] [CS50.TV]