[สัมมนา] [ข้างหลังอุปกรณ์: การประยุกต์ Mobile Security]
 [คริ Wysopal] [มหาวิทยาลัยฮาร์วาร์]
 [นี้เป็น CS50.] [CS50.TV]
 

ช่วงบ่ายดี ชื่อของฉันคือคริส Wysopal
 ฉัน CTO และผู้ร่วมก่อตั้งของ Veracode
 Veracode เป็น บริษัท รักษาความปลอดภัยการใช้งาน
 เราจะทดสอบทุกชนิดของการใช้งานที่แตกต่างกัน
 และสิ่งที่ฉันจะพูดคุยเกี่ยวกับการรักษาความปลอดภัยในวันนี้คือโปรแกรมมือถือ
 พื้นหลังของฉันเป็นที่ฉันได้รับการทำวิจัยการรักษาความปลอดภัย
 เป็นเวลานานมากอาจจะเกี่ยวกับตราบใดที่ทุกคน
 ฉันเริ่มต้นในช่วงกลาง 90s,
 และมันเป็นช่วงเวลาที่น่าสนใจสวยเพราะ
 เรามีการเปลี่ยนแปลงกระบวนทัศน์ในช่วงกลาง 90s
 ทั้งหมดของเครื่องคอมพิวเตอร์ของทุกคนอย่างฉับพลันได้รับการติดยาเสพติดขึ้นกับอินเทอร์เน็ต
 แล้วเรามีจุดเริ่มต้นของการใช้งานเว็บ
 และนั่นคือสิ่งที่ฉันมุ่งเน้นไปที่จำนวนมากแล้ว
 มันน่าสนใจที่
 ตอนนี้เรามีอีกหนึ่งการเปลี่ยนแปลงกระบวนทัศน์ที่เกิดขึ้นกับคอมพิวเตอร์
 ซึ่งเป็นการเปลี่ยนไปใช้งานโทรศัพท์มือถือ
 

ฉันรู้สึกว่ามันเป็นชนิดของเวลาที่คล้ายกันก็คือในช่วงปลายยุค 90
 เมื่อเราได้ตรวจสอบการใช้งานเว็บและหาข้อบกพร่องเช่น
 ข้อผิดพลาดในการจัดการเซสชั่นและการฉีด
 ซึ่งจริงๆไม่ได้มีอยู่ก่อนและทั้งหมดในทันทีที่พวกเขาได้ทุกที่
 ในการใช้งานเว็บและตอนนี้จำนวนมากของเวลาที่ฉันใช้จ่าย
 ที่กำลังมองหาโปรแกรมมือถือและมองไปที่สิ่งที่เกิดขึ้นออกมีในป่า
 การใช้งานมือถือที่จริงจะเป็นแพลตฟอร์มคอมพิวเตอร์โดดเด่น
 ดังนั้นเราจึงจำเป็นต้องใช้เวลามากถ้าคุณอยู่ในอุตสาหกรรมการรักษาความปลอดภัย
 โดยมุ่งเน้นที่การใช้งานเว็บ
 มี 2​​9000000000 ปพลิเคชันมือถือดาวน์โหลดในปี 2011 เป็น
 ก็คาดว่าจะเป็นแอพพลิเค 76000000000 2014
 686 ล้านอุปกรณ์ที่จะไปหาซื้อได้ในปีนี้เป็น,
 ดังนั้นนี้เป็นที่ที่คนจะต้องทำ
  ส่วนใหญ่ของคอมพิวเตอร์ลูกค้าของพวกเขาก้าวไปข้างหน้า
 

ผมพูดคุยกับรองประธานที่จงรักภักดีลงทุน
 สองสามเดือนที่ผ่านมาและเขากล่าวว่าพวกเขาเพียงแค่เห็นการจราจรมากขึ้น
 การทำธุรกรรมทางการเงินจากฐานลูกค้าของพวกเขา
 เกี่ยวกับการใช้โทรศัพท์มือถือของพวกเขากว่าบนเว็บไซต์ของพวกเขา
 ดังนั้นการใช้โดยทั่วไปสำหรับเว็บในอดีตที่ผ่านมาได้รับ
 การตรวจสอบราคาหุ้นของการจัดการผลงานของคุณ
 และเราเห็นจริงว่าในปี 2012 สวิทช์กว่า
 เป็นที่โดดเด่นมากขึ้นในแพลตฟอร์มโทรศัพท์มือถือ
 แน่นอนถ้ามีจะเป็นกิจกรรมทางอาญาใด ๆ
 กิจกรรมที่เป็นอันตรายใด ๆ ก็จะเริ่มต้นที่จะมุ่งเน้นไปที่แพลตฟอร์มโทรศัพท์มือถือ
 เมื่อเวลาผ่านไปเป็นคนเปลี่ยนไปที่
 ถ้าคุณดูที่แพลตฟอร์มโทรศัพท์มือถือที่
 มองไปที่ความเสี่ยงของแพลตฟอร์มก็มีประโยชน์ที่จะทำลายมันลงไปในชั้นที่แตกต่างกัน
 เช่นเดียวกับที่คุณจะทำในคอมพิวเตอร์เดสก์ทอป
 และคุณคิดว่าเกี่ยวกับชั้นที่แตกต่างกันซอฟแวร์ระบบปฏิบัติการ
 เลเยอร์เครือข่ายชั้นฮาร์ดแวร์และแน่นอนว่ายังมีช่องโหว่ในชั้นทุกคน
 

สิ่งเดียวกันที่เกิดขึ้นบนมือถือ
 แต่มือถือก็ดูเหมือนว่าบางส่วนของชั้นเหล่านี้จะแย่ลง
 สำหรับหนึ่งเลเยอร์เครือข่ายเป็นปัญหาเพิ่มเติมเกี่ยวกับมือถือ
 เพราะคนจำนวนมากที่มีอยู่ในสำนักงานของพวกเขาหรือที่บ้าน
 การเชื่อมต่อแบบมีสายหรือพวกเขามีความปลอดภัยการเชื่อมต่อ Wi-Fi
 และมีจำนวนมากของโทรศัพท์มือถือที่คุณกำลังเห็นได้ชัดนอกบ้าน
 หรือนอกสำนักงานจำนวนมากและถ้าคุณกำลังใช้ Wi-Fi ที่มี
 คุณอาจจะใช้การเชื่อมต่อ Wi-Fi ไม่ปลอดภัย
 สิ่งที่เชื่อมต่อ Wi-Fi สาธารณะ
 ดังนั้นเมื่อเราคิดเกี่ยวกับการปพลิเคชันมือถือที่เราจะต้องคำนึงถึง
 ว่าสภาพแวดล้อมเครือข่ายที่มีความเสี่ยงสำหรับการใช้งานเหล่านั้น
 เมื่อ Wi-Fi จะถูกใช้
 และเมื่อฉันได้รับเป็นมากขึ้นของความเสี่ยงที่ใช้โทรศัพท์มือถือ
 คุณจะเห็นว่าทำไมมันเป็นสิ่งสำคัญมากขึ้น
 มีความเสี่ยงในระดับฮาร์ดแวร์บนโทรศัพท์มือถือเป็น
 ซึ่งเป็นพื้นที่ของการวิจัยอย่างต่อเนื่อง
 ผู้คนเรียกการโจมตีความเร็วสูงเหล่านี้หรือการโจมตี baseband
 ที่คุณกำลังโจมตีเฟิร์มแวที่ฟังวิทยุ
 

เหล่านี้จริงๆการโจมตีที่น่ากลัวเพราะ
 ผู้ใช้ไม่ต้องทำอะไร
 คุณสามารถกดจำนวนมากของอุปกรณ์ที่อยู่ในช่วงคลื่นความถี่วิทยุ
 ในครั้งเดียวและดูเหมือนว่างานวิจัยนี้เมื่อใดก็ตามที่ฟองขึ้น
 มันได้อย่างรวดเร็วได้รับการจัดที่
 คนในโฉบไปรอบ ๆ และพูดว่า "ที่นี่บอกเราเกี่ยวกับที่และโปรดหยุดพูดเกี่ยวกับเรื่องนี้."
 มีงานวิจัยบางอย่างที่เกิดขึ้นในพื้นที่เป็นบรอดแบนด์,
 แต่ดูเหมือนว่าจะเงียบมากเงียบ
 ฉันคิดว่ามันมากขึ้นของรัฐชาติประเภทของการวิจัยที่เกิดขึ้น
 พื้นที่ของการวิจัยที่ใช้งาน แต่เป็นชั้นของระบบปฏิบัติการ
 และอีกครั้งนี้จะแตกต่างกว่าในโลกคอมพิวเตอร์เดสก์ทอป
 เพราะในพื้นที่มือถือที่คุณมีทีมงานเหล่านี้ของคนที่เรียกว่า jailbreakers,
 และ jailbreakers จะแตกต่างจากนักวิจัยความเสี่ยงปกติ
 พวกเขากำลังพยายามที่จะหาช่องโหว่ในระบบปฏิบัติการ
 แต่เหตุผลที่พวกเขากำลังพยายามที่จะหาช่องโหว่ไม่ได้
 ทำลายลงในเครื่องอื่นของใครบางคนและประนีประนอมมัน
 มันจะทำลายลงในเครื่องคอมพิวเตอร์ของพวกเขาเอง
 

พวกเขาต้องการที่จะบุกเข้าไปในมือถือของตัวเองปรับเปลี่ยนระบบปฏิบัติการมือถือของตัวเอง
 เพื่อให้พวกเขาสามารถเรียกใช้โปรแกรมของทางเลือกของพวกเขา
 และเปลี่ยนสิ่งที่มีสิทธิ์ในการจัดการเต็มรูปแบบ
 และพวกเขาไม่ต้องการที่จะบอกผู้ขายเกี่ยวกับเรื่องนี้ พวกเขาจะไม่ชอบนักวิจัยด้านความปลอดภัยซึ่งเป็นนักวิจัยด้านความปลอดภัยหมวกสีขาว
 ซึ่งจะทำหน้าที่ในการเปิดเผยข้อมูลและบอกผู้ขายเกี่ยวกับเรื่องนี้
 พวกเขาต้องการที่จะทำวิจัยนี้และพวกเขาต้องการที่จะเผยแพร่จริง
 ในการใช้ประโยชน์หรือ rootkit หรือรหัสแหกคุก,
 และพวกเขาต้องการที่จะทำกลยุทธ์เช่นขวาหลังจาก
 เรือผู้ขายระบบปฏิบัติการใหม่
 คุณมีความสัมพันธ์ที่ขัดแย้งนี้
 ที่มีช่องโหว่ของระบบปฏิบัติการระดับบนมือถือ
 ซึ่งผมคิดว่าเป็นที่น่าสนใจมากและสถานที่แห่งหนึ่งที่เราเห็นมัน
 มันทำให้มันเพื่อให้มีที่ดีรหัสเผยแพร่ใช้ประโยชน์ออกมี
 สำหรับช่องโหว่เคอร์เนลระดับ
 และเราได้เห็นผู้ที่นำมาใช้จริงโดยนักเขียนมัลแวร์
 มันเป็นความแตกต่างกันเล็กน้อยกว่าที่เครื่องคอมพิวเตอร์ของโลก
 แล้วชั้นสุดท้ายคือชั้นบนชั้นการประยุกต์ใช้
 นั่นคือสิ่งที่ฉันจะพูดคุยเกี่ยวกับวันนี้
 

ชั้นอื่น ๆ อยู่และชั้นอื่น ๆ เล่นในนั้น
 แต่ส่วนใหญ่ผมจะไปพูดคุยเกี่ยวกับสิ่งที่เกิดขึ้นที่ชั้นสมัคร
 ที่รหัสกำลังทำงานใน sandbox
 แต่ไม่ได้มีสิทธิ์ระดับผู้ดูแล
 แต่ก็มีการใช้ APIs ของอุปกรณ์
 แต่ยังคงจำนวนมากที่มีกิจกรรมที่เป็นอันตรายและความเสี่ยงมากที่สามารถเกิดขึ้นที่ชั้นที่
 เพราะนั่นคือชั้นที่ข้อมูลทั้งหมดจะถูก
 ปพลิเคชันสามารถเข้าถึงข้อมูลทั้งหมดที่อยู่ในอุปกรณ์
 ถ้าพวกเขามีสิทธิ์ที่ถูกต้อง
 และพวกเขาสามารถเข้าถึงเซ็นเซอร์ที่แตกต่างกันบนอุปกรณ์
 เซ็นเซอร์จีพีเอส, ไมโครโฟน, กล้อง, สิ่งที่มีคุณ
 แม้ว่าเรากำลังเพียงการพูดคุยเกี่ยวกับการที่ชั้นสมัคร
 เรามีจำนวนมากของความเสี่ยงมี
 สิ่งอื่น ๆ ที่แตกต่างกันเกี่ยวกับสภาพแวดล้อมมือถือ
 เป็นผู้เล่นที่ระบบปฏิบัติการไม่ว่าจะเป็นหรือ Android BlackBerry
 หรือ iOS หรือ Windows มือถือที่พวกเขาทั้งหมดมีรูปแบบการอนุญาตเนื้อดี
 และนี่คือหนึ่งในวิธีการที่พวกเขาสร้างขึ้นในระบบปฏิบัติการ
 ความคิดที่ว่ามันไม่ได้เป็นความเสี่ยงอย่างที่คุณคิด
 แม้ว่าคุณจะมีรายชื่อทั้งหมดของคุณบนมีข้อมูลส่วนบุคคลทั้งหมดของคุณ
 คุณมีรูปถ่ายของคุณคุณจะมีตำแหน่งของคุณบนมี
 คุณเก็บพินธนาคารของคุณเพื่อเข้าสู่ระบบอัตโนมัติที่มีก็ปลอดภัยเพราะ
 ปพลิเคชันจะต้องมีสิทธิ์บางอย่างเพื่อให้ได้ในบางส่วน
 ข้อมูลเกี่ยวกับอุปกรณ์และผู้ใช้จะต้องนำเสนอกับ
 สิทธิ์เหล่านี้และบอกว่าไม่เป็นไร
 

ปัญหากับมันคือผู้ใช้มักจะบอกว่าไม่เป็นไร
 เป็นคนที่รักษาความปลอดภัยที่ฉันรู้ว่าคุณสามารถแจ้งให้ผู้ใช้
 พูดอะไรบางอย่างที่ดีจริงๆที่จะเกิดขึ้นไม่ที่คุณต้องการให้เกิดขึ้นได้อย่างไร
 และถ้าพวกเขากำลังวิ่งหรือมีบางอย่างที่น่าหลงใหลจริงๆในด้านอื่น ๆ ของที่
 เหมือนเกมจะถูกติดตั้งที่พวกเขาได้รับการรอ
 พวกเขากำลังจะถูกคลิก
 นั่นเป็นเหตุผลที่ผมพูดบนภาพนิ่งของฉันที่นี่เพียงแจ้งให้เราเหวี่ยงนกที่หมูอยู่แล้ว
 และคุณสามารถเห็นบนภาพนิ่งของที่นี่มีตัวอย่างของกล่องรับอนุญาต BlackBerry
 มันบอกว่า "กรุณาตั้งสิทธิ์ BlackBerry โปรแกรมการเดินทาง
 หลังจากคลิกที่ปุ่มด้านล่าง "และโดยทั่วไปผู้ใช้จะเพียงแค่จะบอกว่า
 กำหนดสิทธิ์และบันทึก
 ที่นี่พร้อม Android ที่มันแสดงให้เห็นสิ่งที่เป็น,
 และเป็นจริงทำให้สิ่งที่เกือบจะดูเหมือนคำเตือน
 ก็มีการเรียงลำดับของสัญญาณที่มีอัตราผลตอบแทนจากการพูดการสื่อสารเครือข่ายสายโทรศัพท์
 แต่ผู้ใช้จะติดตั้งคลิกขวา
 แล้วหนึ่งในแอปเปิ้ลเป็นที่ไม่น่ากลัวอย่างสมบูรณ์
 จะไม่ให้ชนิดของการเตือนใด ๆ
 มันเป็นเพียงแค่แอปเปิ้ลต้องการที่จะใช้ตำแหน่งปัจจุบันของคุณ
 ของหลักสูตรที่คุณกำลังจะคลิกเป็นไร
 

มีรูปแบบที่ได้รับอนุญาตนี้อย่างละเอียดคือ
 และปพลิเคชันจะต้องมีไฟล์ manifest ที่พวกเขาประกาศ
 สิทธิ์ที่พวกเขาต้องการและที่จะได้รับการแสดงให้กับผู้ใช้
 และผู้ใช้จะต้องบอกว่าผมให้สิทธิ์เหล่านี้
 แต่ขอให้เป็นคนซื่อสัตย์
 ผู้ใช้เพียงแค่จะพูดเสมอว่าไม่เป็นไร
 ลองมาดูอย่างรวดเร็วที่สิทธิ์ที่ปพลิเคชันเหล่านี้จะขอ
 และบางส่วนของสิทธิ์ที่จะมี
 บริษัท นี้กองกำลังได้สำรวจเมื่อปีที่แล้ว
 53,000 โปรแกรมวิเคราะห์ในตลาดและบุคคลที่ 3 Android ตลาด
 ดังนั้นนี่คือทั้งหมด Android
 และแอพพลิเคเฉลี่ย 3 ขอสิทธิ์
 ปพลิเคชันบางคนขอ 117 สิทธิ์
 ดังนั้นเห็นได้ชัดเหล่านี้จะดีมากทำให้เป็นเม็ดเล็กและวิธีการที่ซับซ้อนเกินไปสำหรับผู้ใช้ที่จะเข้าใจ
 หากพวกเขากำลังนำเสนอกับ app ที่ต้องการ 117 สิทธิ์เหล่านี้
 มันก็เหมือนกับการสิ้นสุดข้อตกลงใบอนุญาตผู้ใช้ที่ 45 หน้ายาว
 อาจจะไม่ช้าพวกเขาจะมีตัวเลือกที่มันต้องการ
 พิมพ์สิทธิ์และส่งอีเมลฉัน
 

แต่ถ้าคุณดูที่บางส่วนของสิทธิ์ที่น่าสนใจด้านบน
 24% ของปพลิเคชันที่ดาวน์โหลดพวกเขาออกจาก 53,000
 ข้อมูลจีพีเอสได้รับการร้องขอจากอุปกรณ์
 8% อ่านรายชื่อ
 4% ส่ง SMS, และ 3% ได้รับ SMS
 บันทึกเสียงที่ 2%
 โทรออก 1% การประมวลผล
 ฉันไม่รู้
 ฉันไม่คิดว่า 4% ของปพลิเคชันในการจัดเก็บแอพพลิเคจริงๆต้องส่งข้อความ SMS,
 ดังนั้นผมคิดว่าเป็นคำแนะนำว่าสิ่งที่ไม่ดีที่เกิดขึ้น
 8% ของปพลิเคชันจะต้องมีการอ่านรายชื่อผู้ติดต่อของคุณ มันอาจจะไม่จำเป็น
 หนึ่งในสิ่งที่น่าสนใจอื่น ๆ เกี่ยวกับสิทธิ์การเป็น
 ถ้าคุณเชื่อมโยงในห้องสมุดที่ใช้ร่วมกันลงในใบสมัครของคุณ
 ผู้สืบทอดสิทธิ์ของโปรแกรมที่
 ดังนั้นหากการตรวจสอบความต้องการของรายชื่อผู้ติดต่อหรือความต้องการตำแหน่ง GPS ทำงาน
 และคุณเชื่อมโยงในห้องสมุดโฆษณาตัวอย่างเช่น
 ห้องสมุดโฆษณาที่ยังจะสามารถเข้าถึงรายชื่อติดต่อ
 และยังสามารถที่จะเข้าถึงตำแหน่งจีพีเอส
 และนักพัฒนาของ app ที่รู้อะไรเกี่ยวกับรหัสที่ทำงานในห้องสมุดโฆษณา
 พวกเขากำลังเพียงแค่การเชื่อมโยงว่าในเพราะพวกเขาต้องการที่จะสร้างรายได้จากแอพพลิเคของพวกเขา
 

ที่นี่และผมจะพูดคุยเกี่ยวกับบางส่วนของตัวอย่างนี้กับ
 โปรแกรมที่เรียกว่าแพนดอร่าที่พัฒนาโปรแกรม
 โดยไม่เจตนาอาจจะรั่วไหลข้อมูล
 จากผู้ใช้ของพวกเขาเพราะพวกเขาได้ห้องสมุดที่เชื่อมโยงเข้ามา
 การสำรวจภูมิทัศน์ออกมีกำลังมองหาที่ปพลิเคชันทั้งหมดที่แตกต่างกัน
 ที่ได้รับการรายงานในข่าวที่เป็นอันตรายหรือทำอะไรบางอย่างที่ผู้ใช้ไม่ต้องการ
 แล้วตรวจสอบจำนวนมากของปพลิเคชันที่เราทำมากของการวิเคราะห์ฐานคงที่ปพลิเคชันบนมือถือ
 ดังนั้นเราจึงได้มีการตรวจสอบพวกเขาและมองไปที่รหัสตัวเอง-
 เรามาด้วยสิ่งที่เราเรียก 10 รายการด้านบนของเราของพฤติกรรมเสี่ยงในการใช้งาน
 และจะแบ่งออกเป็น 2 ส่วนโค้ดที่เป็นอันตราย
 ดังนั้นเหล่านี้เป็นสิ่งที่ไม่ดีที่แอพพลิเคอาจจะมีการทำที่
 มีแนวโน้มที่จะเป็นสิ่งที่บุคคลที่เป็นอันตราย
 ได้ใส่เฉพาะในการสมัคร แต่ก็นิด ๆ หน่อย ๆ เลือน
 มันอาจจะเป็นสิ่งที่นักพัฒนาคิดว่าเป็นเรื่องปกติ
 แต่มันจะจบลงด้วยการถูกคิดว่าเป็นอันตรายกับผู้ใช้
 

แล้วส่วนที่สองคือสิ่งที่เราเรียกว่าการเข้ารหัสช่องโหว่
 และเหล่านี้เป็นสิ่งที่นักพัฒนาทั่วไปที่ทำผิดพลาด
 หรือเพียงแค่ไม่เข้าใจวิธีการเขียนแอพพลิเคอย่างปลอดภัย
  และที่วางของผู้ใช้แอพพลิเคที่มีความเสี่ยง
 ฉันจะไปผ่านเหล่านี้ในรายละเอียดและให้ตัวอย่างบางส่วน
 สำหรับการอ้างอิงที่ฉันต้องการที่จะนำขึ้น OWASP บนมือถือ 10 รายการ
 เหล่านี้เป็นปัญหาที่ 10 กลุ่มที่ OWASP,
 เปิดโครงการ Web Application การรักษาความปลอดภัยที่พวกเขามีการทำงานกลุ่ม
 ที่ทำงานอยู่ใน 10 อันดับแรกของรายชื่อมือถือ
 พวกเขามีชื่อเสียงมากบนเว็บ 10 รายการซึ่งเป็น 10 อันดับแรก
 สิ่งที่เสี่ยงที่คุณสามารถมีในโปรแกรมประยุกต์บนเว็บ
 พวกเขากำลังทำในสิ่งเดียวกันสำหรับโทรศัพท์มือถือ
 และรายชื่อของพวกเขาเป็นเพียงเล็กน้อยที่แตกต่างจากเรา
 6 จาก 10 เหมือนกัน
 พวกเขาได้ที่ 4 ที่มีความแตกต่างกัน
 ผมคิดว่าพวกเขามีนิด ๆ หน่อย ๆ ของใช้ที่แตกต่างกัน
 ความเสี่ยงในการปพลิเคชันมือถือที่มากของปัญหาของพวกเขา
 จริงๆวิธีการใช้งานที่มีการสื่อสารกับเซิร์ฟเวอร์สิ้นสุดหลัง
 หรือสิ่งที่เกิดขึ้นบนเซิร์ฟเวอร์สิ้นสุดหลัง
 ปพลิเคชันไม่มากที่มีพฤติกรรมเสี่ยงที่มีปพลิเคชันไคลเอนต์ที่ตรงไปตรงมาเพียงแค่
 

คนในสีแดงที่นี่มีความแตกต่างระหว่าง 2 รายการ
 และบางส่วนของทีมงานวิจัยของฉันได้มีส่วนร่วมจริงให้กับโครงการนี​​้
 ดังนั้นเราจะเห็นสิ่งที่เกิดขึ้นเมื่อเวลาผ่านไป แต่ฉันคิดว่า takeaway ที่นี่คือ
 เราไม่ทราบจริงๆสิ่งที่ top 10 รายการอยู่ในปพลิเคชันมือถือเพราะ
 พวกเขาได้จริงๆรับเพียงรอบ 2 หรือ 3 ปีในขณะนี้
 และไม่เคยมีเวลาพอที่จะจริงๆวิจัยระบบปฏิบัติการ
 และสิ่งที่พวกเขากำลังความสามารถในการและไม่เคยมีเวลาพอที่
 สำหรับชุมชนที่เป็นอันตรายถ้าคุณจะไปได้ใช้เวลาพอ
 พยายามที่จะโจมตีผู้ใช้ผ่านแอพพลิเคมือถือดังนั้นฉันคาดหวังว่ารายการเหล่านี้มีการเปลี่ยนแปลงเล็กน้อย
 แต่ตอนนี้เหล่านี้บน 10 สิ่งที่ต้องกังวลเกี่ยวกับ
 คุณอาจสงสัยในด้านมือถือที่ไม่รหัสมือถือที่เป็นอันตราย
 วิธีการที่ไม่ได้รับไปยังอุปกรณ์หรือไม่
 North Carolina State มีโครงการที่เรียกว่าโครงการจีโนมมัลแวร์มือถือ
 ที่พวกเขาจะเก็บมัลแวร์มือถือมากที่สุดเท่าที่พวกเขาสามารถและวิเคราะห์มัน
 และพวกเขาได้หักลงเวกเตอร์การฉีดที่มัลแวร์มือถือใช้
 และ 86% ใช้เทคนิคที่เรียกว่า repackaging,
 และนี้เป็นเพียงบนแพลตฟอร์ม
 จริงๆคุณสามารถทำ repackaging นี้
 

เหตุผลก็คือรหัส Android ถูกสร้างขึ้นด้วย
 รหัสไบต์ Java เรียกว่า Dalvik ซึ่งเป็น decompilable ได้อย่างง่ายดาย
 สิ่งที่คนเลวสามารถทำได้คือ
 ใช้โปรแกรม Android, แยกมัน
 ใส่รหัสที่เป็นอันตรายของพวกเขาคอมไพล์มัน
 แล้วใส่มันได้ในการจัดเก็บแอพพลิเคที่อ้างตัวว่าเป็นรุ่นใหม่ของโปรแกรมประยุกต์ที่
 หรือเพียงแค่อาจจะมีการเปลี่ยนแปลงชื่อของโปรแกรมประยุกต์
 ถ้ามันเป็นจัดเรียงของเกมบางอย่างเปลี่ยนชื่อเล็กน้อย
 และเพื่อ repackaging นี้เป็นวิธีการที่ 86% ของมัลแวร์มือถือได้รับการกระจาย
 มีอีกเทคนิคที่เรียกว่าการปรับปรุงซึ่งเป็นเป็น
 คล้ายกันมากกับ repackaging, แต่ที่จริงไม่ต้องใส่รหัสที่เป็นอันตรายค่ะ
 สิ่งที่คุณทำคือการที่คุณใส่ในการปรับปรุงกลไกที่มีขนาดเล็ก
 คุณแยกคุณใส่ในกลไกการปรับปรุงและคุณคอมไพล์มัน
 แล้วในขณะที่ถูกใช้มันดึงมัลแวร์ลงบนอุปกรณ์
 

โดยไกลส่วนใหญ่เป็นผู้ที่ 2 เทคนิค
 ไม่มีการดาวน์โหลดมากจริงๆไดรฟ์ถานหรือดาวน์โหลดไดรฟ์โดยบนโทรศัพท์มือถือ
 ซึ่งอาจจะเป็นเหมือนการโจมตีฟิชชิ่ง
 Hey, ตรวจสอบเว็บไซต์ของเย็นนี้จริงๆ
 หรือคุณต้องไปที่เว็บไซต์นี้และกรอกแบบฟอร์มนี้
 เพื่อให้ดำเนินการต่อไปทำอะไรบางอย่าง เหล่านั้นจะถูกโจมตีฟิชชิ่ง
 สิ่งเดียวกันที่สามารถเกิดขึ้นได้บนแพลตฟอร์มโทรศัพท์มือถือที่พวกเขา
 ชี้ไปที่ app มือถือเพื่อดาวน์โหลดพูดว่า "สวัสดีนี่เป็นธนาคารแห่งอเมริกา."
 "เราเห็นว่าคุณกำลังใช้โปรแกรมนี้."
 "คุณควรดาวน์โหลดโปรแกรมอื่น ๆ ."
 ในทางทฤษฎีที่สามารถทำงาน
 บางทีมันก็ไม่ได้ถูกใช้มากพอที่จะตรวจสอบไม่ว่าจะเป็นที่ประสบความสำเร็จหรือไม่
 แต่พวกเขาพบว่าน้อยกว่า 1% ของเวลาเทคนิคที่ถูกนำมาใช้
 เวลาส่วนใหญ่ของมันจริงๆรหัสโฉมหน้า
 

มีประเภทที่เรียกว่าสแตนด์อโลนอีก
 ที่ใครบางคนเพียงแค่สร้างการประยุกต์ใช้แบรนด์ใหม่
 พวกเขาสร้างโปรแกรมที่อ้างว่าจะเป็นสิ่งที่
 มันไม่ repackaging อย่างอื่นและที่มีรหัสที่เป็นอันตราย
 ที่ใช้ 14% ของเวลาที่
 ตอนนี้ผมต้องการที่จะพูดคุยเกี่ยวกับสิ่งที่รหัสที่เป็นอันตรายทำอะไร
 หนึ่งในมัลแวร์ครั้งแรกที่ออกมี
 คุณสามารถพิจารณาสปายแวร์
 มันเป็นพื้นสายลับกับผู้ใช้
 ได้เก็บรวบรวมอีเมล, ข้อความ SMS
 มันจะเปิดไมโครโฟน
 มันเก็บเกี่ยวหนังสือติดต่อและจะส่งไปให้กับบุคคลอื่น
 ประเภทของสปายแวร์นี้มีอยู่ในเครื่องคอมพิวเตอร์ที่
 จึงทำให้รู้สึกที่สมบูรณ์แบบสำหรับคนที่จะพยายามที่จะทำเช่นนี้บนโทรศัพท์มือถือ
 

หนึ่งในตัวอย่างแรกของนี้เป็นโปรแกรมที่เรียกว่าลับ SMS ซ้ำ
 มันอยู่ใน Android ตลาดสองสามปีที่ผ่านมา
 และความคิดที่ถ้าคุณมีการเข้าถึงไปยังโทรศัพท์ของใครบางคน
 ที่คุณต้องการที่จะสอดแนมในดังนั้นบางทีมันอาจจะเป็นคู่สมรสของท่าน
 หรือที่สำคัญอื่น ๆ ของคุณและคุณต้องการสอดแนมในการส่งข้อความของพวกเขา
 คุณสามารถดาวน์โหลดแอพพลินี้และติดตั้งและกำหนดค่า
 ส่งข้อความ SMS ไปยังคุณมีสำเนา
 ของทุกข้อความ SMS ที่พวกเขาได้
 นี้เห็นได้ชัดในการละเมิดข้อตกลงเก็บ app ที่ให้บริการ
 และถูกลบออกจาก Android ตลาดภายใน 18 ชั่วโมงของมันถูกมี
 ดังนั้นจำนวนน้อยมากของผู้คนที่มีความเสี่ยงเนื่องจากการนี​​้
 ตอนนี้ผมคิดว่าถ้าโปรแกรมที่ถูกเรียกว่าบางสิ่งบางอย่างอาจจะเร้าใจน้อย
 เช่นความลับ SMS ซ้ำก็อาจจะได้ทำงานที่ดีขึ้นมาก
 แต่มันเป็นชนิดของที่เห็นได้ชัด
 

หนึ่งในสิ่งที่เราสามารถทำได้เพื่อตรวจสอบว่าปพลิเคชันมีพฤติกรรมที่เราไม่อยากให้เรื่องนี้
 คือการตรวจสอบรหัส
 นี้เป็นจริงเรื่องง่ายที่จะทำใน Android เพราะเราสามารถแยกปพลิเคชัน
 บน iOS ที่คุณสามารถใช้ disassembler เช่น IDA Pro
 มองสิ่งที่ APIs app ที่โทรและสิ่งที่มันทำ
 เราเขียนวิเคราะห์ของเราเองคงฐานรหัสของเรา
 และเราทำเช่นนี้และเพื่อให้สิ่งที่คุณจะทำคือคุณสามารถพูด
 อุปกรณ์ไม่ทำอะไรที่เป็นพื้นสอดแนมฉันหรือติดตามฉัน
 และผมก็มีตัวอย่างบางส่วนที่นี่บน iPhone
 ตัวอย่างแรกคือวิธีการเข้าถึง UUID บนโทรศัพท์
 นี้เป็นจริงสิ่งที่แอปเปิ้ลได้ห้ามเพียงสำหรับการใช้งานใหม่
 แต่โปรแกรมเก่าที่คุณอาจจะมีการทำงานบนโทรศัพท์ของคุณยังสามารถทำเช่นนี้
 และเพื่อให้ตัวระบุที่ไม่ซ้ำกันสามารถใช้ในการติดตามคุณ
 ในการใช้งานที่แตกต่างกัน
 

บน Android ผมมีตัวอย่างที่นี่ในการรับตำแหน่งของอุปกรณ์
 คุณจะเห็นว่าถ้าเรียก API ที่จะมีการตรวจสอบที่มีการติดตาม
 และคุณสามารถเห็นว่าจะได้รับการปรับตำแหน่งหรือสถานที่หยาบ
 และจากนั้นที่ด้านล่างนี่ผมมีตัวอย่างของวิธีการใน BlackBerry
 โปรแกรมอาจเข้าถึงข้อความอีเมลในกล่องจดหมายของคุณ
 เหล่านี้เป็นชนิดของสิ่งที่คุณสามารถตรวจสอบเพื่อดู
 ถ้า app จะทำสิ่งเหล่านั้น
 ประเภทที่สองใหญ่ของพฤติกรรมที่เป็นอันตรายและนี้อาจเป็นประเภทที่ใหญ่ที่สุดในขณะนี้
 เป็นโทรออกไม่ได้รับอนุญาตข้อความ SMS พรีเมี่ยมไม่ได้รับอนุญาต
 หรือการชำระเงินไม่ได้รับอนุญาต
 สิ่งที่ไม่ซ้ำกันเกี่ยวกับโทรศัพท์อื่น
 เป็นอุปกรณ์ที่มีการติดยาเสพติดไปยังบัญชีเรียกเก็บเงิน
 และเมื่อกิจกรรมที่เกิดขึ้นบนโทรศัพท์
 ก็สามารถสร้างค่าใช้จ่าย
 คุณสามารถซื้อสิ่งที่มากกว่าโทรศัพท์
 และเมื่อคุณส่งข้อความ SMS พรีเมี่ยมคุณจริงให้เงิน
 ให้ผู้ถือบัญชีของหมายเลขโทรศัพท์ในด้านอื่น ๆ
 เหล่านี้จะถูกตั้งค่าที่จะได้รับราคาหุ้นหรือได้รับดวงชะตาประจำวันของคุณหรือสิ่งอื่น ๆ
 แต่พวกเขาสามารถตั้งค่าการสั่งซื้อสินค้าโดยการส่งข้อความ SMS
 คนให้เงินกับกาชาดโดยการส่งข้อความ
 คุณสามารถให้ $ 10 วิธีการที่
 

โจมตีสิ่งที่พวกเขาได้ทำคือพวกเขาตั้งขึ้น
 บัญชีในต่างประเทศและพวกเขาฝังในมัลแวร์
 ว่าโทรศัพท์จะส่งข้อความ SMS พรีเมี่ยม
 พูดกี่ครั้งต่อวันและในตอนท้ายของเดือนที่คุณตระหนักถึงคุณได้ใช้จ่าย
 หลายสิบหรืออาจหลายร้อยดอลลาร์และพวกเขาก็เดินออกไปพร้อมกับเงิน
 นี้ได้ดังนั้นดีว่าเรื่องนี้เป็นสิ่งแรกที่ Android
 ตลาดหรือ Google สถานที่มันเป็น Android ตลาดในเวลานั้น
 และก็ตอนนี้ Google เล่นสิ่งแรกที่กูเกิลเริ่มต้นการตรวจสอบ
 เมื่อ Google เริ่มกระจายปพลิเคชันในร้านของพวกเขา
 พวกเขากล่าวว่าพวกเขาจะไม่ตรวจสอบอะไร
 เราจะดึงแอพพลิเคเมื่อเราได้รับแจ้งว่าพวกเขาได้หักเงื่อนไขการให้บริการของเรา
 แต่เราจะไม่ตรวจสอบอะไร ดีเกี่ยวกับปีที่ผ่านมามันก็ไม่ดีกับพรีเมี่ยม SMS นี้มัลแวร์ข้อความ
 ว่านี่คือสิ่งแรกที่พวกเขาเริ่มต้นการตรวจสอบ
 ถ้า app สามารถส่งข้อความ SMS
 พวกเขาต่อไปด้วยตนเองกลั่นกรองโปรแกรมที่
 พวกเขามองหา APIs ที่เรียกร้องนี้
 และตอนนี้ตั้งแต่นั้น Google มีการขยายตัว
 แต่นี่เป็นสิ่งแรกที่พวกเขาเริ่มมองหา
 

บางปพลิเคชันอื่น ๆ ที่ได้บางข้อความ SMS,
 Android นี้ Qicsomos, ผมคิดว่ามันจะเรียกว่า
 มีเหตุการณ์ในปัจจุบันนี้บนมือถือที่ CarrierIQ นี้ออกมาเป็น
 เช่นใส่สปายแวร์บนอุปกรณ์โดยผู้ให้บริการที่
 เพื่อให้ผู้คนอยากจะรู้ว่าถ้าโทรศัพท์ของพวกเขาเป็นความเสี่ยงที่จะนี้
 และนี่คือ app ฟรีที่ผ่านการทดสอบว่า
 ดีแน่นอนสิ่งที่ app นี้ไม่ได้ส่งข้อความ SMS พรีเมี่ยม
 ดังนั้นโดยการทดสอบเพื่อดูว่าคุณกำลังติดสปายแวร์
 คุณโหลดมัลแวร์บนอุปกรณ์ของคุณ
 เราเห็นในสิ่งเดียวกันเกิดขึ้นในช่วงซูเปอร์โบว
 มีรุ่นปลอมของเกมฟุตบอล Madden เป็น
 ที่ส่งข้อความ SMS พรีเมี่ยม
 มันจริงพยายามที่จะสร้างเครือข่ายบอเกินไปบนอุปกรณ์
 ที่นี่ผมมีตัวอย่างบางส่วน
 ที่น่าสนใจพอแอปเปิ้ลเป็นสมาร์ทสวย
 และพวกเขาไม่อนุญาตให้มีการใช้งานในการส่งข้อความ SMS ที่ทั้งหมด
 app ที่ไม่สามารถทำมันได้
 นั่นคือวิธีที่ดีของการกำจัดทั้งชั้นของความเสี่ยง
 แต่ใน Android คุณสามารถทำมันได้และแน่นอนใน BlackBerry คุณสามารถทำมันเกินไป
 มันน่าสนใจที่ว่าใน BlackBerry ทั้งหมดที่คุณต้องมีสิทธิ์อินเทอร์เน็ต
 ส่งข้อความ SMS
 

สิ่งอื่น ๆ จริงๆที่เรามองหา
 เมื่อเรากำลังมองหาเพื่อดูว่ามีอะไรบางอย่างที่เป็นอันตรายเป็นเพียงชนิดใด ๆ
 กิจกรรมเครือข่ายไม่ได้รับอนุญาตเช่นดูที่กิจกรรมเครือข่าย
 app ที่ควรจะต้องมีการทำงานของตน
 และดูที่กิจกรรมอื่น ๆ เครือข่ายนี้
 บางที app เพื่อให้สามารถทำงานได้ที่จะได้รับข้อมูลผ่าน HTTP
 แต่ถ้ามันเป็นสิ่งที่ทำผ่านทางอีเมลหรือ SMS หรือบลูทู ธ หรือสิ่งที่ต้องการ
 ตอนนี้ app ที่อาจจะเป็นอันตรายดังนั้นนี่คือสิ่งที่คุณสามารถตรวจสอบอีก
 และสไลด์นี้ที่นี่ผมมีตัวอย่างบางส่วนจากการที่
 อีกสิ่งที่น่าสนใจที่เราเห็นด้วยมัลแวร์ที่เกิดขึ้นกลับในปี 2009,
 และมันเกิดขึ้นในทางที่ใหญ่
 ผมไม่ทราบว่ามันเกิดขึ้นมากตั้งแต่นั้นมา แต่มันเป็นแอพพลิเค
 ที่ปลอมตัวโปรแกรมอื่น
 มีชุดของปพลิเคชันได้และมันถูกขนานนามโจมตี 09Droid,
 และคนที่ตัดสินใจว่ามีจำนวนมากที่มีขนาดเล็กระดับภูมิภาคธนาคารขนาดกลาง
 ที่ไม่ได้มีการใช้งานธนาคารออนไลน์
 ดังนั้นสิ่งที่พวกเขาทำก็คือการที่พวกเขาสร้างขึ้นเมื่อประมาณ 50 การใช้งานธนาคารออนไลน์
 ว่าสิ่งที่พวกเขาไม่ได้ใช้ชื่อผู้ใช้และรหัสผ่าน
 และนำคุณไปยังเว็บไซต์
 ดังนั้นพวกเขาจึงนำเหล่านี้ทั้งหมดใน Google ตลาด
 ใน Android ตลาดและเมื่อมีคนค้นหาเพื่อดูว่าธนาคารของพวกเขา
 มีโปรแกรมที่พวกเขาจะหาโปรแกรมปลอม,
 ซึ่งเก็บข้อมูลประจำตัวของพวกเขาแล้วเปลี่ยนเส้นทางไปยังเว็บไซต์ของพวกเขา
 วิธีที่ว่านี้จริงกลายเป็นปพลิเคชันที่เพิ่มขึ้นที่นั่นเป็นเวลาไม่กี่สัปดาห์
 และมีพันและนับพันของการดาวน์โหลด
 

วิธีนี้มากับแสงเป็นคนที่กำลังมีปัญหา
 กับการใช้งานและพวกเขาเรียกว่าธนาคารของพวกเขา
 และพวกเขาเรียกว่าสายสนับสนุนลูกค้าของธนาคารของพวกเขาและกล่าวว่า
 "ผมมีปัญหากับการประยุกต์ใช้การธนาคารมือถือของคุณ."
 "คุณสามารถช่วยฉันออก?"
 และพวกเขากล่าวว่า "เราไม่ได้มีการประยุกต์ใช้การธนาคารมือถือ."
 ที่เริ่มต้นการตรวจสอบ
 ธนาคารที่เรียกว่า Google แล้ว Google มองและกล่าวว่า
 "ว้าว, นักเขียนคนเดียวกันได้เขียน 50 งานธนาคาร" และพาพวกเขาทั้งหมดลง
 แต่แน่นอนนี้อาจเกิดขึ้นอีกครั้ง
 มีรายชื่อของทุกธนาคารที่แตกต่างกันที่นี่
 ที่เป็นส่วนหนึ่งของการหลอกลวงนี้
 สิ่งอื่น ๆ ที่ app สามารถทำได้คือปัจจุบัน UI ของโปรแกรมอื่น
 ในขณะที่มันทำงานมันจะปรากฏขึ้น UI Facebook
 มันบอกว่าคุณต้องใส่ชื่อผู้ใช้และรหัสผ่านของคุณเพื่อดำเนินการต่อ
 หรือใส่ชื่อผู้ใช้และรหัสผ่าน UI สำหรับเว็บไซต์
 ว่าอาจจะผู้ใช้ใช้เพียงเพื่อพยายามที่จะหลอกลวงผู้ใช้
 วางลงในสิทธิของตนค่ะ
 นี้เป็นจริงขนานตรงของการโจมตีฟิชชิ่งอีเมล์
 ที่มีคนส่งข้อความอีเมล
 และให้คุณโดยทั่วไป UI ปลอ​​มสำหรับเว็บไซต์
 ที่คุณมีการเข้าถึง
 

สิ่งอื่น ๆ ที่เรามองหาในรหัสที่เป็นอันตรายการปรับเปลี่ยนระบบ
 คุณสามารถมองหาทุกสาย API ที่จำเป็นต้องมีสิทธิ์ราก
 ที่จะดำเนินการได้อย่างถูกต้อง
 การเปลี่ยนพร็อกซี่เว็บของอุปกรณ์จะเป็นสิ่งที่ใช้
 ไม่ควรจะสามารถที่จะทำ
 แต่ถ้าโปรแกรมประยุกต์ที่มีรหัสในนั้นจะทำอย่างนั้น
 คุณรู้ไหมว่ามันอาจจะเป็นโปรแกรมที่เป็นอันตราย
 หรือสูงมากมีแนวโน้มที่จะเป็นโปรแกรมที่เป็นอันตราย
 และเพื่อให้สิ่งที่จะเกิดขึ้นคือการตรวจสอบจะมีวิธีการที่เพิ่มสิทธิพิเศษบางอย่าง
 มันจะมีการเพิ่มสิทธิประโยชน์บางอย่าง
 ในการประยุกต์ใช้และจากนั้นเมื่อมีการเพิ่มสิทธิประโยชน์
 มันจะปรับเปลี่ยนระบบเหล่านี้ คุณสามารถหามัลแวร์ที่มีการเพิ่มสิทธิ
 ในนั้นได้โดยไม่ต้องรู้วิธีการเพิ่มสิทธิ
 ประโยชน์ที่จะเกิดขึ้นและที่ดีวิธีที่ง่าย
 ที่จะมองหามัลแวร์
 DroidDream อาจจะเป็นชิ้นส่วนที่มีชื่อเสียงที่สุดของมัลแวร์ Android
 ฉันคิดว่ามันได้รับผลกระทบเกี่ยวกับ 250,000 คนในช่วงไม่กี่วัน
 ก่อนที่จะถูกพบ
 พวกเขาโฉมหน้า 50 โปรแกรมปลอม
 ทำให้พวกเขาในการจัดเก็บแอพพลิเค Android,
 และเป็นหลักที่จะใช้รหัสการแหกคุก Android เพื่อเพิ่มสิทธิพิเศษ
 แล้วติดตั้งคำสั่งและการควบคุมการเปิดและผู้ประสบภัยทั้งหมด
 เข้าสุทธิบอท แต่คุณสามารถตรวจพบนี้
 ถ้าคุณได้รับการสแกนใบสมัครและเพียงแค่มองหา
 API เรียกว่าได้รับอนุญาตจากรากที่จำเป็นในการดำเนินการอย่างถูกต้อง
 

และมีตัวอย่างที่นี่ผมมีที่มีการเปลี่ยนแปลงพร็อกซี่
 และนี้จริงจะใช้ได้เฉพาะใน Android
 คุณสามารถดูฉันให้คุณเป็นจำนวนมากตัวอย่างใน Android
 เพราะนี่คือที่ระบบนิเวศมัลแวร์ที่ใช้งานมากที่สุดคือ
 เพราะมันเป็นเรื่องง่ายสำหรับการโจมตีที่จะได้รับรหัสที่เป็นอันตราย
 ในตลาด Android
 มันไม่ง่ายที่จะทำเช่นนั้นใน Apple App Store
 เพราะแอปเปิ้ลต้องพัฒนาในการระบุตัวเอง
 และลงนามในรหัส
 พวกเขาจริงตรวจสอบว่าคุณเป็นใครและแอปเปิ้ลเป็นจริงการวิเคราะห์การใช้งาน
 เราไม่ได้เห็นมากของมัลแวร์จริงที่อุปกรณ์ที่มีการบุกรุก
 ฉันจะพูดคุยเกี่ยวกับตัวอย่างที่เป็นจริงความเป็นส่วนตัวที่ไ​​ด้รับการทำลายบางอย่าง
 และนั่นคือสิ่งที่เกิดขึ้นจริงๆในอุปกรณ์แอปเปิ้ล
 สิ่งหนึ่งที่จะมองหาโค้ดที่เป็นอันตรายรหัสมีความเสี่ยงในอุปกรณ์
 เป็นตรรกะหรือเวลาระเบิดและระเบิดครั้งนี้อาจเป็น
 ง่ายมากที่จะมองหาระเบิดตรรกะกว่า
 แต่ด้วยระเบิดครั้งสิ่งที่คุณสามารถทำได้คือคุณสามารถมองหา
 สถานที่ในรหัสที่เวลาที่มีการทดสอบหรือเวลาที่แน่นอนที่จะมองหา
 ก่อนที่จะทำงานบางอย่างในการตรวจสอบเกิดขึ้น
 และนี้สามารถทำได้เพื่อซ่อนกิจกรรมที่จากผู้ใช้
 เพื่อให้มันเกิดขึ้นในช่วงดึก
 DroidDream ทำทุกกิจกรรม 11:00-08:00 เวลาท้องถิ่น
 ที่จะลองทำมันในขณะที่ผู้ใช้อาจไม่ได้ใช้อุปกรณ์ของพวกเขา
 

เหตุผลที่จะทำเช่นนี้ก็คือถ้าคนใช้การวิเคราะห์พฤติกรรมของโปรแกรมประยุกต์
 ใช้ app ใน sandbox เพื่อดูว่าการทำงานของโปรแกรมคือ
 พวกเขาสามารถใช้ตรรกะตามเวลาที่จะทำกิจกรรม
 เมื่อ app ที่ไม่ได้อยู่ใน sandbox
 ตัวอย่างเช่นเก็บ app เช่นแอปเปิ้ล
 รันโปรแกรม แต่พวกเขาอาจไม่ได้เรียกใช้โปรแกรมประยุกต์สำหรับทุกพูด 30 วัน
 ก่อนที่จะอนุมัติมันเพื่อให้คุณสามารถใส่
 ตรรกะในใบสมัครของคุณที่กล่าวว่าไม่เป็นไรเพียง แต่ทำสิ่งที่ไม่ดี
 หลังจาก 30 วันที่ได้ไปโดยหรือหลังจาก 30 วันหลังจากวันที่เผยแพร่ของโปรแกรม
 และที่สามารถช่วยซ่อนรหัสที่เป็นอันตรายจากคนที่ตรวจสอบมัน
 หาก บริษัท ป้องกันไวรัสที่กำลังทำงานในสิ่งที่เรียงราย
 หรือร้านค้า app ตัวเองนี้จะช่วยให้
 ซ่อนว่าจากการตรวจสอบที่
 ตอนนี้พลิกด้านของที่มันเป็นเรื่องง่ายที่จะหาที่มีการวิเคราะห์แบบคงที่
 ดังนั้นการตรวจสอบจริงรหัสที่คุณสามารถมองหาทุกสถานที่
 ที่โปรแกรมการทดสอบเวลาและตรวจสอบวิธีการที่
 และที่นี่ฉันมีตัวอย่างบางประการเกี่ยวกับทั้ง 3 แพลตฟอร์มที่แตกต่าง
 วิธีการที่เวลาสามารถตรวจสอบโดยผู้ผลิตแอพพลิเค
 เพื่อให้คุณรู้ว่าสิ่งที่จะมองหาถ้าคุณกำลังตรวจสอบการตรวจสอบแบบคงที่
 

ฉันเพิ่งเดินผ่านทั้งกลุ่มของกิจกรรมที่เป็นอันตรายที่แตกต่างกัน
 ที่เราเคยเห็นในป่า แต่คนที่เป็นที่แพร่หลายมากที่สุด
 ว่าการศึกษาเดียวกันจาก North Carolina State มือถือโครงการจีโนม
 การเผยแพร่ข้อมูลบางอย่างและมีพื้น 4 พื้นที่
 ที่พวกเขาเห็นที่มีเป็นจำนวนมากของกิจกรรม
 37% ของปพลิเคชันได้เพิ่มสิทธิ์
 ดังนั้นพวกเขาจึงมีประเภทของรหัสแหกคุกบางอย่างในการมี
 ที่พวกเขาพยายามที่จะขยายสิทธิประโยชน์เพื่อให้พวกเขาสามารถทำได้
 ไม่คำสั่ง API ที่ใช้เป็นระบบปฏิบัติการ
 45% ของปพลิเคชันออกมีไม่ SMS พรีเมี่ยม
 เพื่อให้เป็นร้อยละขนาดใหญ่ที่พยายามที่จะสร้างรายได้โดยตรง
 93% ได้การควบคุมระยะไกลดังนั้นพวกเขาจึงพยายามที่จะตั้งค่าบอทเน็ต, บอทเน็ตมือถือ
 และ 45% ที่เก็บเกี่ยวข้อมูลที่ระบุ
 เช่นหมายเลขโทรศัพท์ UUIDs ที่ตั้งจีพีเอส, บัญชีผู้ใช้
 และนี้จะเพิ่มขึ้นมากกว่า 100 เพราะมัลแวร์ส่วนใหญ่พยายามที่จะทำบางสิ่งเหล่านี้
 

ฉันจะสลับไปยังช่วงครึ่งหลังและพูดคุยเกี่ยวกับช่องโหว่รหัส
 นี้เป็นช่วงครึ่งหลังของกิจกรรมที่มีความเสี่ยง
 ซึ่งเป็นที่ที่นักพัฒนาหลักคือการทำให้ข้อผิดพลาด
 นักพัฒนาที่ถูกต้องเขียนแอพพลิเคถูกต้องตามกฎหมาย
 คือการทำให้ข้อผิดพลาดหรือจะไม่รู้ถึงความเสี่ยงของแพลตฟอร์มโทรศัพท์มือถือ
 พวกเขาก็ไม่ทราบวิธีการทำ app มือถือที่มีความปลอดภัย
 หรือบางครั้งนักพัฒนาไม่สนใจเกี่ยวกับการวางผู้ใช้ที่มีความเสี่ยง
 บางครั้งเป็นส่วนหนึ่งของรูปแบบธุรกิจของพวกเขาอาจจะ
 การเก็บเกี่ยวข้อมูลส่วนบุคคลของผู้ใช้
 นั่นคือการจัดเรียงของประเภทอื่น ๆ และที่ว่าทำไมบางส่วนของที่เป็นอันตรายนี้
 เมื่อเทียบกับการเริ่มต้นที่ถูกต้องตกไปเพราะมีความแตกต่างของความคิดเห็น
 ระหว่างสิ่งที่ผู้ใช้ต้องการและสิ่งที่ผู้ใช้เห็นว่ามีความเสี่ยง
 และสิ่งที่นักพัฒนาโปรแกรมถือว่ามีความเสี่ยง แน่นอนว่ามันไม่ได้เป็นข้อมูลที่นักพัฒนาโปรแกรมในกรณีส่วนใหญ่
 

และแล้วในที่สุดวิธีการนี​​้เกิดขึ้นอีกเป็นผู้พัฒนาอาจจะเชื่อมโยงใน
 ห้องสมุดสาธารณะที่มีช่องโหว่หรือพฤติกรรมที่มีความเสี่ยงนี้อยู่ในนั้น
 ถิ่นกับพวกเขา
 ประเภทแรกคือการรั่วไหลของข้อมูลที่สำคัญ
 และนี่คือเมื่อ app ที่เก็บรวบรวมข้อมูล
 เช่นสถานที่ข้อมูลหนังสือที่อยู่, ข้อมูลเจ้าของ
 และส่งที่ปิดอุปกรณ์
 และเมื่อมีการปิดอุปกรณ์ที่เราไม่ทราบสิ่งที่เกิดขึ้นกับข้อมูลที่
 มันอาจจะถูกเก็บไว้อย่างไม่ปลอดภัยโดยการพัฒนาโปรแกรมประยุกต์
 เราได้เห็นนักพัฒนาโปรแกรมได้รับการทำลาย
 และข้อมูลที่พวกเขากำลังได้รับการจัดเก็บนำ
 เรื่องนี้เกิดขึ้นไม่กี่เดือนที่ผ่านมาเพื่อพัฒนาลงในฟลอริด้า
 ที่เป็นจำนวนมากของมันเป็น UUIDs iPad และชื่ออุปกรณ์
 ได้รั่วไหลออกมาเพราะคนที่ผมคิดว่ามันเป็นไม่ระบุชื่อ
 อ้างว่าการทำเช่นนี้บุกเข้าไปในเซิร์ฟเวอร์ของนักพัฒนานี้
 และขโมยล้าน iPad UUIDs
 และชื่อคอมพิวเตอร์
 ไม่ได้ข้อมูลที่มีความเสี่ยงมากที่สุด
 แต่ถ้าที่จัดเก็บชื่อผู้ใช้และรหัสผ่าน
 และที่อยู่ที่บ้าน
 มีจำนวนมากของปพลิเคชันที่จัดเก็บชนิดของข้อมูลที่
 ความเสี่ยงที่จะมี
 

สิ่งอื่น ๆ ที่สามารถเกิดขึ้นคือถ้านักพัฒนาไม่ดูแล
 การรักษาความปลอดภัยข้อมูลช่องทางและที่อื่นช่องโหว่ขนาดใหญ่ที่ฉันจะพูดคุยเกี่ยวกับ
 ข้อมูลที่จะถูกส่งในที่ชัดเจน
 หากผู้ใช้ที่อยู่บนเครือข่ายประชาชน Wi-Fi
 หรือคนที่มีการดมกลิ่นอิน​​เทอร์เน็ตที่ใดที่หนึ่ง
 ไปตามเส้นทางที่ข้อมูลจะถูกเปิดเผย
 หนึ่งในกรณีที่มีชื่อเสียงมากของการรั่วไหลข้อมูลนี้เกิดขึ้นกับแพนดอร่า
 และนี่คือสิ่งที่เราวิจัยที่ Veracode
 เราได้ยินว่ามีฉันคิดว่ามันเป็นคณะกรรมาธิการการค้าของรัฐบาลกลาง
 การตรวจสอบข้อเท็จจริงที่เกิดขึ้นกับแพนดอร่า
 เรากล่าวว่า "สิ่งที่เกิดขึ้นมี? เริ่มต้นให้ขุดเป็นโปรแกรมแพนดอร่า."
 และสิ่งที่เรากำหนดเป็นโปรแกรมแพนดอร่าที่เก็บรวบรวม
 เพศและอายุของคุณ
 และยังเข้าถึงตำแหน่ง GPS ของคุณและโปรแกรมแพนดอร่า
 ทำอย่างนี้สิ่งที่พวกเขากล่าวว่ามีเหตุผลที่ถูกต้อง
 เพลงที่พวกเขากำลังเล่นแพนดอร่าเป็น app เพลงสตรีมมิ่ง
 เพลงที่พวกเขากำลังเล่นได้รับอนุญาตเฉพาะในประเทศสหรัฐอเมริกา
 ดังนั้นพวกเขาจึงมีการตรวจสอบให้เป็นไปตามข้อตกลงใบอนุญาตของพวกเขาว่าพวกเขามี
 สำหรับการฟังเพลงที่ผู้ใช้อยู่ในประเทศสหรัฐอเมริกา
 พวกเขายังต้องการที่จะปฏิบัติตามคำแนะนำผู้ปกครอง
 ภาษาผู้ใหญ่รอบในเพลง
 และดังนั้นจึงเป็นโปรแกรมที่ความสมัครใจ แต่ที่พวกเขาต้องการเพื่อให้สอดคล้องกับที่
 และไม่ได้เล่นเพลงที่ชัดเจนกับเด็ก 13 และภายใต้
 

พวกเขามีเหตุผลที่ถูกต้องในการเก็บรวบรวมข้อมูลนี้
 app ของพวกเขามีสิทธิ์ที่จะทำมัน
 ผู้ใช้คิดว่านี้คือถูกต้องตามกฎหมาย แต่สิ่งที่เกิดขึ้น
 พวกเขาเชื่อมโยงใน 3 หรือ 4 ห้องสมุดโฆษณาที่แตกต่างกัน
 ตอนนี้ทั้งหมดในทันทีทุกห้องสมุดโฆษณาเหล่านี้
 จะได้รับการเข้าถึงข้อมูลเดียวกันนี้
 ห้องสมุดโฆษณาหากดูรหัสในห้องสมุดโฆษณา
 สิ่งที่พวกเขาทำคือห้องสมุดโฆษณาทุกกล่าวว่า
 "ไม่มี app ของฉันได้รับอนุญาตให้ได้รับตำแหน่งจีพีเอส"
 "โอ้ก็ไม่? เอาล่ะบอกตำแหน่ง GPS."
 ห้องสมุดโฆษณาทุกเดียวไม่ว่า
 และหากการตรวจสอบไม่ได้รับอนุญาตจีพีเอส
 มันจะไม่สามารถที่จะได้รับมัน แต่ถ้ามันไม่ก็จะได้รับมัน
 นี่คือที่รูปแบบธุรกิจของห้องสมุดโฆษณา
 เป็นศัตรูกับความเป็นส่วนตัวของผู้ใช้
 และมีการศึกษาออกมีที่จะบอกว่าถ้าคุณรู้ว่าอายุ
 ของบุคคลและคุณทราบตำแหน่งของพวกเขา
 ที่พวกเขานอนในเวลากลางคืนเพราะคุณมีพิกัด GPS ของพวกเขา
 ขณะที่พวกเขาอาจจะได้รับการนอนหลับคุณจะรู้ว่าใครเป็นคนที่
 เพราะคุณสามารถตรวจสอบว่าสมาชิกในครัวเรือนที่เป็นคนนั้น
 จริงๆนี้คือการระบุผู้โฆษณา
 ที่ว่าคุณเป็นใครและดูเหมือนว่ามันถูกต้องตามกฎหมาย
 ฉันต้องการเพียงแค่การสตรีมเพลงของฉันและนี่คือวิธีเดียวที่จะได้รับมัน
 

ดีเราสัมผัสนี้
 เราเขียนนี้ขึ้นในบล็อกโพสต์หลาย
 และจะเปิดออกว่าใครบางคนจากนิตยสารโรลลิงสโตน
 อ่านหนึ่งโพสต์บล็อกของเราและเขียนบล็อกของตัวเองในโรลลิงสโตนเกี่ยวกับเรื่องนี้
 และวันถัดไปมากแพนดอร่าคิดว่ามันเป็นความคิดที่ดี
 ในการลบห้องสมุดโฆษณาจากโปรแกรมของพวกเขา
 เท่าที่ผมรู้ว่าพวกเขากำลังเพียง แต่พวกเขาควรได้รับการยกย่อง
 ผมคิดว่าพวกเขากำลังเพียงประเภท freemium ของ app ที่มีการกระทำเช่นนี้
 ทั้งหมดปพลิเคชันอื่น ๆ freemium มีพฤติกรรมเดียวกันนี้
 เพื่อให้คุณได้มีการคิดเกี่ยวกับชนิดของข้อมูลที่คุณกำลังให้
 การใช้งานเหล่านี้ freemium เพราะทุกคนจะให้แก่ผู้โฆษณา
 กองกำลังนอกจากนี้ยังได้ศึกษาเกี่ยวกับห้องสมุดที่ใช้ร่วมกันและกล่าวว่า
 "ลองดูที่สิ่งที่ใช้ร่วมกันห้องสมุดเป็นห้องสมุดที่ใช้ร่วมกันบน" และนี่คือข้อมูล
 

พวกเขาวิเคราะห์ 53,000 ปพลิเคชัน
 และห้องสมุดที่ใช้ร่วมกันจำนวน 1 เป็น Admob
 มันเป็นความจริงใน 38% ของโปรแกรมออกมี
 ดังนั้น 38% ของการใช้งานที่คุณกำลังใช้
 มีแนวโน้มการเก็บเกี่ยวข้อมูลส่วนบุคคลของคุณ
 และส่งไปยังเครือข่ายโฆษณา Apache และ Android เป็น 8% และ 6%
 แล้วคนอื่น ๆ เหล่านี้ลงที่ด้านล่างโฆษณา Google, วุ่นวาย
 Mob ซิตี้และพันสื่อ
 เหล่านี้เป็น บริษัท โฆษณาทั้งหมดแล้วน่าสนใจพอ
 4% การเชื่อมโยงในห้องสมุด Facebook
 อาจจะทำการตรวจสอบผ่านทาง Facebook
 ดังนั้นการตรวจสอบสามารถตรวจสอบ Facebook
 แต่ยังหมายถึงการที่ บริษัท Facebook ควบคุมรหัส
 ที่ทำงานใน 4% ของปพลิเคชันมือถือ Android ออกมี
 และพวกเขามีการเข้าถึงข้อมูลทั้งหมดที่ app ที่มีสิทธิ์ที่จะได้รับที่
 Facebook เป็นหลักพยายามที่จะขายพื้นที่โฆษณา
 นั่นคือรูปแบบธุรกิจของพวกเขา
 

ถ้าคุณดูที่ระบบนิเวศทั้งหมดนี้มีสิทธิ์เหล่านี้
 และห้องสมุดที่ใช้ร่วมกันที่คุณจะเริ่มที่จะเห็นว่า
 คุณมีความเสี่ยงมากในการประยุกต์ใช้ถูกต้องตามกฎหมายตามที่คาดคะเน
 สิ่งเดียวกันที่คล้ายกันที่เกิดขึ้นกับแพนดอร่า
 ที่เกิดขึ้นกับโปรแกรมที่เรียกว่าเส้นทาง,
 และเส้นทางคิดว่าพวกเขามีประโยชน์นักพัฒนาที่เป็นมิตร
 พวกเขาเพียงแค่พยายามที่จะให้คุณประสบการณ์การใช้งานที่ดี
 และจะเปิดออกที่โดยไม่ต้องแจ้งผู้ใช้หรือบอกให้ผู้ใช้อะไรก็ได้
 และเรื่องนี้เกิดขึ้นบน iPhone และ Android,
 แพนดอร่า app บน iPhone และ Android-
 ที่ใช้เส้นทางได้รับการโลภสมุดที่อยู่ทั้งหมดของคุณ
 และอัปโหลดไปยังเส้นทางเพียงแค่เมื่อคุณติดตั้งและวิ่งสมัคร
 และพวกเขาไม่ได้บอกคุณเกี่ยวกับเรื่องนี้
 พวกเขาคิดว่ามันเป็นประโยชน์มากสำหรับคุณ
 เพื่อให้สามารถใช้ร่วมกันกับทุกคนในสมุดที่อยู่ของคุณ
 ว่าคุณกำลังใช้โปรแกรมเส้นทาง
 

ดีแน่นอนเส้นทางคิดว่านี้คือที่ดีสำหรับ บริษัท ของพวกเขา
 ไม่ได้ดังนั้นที่ดีให้กับผู้ใช้
 คุณต้องคิดว่ามันเป็นสิ่งหนึ่งที่อาจจะถ้าวัยรุ่น
 คือการใช้โปรแกรมนี้และนับสิบของเพื่อนอยู่ในนั้น
 แต่สิ่งที่ถ้าเป็นซีอีโอของ บริษัท ที่ติดตั้งเส้นทาง
 และแล้วทั้งหมดในทันทีหนังสือที่อยู่ทั้งของพวกเขาขึ้นอยู่ที่นั่น
 คุณจะได้รับจำนวนมากของข้อมูลการติดต่อที่มีค่าที่อาจ
 สำหรับจำนวนมากของผู้คน
 นักข่าวจากนิวยอร์กไทม์ส, คุณอาจจะสามารถที่จะได้รับหมายเลขโทรศัพท์
 กับอดีตประธานาธิบดีจากสมุดที่อยู่ของพวกเขา
 ดังนั้นเห็นได้ชัดมากของข้อมูลที่สำคัญได้รับโอนกับสิ่งที่ต้องการนี​​้
 มีเช่นพนังใหญ่เกี่ยวกับเรื่องนี้เส้นทางที่ขอโทษเป็น
 พวกเขาเปลี่ยนการตรวจสอบของพวกเขาและมันส่งผลกระทบต่อแม้แอปเปิ้ล
 แอปเปิ้ลกล่าวว่า "เรากำลังจะบังคับให้ผู้ผลิตแอพพลิเคเพื่อให้ผู้ใช้
 ถ้าพวกเขากำลังจะเก็บหนังสือที่อยู่ของพวกเขาทั้ง. "
 

ดูเหมือนว่าสิ่งที่เกิดขึ้นที่นี่
 เมื่อมีการละเมิดความเป็นส่วนตัวขนาดใหญ่และมันทำให้กด
 เราเห็นการเปลี่ยนแปลงออกมี
 แต่แน่นอนว่ายังมีสิ่งอื่น ๆ ที่ออกมี
 การประยุกต์ใช้ LinkedIn เก็บเกี่ยวรายการปฏิทินของคุณ
 แต่แอปเปิ้ลไม่ได้ทำให้ผู้ใช้จะได้รับแจ้งเกี่ยวกับที่
 รายการปฏิทินสามารถมีข้อมูลที่สำคัญในพวกเขาเกินไป
 ที่คุณจะวาดเส้น
 นี่คือจริงๆชนิดของการพัฒนาสถานที่
 ที่มีจริงๆไม่มีมาตรฐานที่ดีออกมี
 สำหรับผู้ใช้ที่จะเข้าใจเมื่อมีข้อมูลของพวกเขาเป็นไปได้ที่มีความเสี่ยง
 และเมื่อพวกเขากำลังจะได้รู้ว่ามันถูกนำ
 เราเขียน app ที่ Veracode ที่เรียกว่าออส,
 และเป็นหลักที่จะอนุญาตให้คุณสามารถชี้การตรวจสอบที่ไดเรกทอรี iTunes ของคุณ
 และดูที่การใช้งานทั้งหมดที่ได้รับการเก็บเกี่ยวหนังสือที่อยู่ของคุณเต็ม
 และอย่างที่คุณเห็นในรายการนี​​้ที่นี่, นกโกรธ
 AIM, AroundMe
 ทำไมนกโกรธที่ต้องการหนั​​งสือที่อยู่ของคุณหรือไม่
 ผมไม่ทราบ แต่ไม่อย่างใด
 

นี่คือสิ่งที่หลายคนใช้งานมากทำ
 คุณสามารถตรวจสอบรหัสสำหรับการนี​​้
 มี API ที่ดีที่กำหนดสำหรับ iPhone, Android และ BlackBerry เป็น
 ที่จะได้รับหนังสือที่อยู่
 คุณสามารถตรวจสอบได้ง่ายจริงๆนี้และนี่คือสิ่งที่เราทำในโปรแกรมออของเรา
 หมวดหมู่ถัดไปที่มีความสำคัญที่ไม่ปลอดภัยการเก็บรักษาข้อมูล
 เป็นสิ่งที่นักพัฒนาใช้บางอย่างเช่นเข็มหรือเลขที่บัญชี
 หรือรหัสผ่านและเก็บไว้ในที่ชัดเจนเกี่ยวกับอุปกรณ์
 แม้เขาอาจจะเก็บไว้ในพื้นที่บนโทรศัพท์
 ซึ่งสามารถเข้าถึงได้ทั่วโลกเช่นใน SD card
 คุณจะเห็นนี้บ่อยขึ้นใน Android เพราะ Android ช่วยให้การ์ด SD
 อุปกรณ์ไอโฟนทำไม่ได้
 แต่เรายังได้เห็นสิ่งนี้เกิดขึ้นในโปรแกรมประยุกต์ของซิตี้กรุ๊ป
 การประยุกต์ใช้ธน​​าคารออนไลน์ของพวกเขาเก็บไว้หมายเลขบัญชีไม่ปลอดภัย,
 เพียง แต่ในที่ชัดเจนดังนั้นถ้าคุณสูญเสียอุปกรณ์ของคุณ
 เป็นหลักคุณสูญเสียบัญชีธนาคารของคุณ
 นี่คือเหตุผลที่ผมเองไม่ทำธนาคารใน iPhone ของฉัน
 ฉันคิดว่ามันเสี่ยงเกินไปในตอนนี้ที่จะทำเหล่านี้ชนิดของกิจกรรม
 

Skype ทำสิ่งเดียวกัน
 Skype แน่นอนมียอดเงินในบัญชีชื่อผู้ใช้และรหัสผ่าน
 ที่เข้าถึงความสมดุลที่
 พวกเขาได้รับการจัดเก็บข้อมูลทั้งหมดที่อยู่ในที่ชัดเจนบนโทรศัพท์มือถือ
 ผมมีตัวอย่างบางส่วนที่นี่ในการสร้างไฟล์
 ที่ไม่ได้รับอนุญาตถูกต้องหรือเขียนลงในแผ่นดิสก์
 และไม่ได้มีการเข้ารหัสใด ๆ ที่เกิดขึ้นว่า
 นี้พื้นที่ถัดไปที่ไม่ปลอดภัยในการส่งข้อมูลที่สำคัญ
 ผมเคยพูดพาดพิงถึงนี้ไม่กี่ครั้งและเนื่องจากประชาชน Wi-Fi
 นี้คือสิ่งที่ปพลิเคชันอย่างต้องทำ
 และนี้อาจเป็นสิ่งที่เราเห็นไปอย่างผิดปกติมากที่สุด ฉันจะพูดจริงผมคิดว่าผมมีข้อมูลจริง
 แต่มันก็ใกล้เคียงกับครึ่งหนึ่งของการใช้งานมือถือ
 สกรูที่ทำ SSL
 พวกเขาก็ไม่ได้ใช้ APIs ได้อย่างถูกต้อง
 ผมหมายถึงทั้งหมดที่คุณได้ทำคือทำตามคำแนะนำและใช้ APIs,
 แต่พวกเขาไม่ได้สิ่งที่ต้องการตรวจสอบว่ามีใบรับรองที่ไม่ถูกต้องที่ปลายอีกด้านหนึ่ง
 ไม่ได้ตรวจสอบว่าปลายอีกด้านหนึ่งก็พยายามที่จะทำโจมตีโปรโตคอลปรับลด
 

นักพัฒนาที่พวกเขาต้องการที่จะได้รับช่องทำเครื่องหมายของพวกเขาใช่มั้ย
 ความต้องการของพวกเขาคือการใช้งานนี้ที่จะขาย พวกเขาได้ใช้วิธีนี้ในการขาย
 ความต้องการที่จะไม่ใช้นี้จะขายอย่างปลอดภัย
 และนี่คือเหตุผลที่การใช้งานทั้งหมดที่ใช้ SSL เพื่อรักษาความปลอดภัยข้อมูล
 ที่มันถูกส่งออกอุปกรณ์ที่จำเป็นต้องมีการตรวจสอบ
 เพื่อให้แน่ใจว่ามีการใช้งานอย่างถูกต้อง
 และที่นี่ผมมีตัวอย่างบางส่วนที่คุณสามารถดูโปรแกรม
 อาจจะมีการใช้ HTTP แทน HTTPS
 ในบางกรณีที่ปพลิเคชันจะถอยกลับไป HTTP
 ถ้า HTTPS จะไม่ทำงาน
 ฉันมีสายอื่นที่นี่ใน Android ที่พวกเขาได้ปิดการใช้งานการตรวจสอบใบรับรอง
 ดังนั้นการโจมตีมนุษย์ในกลางสามารถเกิดขึ้นได้
 ใบรับรองที่ไม่ถูกต้องจะได้รับการยอมรับ
 เหล่านี้ทุกกรณีที่มีการโจมตีที่เป็นไปได้สามารถที่จะได้รับใน
 การเชื่อมต่อ Wi-Fi เช่นเดียวกับผู้ใช้และการเข้าถึงข้อมูลทั้งหมดที่
 ที่ถูกส่งผ่านทางอินเทอร์เน็ต
 

และสุดท้ายประเภทสุดท้ายที่ฉันมีที่นี่เป็นรหัสผ่าน hardcoded และคีย์
 เราเห็นจริงมากนักพัฒนาใช้รูปแบบการเข้ารหัสเดียวกัน
 ที่พวกเขาได้เมื่อพวกเขาได้รับการสร้างโปรแกรมเว็บเซิร์ฟเวอร์
 ดังนั้นพวกเขาจึงกำลังสร้างโปรแกรมประยุกต์ของเซิร์ฟเวอร์ Java, และพวกเขากำลัง hardcoding สำคัญ
 ดีเมื่อคุณสร้างโปรแกรมประยุกต์ของเซิร์ฟเวอร์ใช่
 hardcoding ที่สำคัญคือไม่ได้ความคิดที่ดี
 มันทำให้มันยากที่จะเปลี่ยนแปลง
 แต่มันก็ไม่ได้เลวร้ายในฝั่งเซิร์ฟเวอร์เพราะที่มีการเข้าถึงฝั่งเซิร์ฟเวอร์หรือไม่
 เพียง แต่ผู้บริหาร
 แต่ถ้าคุณใช้รหัสเดียวกันและคุณเทมันไปยังโปรแกรมมือถือ
 ตอนนี้ทุกคนที่มีโปรแกรมบนมือถือที่มีการเข้าถึงที่สำคัญ hardcoded ที่
 และเราเห็นจริงนี้หลายครั้งและผมก็มีสถิติบางอย่าง
 กับวิธีการที่เรามักจะเห็นสิ่งนี้เกิดขึ้น
 มันเป็นจริงในตัวอย่างรหัสที่มาสเตอร์เผยแพร่
 เกี่ยวกับวิธีการที่จะใช้บริการของพวกเขา
 โค้ดตัวอย่างแสดงให้เห็นว่าคุณก็จะใช้รหัสผ่าน
 และวางไว้ในสตริง hardcoded มีสิทธิ์
 และเรารู้วิธีการพัฒนาความรักที่จะคัดลอกและวางตัวอย่างโค้ด
 เมื่อพวกเขากำลังพยายามที่จะทำบางสิ่งบางอย่างเพื่อให้คุณคัดลอกและวางข้อมูลรหัส
 ที่พวกเขาให้เป็นรหัสตัวอย่างและคุณมีโปรแกรมที่ไม่ปลอดภัย
 

และที่นี่เรามีตัวอย่างบางส่วน
 นี้คนแรกคือคนที่เราเห็นจำนวนมากที่พวกเขา hardcode
 ข้อมูลที่ถูกต้องเป็น URL ที่ได้รับส่ง
 บางครั้งเราจะเห็นรหัสผ่านสตริง = รหัสผ่าน
 ที่สวยง่ายต่อการตรวจสอบหรือรหัสผ่านสตริงใน BlackBerry และ Android
 มันเป็นจริงสวยง่ายต่อการตรวจสอบเพราะเกือบเสมอ
 ชื่อนักพัฒนาตัวแปรที่ถือรหัสผ่าน
 รูปแบบของรหัสผ่านบาง
 ที่ผมกล่าวว่าเราดำเนินการวิเคราะห์แบบคงที่ Veracode,
 ดังนั้นเราจึงได้วิเคราะห์หลายร้อย Android และ iOS การใช้งาน
 เราได้สร้างรูปแบบที่เต็มรูปแบบของพวกเขาและเราก็สามารถที่จะสแกน
 สำหรับช่องโหว่ที่แตกต่างกันโดยเฉพาะอย่างยิ่งความเสี่ยงที่ผมพูดเกี่ยวกับ
 และผมก็มีข้อมูลบางอย่างที่นี่
 68.5% ของปพลิเคชันที่เรามองที่
 แตกรหัสการเข้ารหัสลับ
 ซึ่งสำหรับเราที่เราไม่สามารถตรวจสอบได้หากคุณทำตามปกติการเข้ารหัสลับของคุณเอง
 ไม่ว่าเป็นความคิดที่ดี แต่นี้เป็นจริงโดยใช้ API สำหรับการตีพิมพ์
 ที่อยู่บนเวที แต่พวกเขาทำในลักษณะ
 การเข้ารหัสลับที่จะเสี่ยง 68.5
 และนี่คือสำหรับคนที่กำลังจะส่งให้เราใช้งานของพวกเขาจริงเพราะ
 พวกเขาคิดว่ามันเป็นความคิดที่ดีที่จะทำการทดสอบความปลอดภัย
 เหล่านี้มีอยู่แล้วคนที่อาจจะคิดอย่างปลอดภัย
 ดังนั้นมันอาจจะเลวร้ายยิ่ง
 

ผมไม่ได้พูดคุยเกี่ยวกับการฉีดอาหารเส้นควบคุม
 มันเป็นสิ่งที่เราได้ตรวจสอบ แต่ก็ไม่ได้หมายความว่ามีความเสี่ยงปัญหา
 รั่วไหลของข้อมูลนี้เป็นข้อมูลที่สำคัญที่จะถูกส่งออกอุปกรณ์
 เราพบว่าใน 40% ของการใช้งาน
 เวลาและรัฐที่มีการแข่งขันปัญหาชนิดของเงื่อนไขที่มักจะสวยยากที่จะใช้ประโยชน์จาก
 ดังนั้นฉันไม่ได้พูดคุยเกี่ยวกับที่ แต่เรามองไปที่มัน
 23% มีปัญหาการฉีด
 คนจำนวนมากไม่ทราบว่าเป็นจำนวนมากของการใช้งาน
 ใช้ฐานข้อมูลเล็ก ๆ น้อย ๆ เล็ก ๆ บนปลายด้านหลังของพวกเขาในการจัดเก็บข้อมูล
 ดีถ้าข้อมูลที่คุณกำลังโลภผ่านเครือข่าย
 มีสายการโจมตีฉีด SQL ในนั้น
 ใครบางคนที่สามารถประนีประนอมอุปกรณ์ผ่านที่
 และดังนั้นฉันคิดว่าเราพบประมาณ 40% ของการใช้งานเว็บมีปัญหานี้
 ซึ่งเป็นปัญหาการระบาดใหญ่
 เราพบว่ามัน 23% ของเวลาในการปพลิเคชันมือถือ
 และที่อาจจะเป็นเพราะหลายโปรแกรมเว็บใช้ SQL กว่ามือถือ
 

แล้วเรายังคงเห็นบางสคริปต์ข้ามไซต์ประเด็นการอนุมัติ
 แล้วการจัดการข้อมูลประจำตัวที่ที่คุณมีรหัสผ่านของคุณ hardcoded
 ใน 5% ของการใช้งานที่เราจะเห็นว่า
 และแล้วเราก็มีข้อมูลบางอย่างบน iOS
 81% มีปัญหาการจัดการข้อผิดพลาด นี้มีมากขึ้นของปัญหาที่มีคุณภาพรหัส
 แต่ 67% มีปัญหาการเข้ารหัสลับเพื่อให้ไม่ได้ค่อนข้างดีเท่าที่ Android
 บางที APIs มีนิด ๆ หน่อย ๆ ได้ง่ายขึ้นรหัสตัวอย่างเล็ก ๆ น้อย ๆ ที่ดีกว่าบน iOS
 แต่ยังคงเป็นเปอร์เซ็นต์ที่สูงมาก
 เรามี 54% ที่มีการรั่วไหลของข้อมูล
 ประมาณ 30% มีข้อผิดพลาดในการจัดการบัฟเฟอร์
 นั่นเป็นสถานที่ที่มีอาจจะเป็นปัญหาการทุจริตในหน่วยความจำ
 แต่กลับกลายเป็นว่าที่ไม่มากของปัญหาสำหรับการแสวงหาผลประโยชน์
 บน iOS เพราะรหัสทั้งหมดจะต้องมีการลงนาม
 ดังนั้นจึงเป็นเรื่องยากสำหรับผู้บุกรุกสามารถสั่งรันโปรแกรมบน iOS
 คุณภาพรหัสสำรวจเส้นทางไดเรกทอรี แต่แล้วการจัดการข้อมูลประจำตัวที่นี่ที่ 14.6%
 เพื่อให้เลวร้ายยิ่งกว่าใน Android
 เราได้คนไม่จัดการรหัสผ่านที่ถูกต้อง
 แล้วข้อผิดพลาดที่เป็นตัวเลขและหน่วยความจำล้น
 เหล่านี้จะมากขึ้นจะเป็นปัญหาคุณภาพรหัสบน iOS
 

นั่นคือมันสำหรับงานนำเสนอของฉัน ผมไม่ทราบว่าถ้าเราจะออกจากเวลาหรือไม่
 ผมไม่ทราบว่าถ้ามีคำถามใด ๆ
 [ชาย] คำถามอย่างรวดเร็วรอบการกระจายตัวและตลาด Android
 แอปเปิ้ลอย่างน้อยเป็นเจ้าของปะ
 พวกเขาจะได้งานที่ดีในการได้รับมันออกมีในขณะที่น้อยดังนั้นในพื้นที่ Android
 คุณเกือบจะต้องแหกคุกโทรศัพท์ของคุณจะอยู่ในปัจจุบัน
 กับรุ่นปัจจุบันของ Android
 ใช่ว่าเป็นปัญหาใหญ่และดังนั้นหากคุณคิดเกี่ยวกับ
 [ชาย] ทำไมคุณไม่สามารถทำซ้ำได้หรือไม่
 

โอ้ขวาดังนั้นคำถามคือสิ่งที่เกี่ยวกับการกระจายตัว
 ของระบบปฏิบัติการบนแพลตฟอร์ม Android?
 อย่างไรที่มีผลต่อความเสี่ยงของอุปกรณ์เหล่านั้นหรือไม่
 และเป็นจริงเป็นปัญหาใหญ่เพราะสิ่งที่เกิดขึ้นคือ
 อุปกรณ์รุ่นเก่าเมื่อมีคนขึ้นมาพร้อมกับการแหกคุกของอุปกรณ์นั้น
 เป็นหลักนั่นคือการเพิ่มสิทธิและจนกระทั่งระบบปฏิบัติการที่มีการปรับปรุง
 มัลแวร์ใด ๆ แล้วสามารถใช้ช่องโหว่ที่จะประนีประนอมกันโดยสิ้นเชิงอุปกรณ์
 และสิ่งที่เรากำลังเห็นใน Android อยู่ในลำดับที่จะได้รับระบบปฏิบัติการใหม่
 Google มีที่จะนำออกระบบปฏิบัติการและผู้ผลิตฮาร์ดแวร์
 มีการปรับแต่งและจากนั้นผู้ให้บริการจะต้องมีการปรับแต่งและส่งมอบ
 คุณมีพื้น 3 ชิ้นส่วนที่เคลื่อนไหวที่นี่
 และจะเปิดออกที่ผู้ให้บริการไม่สนใจ
 และผู้ผลิตฮาร์ดแวร์ไม่สนใจและ Google ไม่ได้ prodding พวกเขามากพอ
 ที่จะทำอะไรเพื่อเป็นหลักกว่าครึ่งหนึ่งของอุปกรณ์ออกมี
 มีระบบปฏิบัติการที่มีช่องโหว่เพิ่มสิทธิ์เหล่านี้ในพวกเขา
 และอื่น ๆ ถ้าคุณได้รับมัลแวร์บนอุปกรณ์ของคุณมันมากขึ้นของปัญหา
 

เอาล่ะขอบคุณมาก
 [เสียงปรบมือ]
 [CS50.TV]