[سیمینار] [ڈیوائس کے پیچھے کا دفاع: موبائل کی درخواست کی سیکورٹی]
 [کرس Wysopal] [ہارورڈ یونیورسٹی]
 [یہ CS50 ہے.] [CS50.TV]
 

گڈ آفٹر نون. میرا نام کرس Wysopal ہے.
 میں CTO اور Veracode کے شریک بانی ہوں.
 Veracode ایک درخواست سیکورٹی کمپنی ہے.
 ہم مختلف ایپلی کیشنز کی تمام اقسام کے ٹیسٹ،
 اور جو میں نے آج کے بارے میں بات کرنے جا رہا ہوں موبائل کی درخواست سیکورٹی ہے.
 میرا پس منظر میں سیکورٹی تحقیق کر دیا گیا ہے ہے
 ایک بہت طویل وقت کے لئے، شاید جب تک کسی کے بارے میں.
 میں وسط 90s میں شروع،
 اور یہ بہت دلچسپ تھا کہ ایک وقت تھا کیونکہ
 ہم وسط 90s میں ایک پیرا میٹر تبدیلی کی تھی.
 اچانک سب کے کمپیوٹر کے تمام انٹرنیٹ پر جھکا دیا گیا تھا،
 اور پھر ہم ویب ایپلی کیشنز کے آغاز تھا،
 اور یہ کہ میں تو ایک بہت پر توجہ مرکوز کی ہے.
 یہ دلچسپ ہے.
 اب ہم، کمپیوٹنگ کے ساتھ ہو رہا دوسرے پیرا میٹر تبدیلی ہے
 جو موبائل ایپلی کیشنز کے لیے تبدیلی ہے.
 

میں اس کے تو یہ دیر سے 90s میں تھا اسی طرح کی ایک وقت کی طرح ہے محسوس
 ہم ویب ایپلی کیشنز کی تحقیقات اور اس طرح کے نقائص تلاش کر رہے تھے جب
 سیشن کے انتظام کی غلطیاں اور SQL انجکشن
 جو واقعی اس سے پہلے موجود نہیں تھا، اور اچانک وہ ہر جگہ تھے
 ویب ایپلی کیشنز میں، اور اب میں خرچ وقت کی ایک بہت
 موبائل کی ایپلی کیشنز کو دیکھ کر اور جنگلوں میں وہاں کیا ہو رہا ہے دیکھ رہا ہے.
 موبائل کی ایپلی کیشنز واقعی غالب کمپیوٹنگ پلیٹ فارم پر جا رہے ہیں،
 تو ہم واقعی آپ کو سلامتی کی صنعت میں ہیں تو وقت کی ایک بہت خرچ کرنے کی ضرورت
 ویب ایپلی کیشنز پر توجہ مرکوز کی.
 2011 میں ڈاؤن لوڈ 29 ارب موبائل اطلاقات تھے.
 یہ 2014 کی طرف سے 76 ارب اطلاقات ہونا پیش گوئی کی ہے.
 اس سال خریدی جائے جا رہے ہیں کہ 686 ملین آلات ہے،
 لوگ کرنے جا رہے ہیں، جہاں تو یہ ہے
  ان کے کلائنٹ کمپیوٹنگ کی اکثریت آگے بڑھنے.
 

میں قطعی سالمیت سرمایہ کاری میں ایک نائب صدر پر بات کر رہا تھا
 ایک جوڑے ماہ قبل، اور وہ وہ صرف زیادہ ٹریفک دیکھا ہے
 ان کے گاہکوں کی طرف سے مالی لین دین کر
 اپنی ویب سائٹ پر سے ان کے موبائل کی درخواست پر،
 تو ماضی میں ویب کے لئے ایک عام استعمال کیا گیا ہے
 ،، آپ اسٹاک کوٹس کی جانچ پڑتال آپ کے پورٹ فولیو کا انتظام
 اور ہم اصل سے زیادہ 2012 سوئچ میں دیکھ رہے ہیں
 موبائل پلیٹ فارم پر زیادہ غالب ہو.
 کسی بھی مجرمانہ سرگرمی ہو جا رہا ہے یقینا اگر،
 کسی بھی درنساوناپورن سرگرمی، یہ موبائل پلیٹ فارم پر توجہ مرکوز کی جائے کرنے کے لئے شروع کرنے کے لئے جا رہا ہے
 لوگ اس کو سوئچ وقت کے طور پر.
 آپ کو موبائل پلیٹ فارم پر نظر ڈالیں تو،
 یہ مختلف تہوں میں کو توڑنے کے لئے مفید ہے پلیٹ فارم کے خطرات کو دیکھنے کے لئے،
 آپ ایک ڈیسک ٹاپ کمپیوٹر پر یہ کروں گا، جیسا
 اور آپ کو مختلف تہوں، سافٹ ویئر، آپریٹنگ سسٹم، کے بارے میں سوچتے
 نیٹ ورک لیئر، ہارڈ ویئر کی پرت، اور کورس کی، ان تمام تہوں پر خطرات ہے.
 

ایک ہی بات کے موبائل پر ہوتا ہے.
 لیکن موبائل، یہ ان تہوں میں سے کچھ دور بھی بدتر ہیں کہ لگتا ہے.
 ایک کے لئے، نیٹ ورک لیئر موبائل پر زیادہ پریشانی ہے
 بہت سے لوگوں کو ان کے دفتر میں یا گھر میں کیونکہ
 کنکشن وائرڈ یا وہ محفوظ وائی فائی کنکشن ہے،
 اور موبائل آلات کی ایک بہت کے ساتھ آپ کے گھر کے باہر ظاہر ہو
 یا ایک بہت دفتر کے باہر، اور آپ کے وائی فائی کا استعمال کرتے ہوئے کر رہے ہیں تو وہاں
 آپ کو ایک غیر محفوظ وائی فائی کنکشن کا استعمال کرتے ہوئے کیا جا سکتا ہے،
 ایک عوامی وائی فائی کنکشن ہے کہ کچھ،
 ہم موبائل ایپلی کیشنز کے بارے میں سوچنا تو جب ہم نے اکاؤنٹ میں لینے کے لئے ہے
 نیٹ ورک ماحول ان ایپلی کیشنز کے لیے riskier ہے
 وائی ​​فائی کا استعمال کیا جا رہا ہے جب.
 اور میں موبائل کی درخواست خطرات کے زیادہ میں جب
 کہ زیادہ اہم ہے کیوں آپ کو نظر آئے گا.
 موبائل آلات پر ہارڈ ویئر کی سطح پر خطرات ہیں.
 اس جاری تحقیق کا ایک ایسا علاقہ ہے.
 لوگ ان براڈبینڈ حملوں یا baseband حملوں فون
 آپ کو ریڈیو پر سن ہے فرم ویئر پر حملہ کر رہے ہیں جہاں.
 

یہ واقعی خوفناک حملے کر رہے ہیں کیونکہ
 صارف کچھ بھی کرنے کی ضرورت نہیں ہے.
 آپ آریف رینج کے اندر اندر آلات کے بہت سے مار کر سکتے ہیں
 ایک بار میں، اور اس تحقیق کو بلبلی جب بھی طرح لگتا ہے
 یہ فوری طور پر جہاں درجہ بندی ہو جاتا ہے
 لوگوں کے ارد گرد میں جھپٹا اور کہتے ہیں، "میں یہاں، اس کے بارے میں ہمیں بتائیں، اور اس کے بارے میں بات کر بند کریں."
 براڈبینڈ کے علاقے میں چل رہا ہے کچھ تحقیق ہے،
 لیکن یہ بہت رپورٹ کو دبانے کی رپورٹ کو دبانے لگتا ہے.
 میں اس پر جا رہا ہے کہ تحقیق کے ایک قومی ریاست کی قسم سے زیادہ ہے.
 فعال تحقیق کے ایک علاقے، اگرچہ، آپریٹنگ سسٹم کے پرت ہے،
 اور پھر، یہ ڈیسک ٹاپ کمپیوٹنگ کی دنیا میں سے مختلف ہے
 موبائل خلا میں آپ jailbreakers لوگوں کا ان ٹیموں ہے، کیونکہ
 اور jailbreakers باقاعدہ خطرے محققین سے مختلف ہیں.
 وہ، آپریٹنگ سسٹم میں خطرات کو تلاش کرنے کی کوشش کر رہے ہیں
 لیکن وہ خطرات کو تلاش کرنے کی کوشش کر رہے ہیں کی وجہ سے نہیں ہے
 کسی اور کی مشین میں کو توڑنے اور اس سمجھوتہ.
 یہ ان کے اپنے کمپیوٹر میں کو توڑنے کے لئے ہے.
 وہ ان کے اپنے موبائل میں کو توڑنے کے لئے چاہتے ہیں، >>، ان کے اپنے موبائل کا آپریٹنگ سسٹم پر نظر ثانی
 وہ اپنی پسند کی ایپلی کیشنز کو چلانے کر سکتے ہیں تاکہ
 اور مکمل انتظامی اجازت کے ساتھ چیزوں کو تبدیل،
 اور وہ اس کے بارے میں وینڈر بتانے کے لئے نہیں کرنا چاہتا. وہ ایک سفید ٹوپی سلامتی محقق ہے جس میں ایک سیکورٹی محقق پسند نہیں کر رہے ہیں
 ذمہ دار انکشاف کرتے ہیں اور اس کے بارے میں وینڈر بتانے کے لئے کی جا رہی ہے.
 وہ اس کی تحقیق کرنا چاہتے ہیں، اور وہ اصل میں اس میں شائع کرنا چاہتے
 میں ایک استحصال یا ایک rootkit یا ایک باگنی کوڈ،
 اور وہ حق کے بعد کی طرح، سامری یہ کرنا چاہتا ہوں
 وینڈر بحری جہاز نئے آپریٹنگ سسٹم.
 آپ اس معاندانہ تعلقات ہیں
 موبائل پر OS سطح کے خطرات کے ساتھ،
 میں بہت دلچسپ ہے، اور ایک ہی جگہ ہم اسے دیکھ جس
 اچھا استحصال شائع کوڈ وہاں ہے تو یہ کرتا ہے
 دانا کی سطح پر خطرات کے لئے،
 اور ہم اصل میلویئر لکھنے والوں کی طرف سے استعمال کیا جائے ان لوگوں کو دیکھا ہے.
 یہ پی سی دنیا سے تھوڑا سا مختلف ہے.
 اور پھر آخری پرت اوپر کی پرت، درخواست پرت ہے.
 یہی وجہ ہے کہ میں نے آج کے بارے میں بات کرنے کے لئے جا رہا ہوں.
 >>، دیگر تہوں کا وجود، اور دوسرے تہوں اس میں کھیلنے کے لئے
 لیکن میں زیادہ تر کی درخواست پرت میں کیا ہو رہا ہے کے بارے میں بات کرنے جا رہا ہوں
 کوڈ سینڈباکس میں چل رہا ہے جہاں.
 یہ انتظامی استحقاق نہیں ہے.
 یہ آلہ کی APIs کا استعمال کرنے کے لئے ہے،
 لیکن پھر بھی، درنساوناپورن سرگرمی کے ایک بہت اور خطرے کی ایک بہت ہے کہ پرت میں ہو سکتا ہے
 ہے کہ تمام معلومات ہے جہاں پرت ہے کیونکہ.
 ایپلی کیشنز کے آلے پر تمام معلومات تک رسائی حاصل کر سکتے ہیں
 وہ صحیح اجازت ہے تو،
 اور وہ ڈیوائس پر مختلف سینسر تک رسائی حاصل کر سکتے ہیں،
 جیپیایس سینسر، مائیکروفون، کیمرے، جو تمہارے پاس ہے.
 ہم صرف درخواست پرت کے بارے میں بات کر رہے ہیں اگرچہ
 ہم وہاں خطرے کی ایک بہت ہے.
 موبائل ماحول کے بارے میں مختلف ہے کہ دوسری بات یہ ہے
 تمام آپریٹنگ سسٹم کے کھلاڑیوں، یہ ہو جاتا ہے بلیک بیری یا لوڈ، اتارنا Android
 یا iOS یا ونڈوز موبائل، وہ سب کے سب، ایک ٹھیک grained اجازت کے ماڈل ہے
 اور یہ وہ آپریٹنگ سسٹم میں بنایا گیا ہے کہ طریقوں میں سے ایک ہے
 یہ آپ کو لگتا ہے کے طور پر خطرناک نہیں ہے کا خیال ہے کہ.
 آپ کو وہاں پر آپ کے تمام رابطوں اگرچہ، سب آپ کی ذاتی معلومات،
 آپ کو آپ کی فوٹو ہے، آپ کو، وہاں پر آپ کی جگہ ہے
 آپ وہاں پر آٹو لاگ ان کے لئے آپ کے بینک پن ذخیرہ کرنے کر رہے، یہ محفوظ ہے کیونکہ
 اطلاقات کے بعض حصوں پر حاصل کرنے کے لئے کچھ کی اجازت کی ضرورت ہے
 آلہ کے بارے میں معلومات، اور صارف کے ساتھ پیش کیا جائے کے لئے ہے
 ان کی اجازت اور ٹھیک ہے کا کہنا ہے کہ.
 

اس کے ساتھ مسئلہ ہمیشہ صارف ہے ٹھیک ہے کا کہنا ہے کہ.
 ایک سیکورٹی شخص کے طور پر، میں آپ کو صارف کو فوری طور کر سکتے ہیں،
 واقعی کچھ برا ہونے جا رہا ہے کا کہنا ہے کہ، اگر آپ ایسا کرنا چاہتے ہیں؟
 اور وہ جلدی میں ہیں یا اس کے دوسری طرف واقعی لباس وہاں کچھ ہے تو،
 کی طرح ایک کھیل ہے، انہوں نے کے لئے انتظار کر رہا ہے نصب کرنے کے لئے کی جا رہی ہے
 وہ ٹھیک ہے پر کلک کریں کرنے کے لئے جا رہے ہیں.
 میں نے صرف پہلے سے سواروں میں پرندوں فیںکنا دو یہاں میری سلائڈ پر کہنا ہے کہ یہی وجہ ہے کہ، ہے
 اور آپ کو ایک بلیک بیری کی اجازت باکس کی مثالیں نہیں ہے یہاں سلائڈ پر دیکھ سکتے ہیں.
 یہ "بلیک بیری سفر کی درخواست کی اجازت قائم کریں کا کہنا ہے کہ
 ، ذیل کے بٹن پر کلک "اور بنیادی طور پر صارف صرف کہنے جا رہا ہے کے بعد
 اجازت مقرر کریں اور بچانے کے.
 یہاں یہ چیزیں ظاہر کرتا ہے جہاں ایک لوڈ، اتارنا Android فوری طور پر ہے،
 اور یہ اصل میں تقریبا ایک انتباہ کی طرح لگتا ہے کہ کچھ رکھتا ہے.
 یہ، وہاں پیداوار سائن کہہ نیٹ ورک مواصلات، فون کال کی ایک طرح سے ہے
 لیکن صارف کا حق، انسٹال کریں پر کلک کریں کرنے کے لئے جا رہا ہے؟
 اور پھر ایپل کے ایک مکمل طور پر معصوم ہے.
 یہ انتباہ کسی بھی قسم کی نہیں دیتا.
 یہ ایپل اپنے موجودہ مقام استعمال کرنا چاہتے ہیں صرف.
 یقینا آپ ٹھیک ہے پر کلک کریں کرنے کے لئے جا رہے ہیں.
 

اس ٹھیک grained اجازت کے ماڈل، ہے
 اور اطلاقات وہ اعلان ہے جہاں ایک کھلی فائل ہوگا
 ، اجازت انہوں نے کی ضرورت ہے، اور اس صارف کے لئے ظاہر ہو جائے گا
 اور صارف کے میں ان کی اجازت دے کہنا پڑے گا.
 لیکن ایماندار ہو.
 صارفین کو صرف ہمیشہ ٹھیک کہتے جا رہے ہیں.
 ان اطلاقات کے لئے پوچھ رہے ہیں کہ اجازت پر ایک فوری نظر ڈالیں
 اور وہاں ہے کہ اجازت کی کچھ.
 یہ کمپنی Praetorian گزشتہ سال ایک سروے کیا
 لوڈ، اتارنا Android مارکیٹ اور 3rd پارٹی مارکیٹوں میں تجزیہ 53،000 ایپلی کیشنز کی،
 تو یہ تمام لوڈ، اتارنا Android ہے.
 اور اوسط اے پی پی کے 3 اجازت کی درخواست کی.
 کچھ اطلاقات 117 کی اجازت کی درخواست کی،
 تو ظاہر ہے ان کو سمجھنے کے لئے ایک صارف کے لئے grained اور جس طرح بہت پیچیدہ بہت ٹھیک ہیں
 وہ ان 117 اجازت کی ضرورت ہے کہ اس اپلی کیشن کے ساتھ پیش کر رہے ہیں.
 یہ 45 صفحات طویل ہے کہ اختتامی صارف لائسنس معاہدہ کی طرح ہے.
 شاید جلد ہی وہ اس کی طرح ہے جہاں ایک آپشن ہو گا
 اجازت پرنٹ اور مجھے ایک ای میل بھیجنے کے.
 

لیکن اگر آپ سب سے اوپر دلچسپ اجازت سے کچھ پر نظر ڈالیں تو
 وہ 53،000 سے باہر ڈاؤن لوڈ کہ اطلاقات کے 24٪
 آلہ سے درخواست GPS معلومات.
 8٪ رابطے پڑھیں.
 4٪ ایس ایم ایس بھیجا، اور 3 فی صد ایس ایم ایس موصول.
 2٪ آڈیو ریکارڈ.
 1٪ سبکدوش ہونے والے کالز پر عملدرآمد.
 مجھے پتہ نہیں ہے.
 میں، اپلی کیشن سٹور میں ایپلی کیشنز کا 4 فیصد واقعی ایس ایم ایس ٹیکسٹ پیغامات بھیجنے کے لئے کی ضرورت نہیں لگتا
 تو میں نے اس ناخوشگوار کچھ ہو رہا ہے کہ ایک اشارہ ہے.
 اطلاقات کے 8٪ آپ کے رابطے کی فہرست میں پڑھنے کے لئے کی ضرورت ہے. شاید یہ ضروری نہیں ہے.
 اجازت کے بارے میں دیگر دلچسپ چیزوں میں سے ایک ہے
 آپ کو آپ کی درخواست میں مشترکہ لائبریریوں میں منسلک ہو تو
 ان کی درخواست کی اجازت کے وارث،
 تاکہ آپ کی اے پی پی کے رابطے کی فہرست کی ضرورت ہے یا کام کرنے کے لئے GPS کے محل وقوع کی ضرورت ہے
 اور آپ کو مثال کے طور پر، ایک اشتہار لائبریری میں لنک،
 اس اشتھار لائبریری بھی روابط تک رسائی کرنے کے قابل ہو جائے گا
 اور بھی GPS کے محل وقوع تک رسائی حاصل کرنے کے قابل ہو جائے،
 اور اے پی پی کے ڈویلپر اشتھارات لائبریری میں چل رہا ہے کہ کوڈ کے بارے میں کچھ بھی نہیں جانتا.
 وہ ان کی اے پی پی سے رقم کمانا چاہتے ہیں کیونکہ وہ صرف یہ ہے کہ میں منسلک رہے ہیں.
 

اس جہاں ہے اور میں کے ساتھ اس کی کچھ مثالیں کے بارے میں بات کریں گے
 پنڈورا نامی ایک درخواست ہے جہاں ایک درخواست ڈویلپر
 نادانستہ طور پر معلومات لیک ہو سکتا ہے
 ان کے صارفین کی طرف سے کی وجہ سے وہ اندر سے منسلک ہے لائبریریوں کی
 تمام مختلف اطلاقات میں تلاش، وہاں زمین کی تزئین سروے
 درنساوناپورن یا کر کچھ صارفین کو نہیں کرنا چاہتا تھا کے طور پر نیوز میں رپورٹ کیا گیا ہے کہ
 اور اس کے بعد کی ایک بہت معائنہ اطلاقات ہم، موبائل اطلاقات پر مستحکم ثنائی کے تجزیہ کی ایک بہت کچھ
 تو ہم نے ان کا معائنہ کیا اور کوڈ میں دیکھا ہے خود
 ہم ایپلی کیشنز میں پرخطر رویے کی ہماری سب سے اوپر 10 کی فہرست میں کیا کہتے ہیں کے ساتھ آئے تھے.
 اور یہ، 2 حصوں، درنساوناپورن کوڈ میں ٹوٹ ہے
 تو ان اطلاقات کر ہو سکتا ہے کہ بری چیزیں ہیں کہ
 کہ ایک بدنیتی پر مبنی انفرادی کچھ ہونے کا امکان ہے
 خاص طور پر درخواست میں ڈال دیا، لیکن یہ تھوڑا سا فجی ہے ہے.
 یہ، ایک ڈویلپر ٹھیک ہے سوچتا ہے کہ کچھ بھی ہو سکتا ہے
 لیکن یہ صارف کی طرف سے کے طور پر بدنیتی پر مبنی کے بارے میں سوچا جا رہا ہے ختم ہو جاتی ہے.
 

اور پھر دوسرے حصے ہم خطرات کوڈنگ کہتے ہیں،
 اور ان کے ڈویلپر کے بنیادی طور پر غلطیوں ہے جہاں چیزیں ہیں
 یا صرف محفوظ طریقے سے اے پی پی کے لکھنے کے لئے کس طرح سمجھ نہیں ہے،
  اور اس خطرے میں اپلی کیشن صارف ڈال ہے.
 میں تفصیل میں ان کے ذریعے جاؤ اور کچھ مثالیں دینے جا رہا ہوں.
 حوالہ کے لئے، میں OWASP موبائل اوپر 10 کی فہرست پیش کرنا چاہتا تھا.
 ان 10 مسائل ہیں کہ OWASP میں ایک گروپ،
 کھولیں ویب ایپلیکیشن کی حفاظت پراجیکٹ، وہ ایک ورکنگ گروپ ہے
 ایک موبائل سب سے اوپر 10 کی فہرست پر کام کر رہے ہیں.
 وہ سب سے اوپر 10 ہیں جس میں ایک بہت ہی مشہور ویب کے سب سے اوپر 10 کی فہرست، ہے
 riskiest چیزیں آپ کو ایک ویب درخواست میں کر سکتے ہیں.
 وہ موبائل کے لئے ایک ہی بات کر رہے ہیں،
 اور ان کی فہرست میں ہمارے مقابلے میں تھوڑا مختلف ہے.
 10 میں سے 6 پر ایک ہی ہیں.
 وہ مختلف ہیں کہ 4 ہے.
 میں وہ پر ایک مختلف لے کے تھوڑا سا لگتا ہے
 موبائل اطلاقات میں خطرے جہاں ان کے مسائل کی ایک بہت
 واقعی درخواست واپس آخر سرور پر بات چیت کر رہا ہے کر رہے ہیں کس طرح
 یا کیا واپس آخر سرور پر چل رہا ہے،
 صرف براہ راست کلائنٹ ایپلی کیشنز ہیں کہ پرخطر رویے ہے کہ اتنا نہیں اطلاقات.
 

یہاں سرخ رنگ میں ہیں 2 فہرستوں کے درمیان اختلافات ہیں.
 اور میری تحقیق کی ٹیم کی کچھ اصل میں اس منصوبے کے لئے اہم کردار ادا کیا،
 تو ہم وقت کے ساتھ کیا ہوتا ہے نظر آئے گا، لیکن میں یہاں takeaway ہے
 ہم واقعی سب سے اوپر 10 کی فہرست میں موبائل اطلاقات میں کیا ہے کی وجہ معلوم نہیں
 وہ واقعی صرف کیا، اب 2 یا 3 سال کے لئے کے ارد گرد کیا گیا ہے
 اور واقعی آپریٹنگ سسٹمز پر تحقیق کے لئے کافی وقت نہیں کیا گیا ہے
 اور جو کچھ وہ کرنے کے قابل ہیں، اور کافی وقت نہیں کیا گیا ہے
 اگر آپ درنساوناپورن کمیونٹی کے لئے،، کافی وقت گزارا ہے
 موبائل اطلاقات کے ذریعے صارفین پر حملہ کرنے کی کوشش کر رہا ہے، تو میں نے ان فہرستوں کو تھوڑا سا تبدیل کرنے کے لئے کی توقع.
 لیکن اب کے لئے، ان کے بارے میں فکر کرنے کی سب سے اوپر 10 چیزیں ہیں.
 آپ کو موبائل کی طرف سے تعجب ہو سکتا ہے جہاں کرتا ہے درنساوناپورن موبائل کوڈ
 یہ کس طرح آلہ کرنے کے لئے پر حاصل کرتا ہے؟
 نارتھ کیرولینا اسٹیٹ موبائل میلویئر جینوم پروجیکٹ کے نام سے ایک منصوبہ ہے
 جہاں وہ، وہ کر سکتے ہیں کے طور پر زیادہ سے زیادہ موبائل میلویئر جمع کرنے اور اس کا تجزیہ کر رہے ہیں
 اور وہ، موبائل میلویئر کا استعمال کرتا ہے انجکشن ویکٹر ٹوٹ ہے
 اور 86٪، repackaging نامی ٹیکنالوجی کا استعمال
 اور اس لوڈ، اتارنا Android پلیٹ فارم پر ہی ہے
 اگر تم واقعی اس repackaging کر سکتے ہیں.
 

کی وجہ سے لوڈ، اتارنا Android کے کوڈ کے ساتھ بنایا گیا ہے ہے
 آسانی decompilable ہے جو Dalvik نامی ایک جاوا بائٹ کوڈ.
 کیا برا آدمی کیا کر سکتے ہیں ہے
 ایک لوڈ، اتارنا Android کی درخواست لے، یہ decompile کو،
 ان درنساوناپورن کوڈ داخل، یہ recompile کر،
 اور پھر اس کی درخواست کا ایک نیا ورژن ہو purporting اپلی کیشن سٹور میں اسے ڈال دیا،
 یا صرف ہو سکتا ہے کہ درخواست کا نام تبدیل.
 اس کھیل کے کچھ قسم کی تھی تو،، تھوڑا سا نام تبدیل
 اور اس طرح یہ repackaging موبائل میلویئر کے 86٪ تقسیم ہو جاتا ہے.
 ہے جو ایک ٹیکنالوجی کہا جاتا ہے اپ ڈیٹ نہیں ہے
 repackaging کی طرح، لیکن اگر آپ واقعی اندر درنساوناپورن کوڈ نہیں ڈال
 آپ کیا آپ ایک چھوٹا سا اپ ڈیٹ کے طریقہ کار میں ڈال دیا ہے.
 آپ decompile کو، آپ کو ایک اپ ڈیٹ کے طریقہ کار میں ڈال دیا، اور آپ کو اسے recompile کر،
 اور اس کے بعد اے پی پی یہ آلہ پر میلویئر نیچے ھیںچتی چل رہا ہے جب.
 

اب تک اکثریت ان 2 تراکیب ہیں.
 موبائل پر واقعی بہت ڈاؤن لوڈ، اتارنا ڈرائیو bys کی یا ڈرائیو کی طرف سے ڈاؤن لوڈ، نہیں ہے
 جعل سازی کا حملہ کی طرح ہو سکتا ہے.
 ارے، یہ واقعی ڈاؤن لوڈ، اتارنا ویب سائٹ کو چیک،
 یا آپ کو اس ویب سائٹ پر جائیں اور اس فارم کو پر کرنے کی ضرورت
 کچھ کرنے کو جاری رکھنے کے لئے. ان حملوں فشنگ ہیں.
 ایک ہی بات ہے موبائل پلیٹ فارم پر ہو سکتا ہے وہ کہاں
 ، ڈاؤن لوڈ، اتارنا کا کہنا ہے کہ ایک موبائل اپلی کیشن کی طرف اشارہ "ہیلو، یہ بینک آف امریکہ ہے."
 "ہم آپ کو اس درخواست کا استعمال کرتے ہوئے کر رہے ہیں کو دیکھنے کے."
 "تم اس دوسرے کی درخواست ڈاؤن لوڈ، اتارنا چاہئے."
 نظریاتی طور پر، یہ کام کر سکتے ہیں.
 شاید یہ صرف، یہ کامیاب ہے یا نہیں اس بات کا تعین کرنے کے لئے کافی استعمال کیا جا رہا ہے
 لیکن وہ وقت ہے کہ ٹیکنالوجی کے 1٪ سے کم استعمال کیا جاتا ہے پتہ چلا ہے کہ.
 وقت کی اکثریت یہ واقعی ایک repackaged کوڈ ہے.
 

دوسری قسم سے ملاقات کی اسٹینڈ نہیں ہے
 کسی کو صرف ایک نئے برانڈ کی درخواست بناتا ہے جہاں.
 وہ کچھ ہونا purports کہ ایک درخواست کی تعمیر.
 یہ کچھ کے repackaging نہیں ہے، اور یہ کہ درنساوناپورن کوڈ ہے.
 اس وقت کے 14٪ استعمال کیا جاتا ہے.
 اب میں درنساوناپورن کوڈ کیا کر رہا ہے کے بارے میں بات کرنا چاہتے ہیں؟
 وہاں سے باہر سب سے پہلے میلویئر سے ایک
 آپ کو ایک سپائیویئر کے بارے میں غور کر سکتے ہیں.
 یہ بنیادی طور پر صارف پر جاسوس.
 یہ ای میلز، ایس ایم ایس پیغامات کو جمع.
 یہ مائکروفون پر بدل جاتا ہے.
 یہ رابطہ کی کتاب کاشت، اور یہ کسی اور کے لئے اس سے دور بھیجتا ہے.
 سپائیویئر کے اس قسم کے پی سی پر موجود ہے،
 لوگوں کے موبائل آلات پر ایسا کرنے کی کوشش کرنے کے لئے تو یہ کامل احساس کرتا ہے.
 

اس کی پہلی مثال کے طور پر ایک خفیہ ایس ایم ایس Replicator کے نام سے ایک پروگرام تھا.
 یہ، سال کے ایک جوڑے پہلے لوڈ، اتارنا Android مارکیٹ پلیس میں تھا
 آپ کو کسی کی لوڈ، اتارنا Android فون پر تک رسائی تھی اور اگر خیال تھا
 تم پر جاسوسی کرنے کے لئے چاہتا تھا، تو شاید یہ آپ کا زوج ہے
 یا آپ کے دیگر اہم اور اگر آپ ان کے ٹیکسٹ پیغام رسانی پر جاسوسی کے لئے چاہتے ہیں،
 آپ اس اپلی کیشن ڈاؤن لوڈ، اتارنا اور اسے نصب اور اس کی تشکیل کر سکتے ہیں
 ایک کاپی کے ساتھ آپ کو ایک ایس ایم ایس متن پیغام بھیجنے کے لئے
 ہر ایس ایم ایس متن پیغام کی وہ مل گیا.
 ظاہر ہے، یہ، سروس کے اپلی کیشن سٹور کی شرائط کی خلاف ورزی میں ہے
 اور اس کے، یہ وہاں ہونے کے 18 گھنٹے کے اندر اندر لوڈ، اتارنا Android مارکیٹ سے ہٹا دیا گیا
 تو لوگوں کی ایک بہت چھوٹی سی تعداد میں اس کی وجہ سے خطرے میں تھے.
 اب، مجھے لگتا ہے کہ پروگرام میں کچھ شاید تھوڑا کم اشتعال انگیز بلایا گیا تھا تو
 خفیہ ایس ایم ایس Replicator کی طرح یہ شاید بہت بہتر کام کریں گے.
 لیکن اس قسم کی واضح تھا.
 

ہم اطلاقات ہم نہیں چاہتے کہ اس رویے ہے تو تعین کرنے کے لئے کر سکتے ہیں چیزوں میں سے ایک
 کوڈ کا معائنہ کرنے کے لئے ہے.
 یہ اصل میں ہم اطلاقات decompile کو کر سکتے ہیں لوڈ، اتارنا Android کرنے کے لئے بہت آسان ہے.
 iOS پر آپ IDA حامی کی طرح ایک disassembler استعمال کر سکتے ہیں
 اے پی پی کے بلا رہا ہے اور یہ کیا کر رہی ہے APIs کا کیا دیکھنے کے لئے.
 ہم اپنے کوڈ کے لئے ہمارے اپنے ثنائی جامد تجزیہ لکھا
 اور ہم ایسا، اور تو آپ کیا کر سکتے آپ کہہ سکتے ہیں ہے،
 آلہ بنیادی طور پر مجھ پر جاسوسی یا مجھ سے باخبر رہنے کی ہے کہ کچھ بھی کرتا ہے؟
 اور میں یہاں فون پر کچھ مثالیں ہیں.
 یہ پہلی مثال کے طور پر فون پر UUID تک رسائی حاصل کرنے کے لئے کس طرح ہے.
 یہ اصل میں ایپل صرف نئے ایپلی کیشنز کے لیے پابندی لگا دی ہے کہ کچھ ہے،
 لیکن آپ کو آپ کے فون پر چل رہا ہے ہو سکتا ہے کہ پرانے ایپلی کیشنز اب بھی ایسا کر سکتے ہیں،
 اور تو ہے کہ منفرد شناخت کنندہ آپ کو ٹریک کرنے کے لئے استعمال کیا جا سکتا
 بہت سے مختلف پروگراموں میں.
 

لوڈ، اتارنا Android، میں یہاں کے آلے کے محل وقوع کو حاصل کرنے کی ایک مثال ہے.
 تم، کہ API فون ہے کہ اگر اے پی پی سے باخبر رہنے کی ہے کر سکتے ہیں
 اور آپ کو یہ ٹھیک مقام یا موٹے محل وقوع ہو رہی ہے کہ آیا دیکھ سکتے ہیں.
 اور پھر یہاں نیچے، میں بلیک بیری پر کس طرح کی ایک مثال ہے
 ایک درخواست آپ کے ان باکس میں ای میل پیغامات تک رسائی حاصل کر سکتے ہیں.
 یہ آپ کو دیکھنے کے لئے معائنہ کر سکتے ہیں چیزوں کی طرح ہیں
 اے پی پی کے ان چیزوں کو کر رہا ہے.
 دوسری بڑی بدنیتی پر مبنی رویے کے زمرے، اور اب یہ شاید سب سے بڑی قسم ہے،
 ہے غیر مجاز ڈائلنگ، غیر مجاز پریمیم ایس ایم ایس ٹیکسٹ پیغامات
 یا غیر مجاز کی ادائیگی.
 فون کے بارے میں منفرد ہے کہ ایک اور چیز
 آلہ ایک بلنگ اکاؤنٹ جھکا دیا جاتا ہے،
 اور سرگرمیوں کے فون پر جب ہو
 یہ الزامات بنا سکتے ہیں.
 آپ کو فون پر چیزوں کو خرید سکتے ہیں،
 آپ ایک پریمیم ایس ایم ایس متن پیغام بھیجنے کی اور جب آپ کو اصل رقم دے رہے ہیں
 دوسری طرف فون نمبر کے اکاؤنٹ ہولڈر کے لئے.
 یہ اسٹاک کی قیمت درج کرنے حاصل کرنے کے لئے یا اپنے یومیہ کنڈلی یا دوسری چیزوں کو حاصل کرنے کے لئے قائم کیا گیا تھا،
 لیکن وہ ایک ایس ایم ایس متن بھیجنے کی طرف سے ایک مصنوعات کے حکم سے قائم کیا جا سکتا.
 لوگ ایک متن پیغام بھیجنے کی طرف سے ریڈ کراس کے پیسے دے.
 آپ $ 10 اس طرح دے سکتے ہیں.
 

وہ کیا ہے حملہ آوروں، وہ قائم ہے
 غیر ملکی ممالک میں اکاؤنٹس، اور وہ میلویئر میں سرایت
 فون ایک پریمیم ایس ایم ایس متن پیغام بھیجیں گے کہ،
 چند بار ایک دن میں، اور آپ خرچ کر دیا ہے آپ کو احساس ماہ کے آخر میں، کا کہنا ہے کہ
 دسیوں یا شاید ڈالر کی بھی سینکڑوں، اور وہ پیسے کے ساتھ دور چل.
 یہ بہت پہلے بات ہے کہ اتنی بری ہے کہ لوڈ، اتارنا Android
 مارکیٹ یا گوگل کی جگہ یہ، وقت میں لوڈ، اتارنا Android مارکیٹ پلیس تھا
 اور یہ گوگل کھیلیں گوگل کے لئے جانچ پڑتال شروع کر دیا کہ پہلی بات اب ہے.
 گوگل ان اپلی کیشن سٹور میں لوڈ، اتارنا Android اطلاقات کی تقسیم شروع کر دیا
 وہ کچھ کے لئے چیک کرنے کے لئے نہیں جا رہے ہیں.
 ہم وہ ہماری سروس کی شرائط توڑ دیا بارے میں مطلع کر دیا گیا ہے ایک بار ہم اطلاقات ھیںچو گا،
 لیکن ہم کچھ کے لئے چیک کرنے کے لئے نہیں کر رہے ہیں. ٹھیک ہے، کے بارے میں ایک سال پہلے یہ پریمیم SMS متنی پیغام میلویئر کے ساتھ اتنا برا ہے
 وہ اس کے لئے جانچ پڑتال شروع کر بہت پہلے بات یہ ہے کہ.
 ایک اپلی کیشن ایس ایم ایس ٹیکسٹ پیغامات بھیج سکتے ہیں
 وہ مزید دستی طور پر درخواست ہے کہ جانچ پڑتال.
 انہوں نے اس فون ہے کہ APIs کے لئے نظر آتے ہیں،
 اور اب اس کے بعد گوگل کو وسعت دی ہے،
 لیکن اس کے لئے وہ تلاش شروع کی کہ پہلی بات تھی.
 

کچھ ایس ایم ایس ٹیکسٹ پیغامات کیا ہے کہ کچھ دیگر اطلاقات،
 یہ لوڈ، اتارنا Android Qicsomos، میں یہ کہا جاتا ہے لگتا ہے.
 اس CarrierIQ باہر آئے جہاں موبائل پر اس موجودہ واقعہ نہیں تھا
 کے طور پر سپائیویئر، کیریئرز کی طرف سے آلہ پر ڈال دیا
 تاکہ لوگ، ان کے فون پر اس کا شکار تھا تو میں جاننا چاہتا تھا
 اور یہ اس کا تجربہ کیا ہے کہ ایک مفت اپلی کیشن تھا.
 ٹھیک ہے، کورس کی، کیا اس اپلی کیشن کیا، یہ پریمیم ایس ایم ایس ٹیکسٹ پیغامات بھیج دیا گیا
 تو آپ سپائیویئر کے ساتھ سنکردوست کر رہے ہیں دیکھنے کے لئے جانچ کی طرف سے
 آپ کو آپ کے آلے پر میلویئر بھری ہوئی.
 ہم ایک ہی بات گزشتہ سپر باؤل میں ہو نے دیکھا.
 پاگل فٹ بال کھیل کی ایک جعلی ورژن نہیں تھا
 کہ پریمیم ایس ایم ایس ٹیکسٹ پیغامات بھیج دیا.
 یہ اصل میں کے آلے پر بھی ایک بیوٹی نیٹ ورک تخلیق کرنے کی کوشش کی.
 میں یہاں کچھ مثالیں ہیں.
 دلچسپ بات یہ کافی، ایپل، بہت ہوشیار تھا
 اور وہ ایپلی کیشنز میں تمام ایس ایم ایس ٹیکسٹ پیغامات بھیجنے کی اجازت نہیں دیتے.
 کوئی اے پی پی ایسا کر سکتے ہیں.
 یہی وجہ ہے کہ خطرے کی ایک پوری کلاس سے چھٹکارا حاصل کرنے کا ایک عظیم طریقہ ہے،
 لیکن لوڈ، اتارنا Android پر آپ یہ کر سکتے ہیں، اور کورس کی، بلیک بیری پر آپ بھی ایسا کر سکتے ہیں.
 یہ بلیک بیری پر آپ سب کی ضرورت انٹرنیٹ کی اجازت ہے کہ دلچسپ ہے
 ایک ایس ایم ایس متن پیغام بھیجنے کے لئے.
 

ہم نے کے لئے نظر آتے ہیں واقعی اس دوسری بات یہ ہے
 ہم کچھ بدنیتی پر مبنی ہے کو دیکھنے کے لئے تلاش کر رہے ہیں بس جب کسی بھی قسم کی ہے
 غیر مجاز نیٹ ورک کی سرگرمیوں، کی طرح کے نیٹ ورک کی سرگرمیوں پر نظر
 اے پی پی اس کی فعالیت کی ضرورت ہے کرنے کے لئے سمجھا جاتا ہے،
 اور اس کے دیگر نیٹ ورک کی سرگرمیوں پر نظر.
 شاید کام کرنے کے لئے ایک اپلی کیشن،، HTTP پر اعداد و شمار حاصل کرنے کے لئے ہے،
 لیکن یہ ای میل یا ایس ایم ایس یا بلوٹوت یا اس طرح کچھ پر کام کر رہی ہے تو
 اب اپلی کیشن ہے کہ ممکنہ طور پر بدنیتی پر مبنی ہو سکتا ہے، تو یہ آپ کے لئے معائنہ کر سکتے ہیں ایک اور بات ہے.
 اور یہاں میں اس سلائڈ پر اس کی کچھ مثالیں ہیں.
 ہم میلویئر کے ساتھ دیکھا ایک اور دلچسپ بات یہ ہے، 2009 ء میں واپس ہوا
 اور یہ ایک بڑا راستہ میں ہوا.
 اس کے بعد سے بہت زیادہ ہوا ہے تو مجھے پتہ نہیں ہے، لیکن یہ ایک اپلی کیشن تھا
 کہ ایک اور درخواست نقالی.
 ، وہاں اطلاقات کی ایک سیٹ تھا، اور یہ 09Droid حملے میں ڈب کیا گیا
 اور کسی چھوٹے، علاقائی، midsize بینکوں کی ایک بہت تھے نے فیصلہ کیا کہ
 آن لائن بینکنگ کی ایپلی کیشنز نہیں ہے،
 تو کیا انہوں نے کے بارے میں وہ 50 آن لائن بینکنگ کی ایپلی کیشنز کے بنایا گیا تھا
 انہوں نے تمام صارف کا نام اور پاس لے گیا تھا کہ
 اور ویب سائٹ کے لئے آپ کو ری ڈائریکٹ.
 اور تاکہ وہ گوگل کی مارکیٹ میں یہ سب ڈال،
 لوڈ، اتارنا Android مارکیٹ میں، اور کسی کی تلاشی جب دیکھنے کے لئے اگر ان کے بینک
 ، وہ جعلی درخواست ملے گا ایک درخواست تھی
 ان کی اسناد جمع کیا اور پھر ان کی ویب سائٹ پر ان کے ری ڈائریکٹ ہے.
 یہ اصل میں اس طرح بن گیا ہے اطلاقات، چند ہفتوں کے لئے وہاں موجود تھے
 اور ڈاؤن لوڈ کے ہزاروں اور ہزاروں کی تعداد میں تھے.
 

اس روشنی کے لئے آیا تھا جس طرح کسی ایک مسئلہ تھا
 ایپلی کیشنز کی ایک ہے، اور وہ ان کے بینک کہا جاتا ہے، کے ساتھ
 اور وہ ان کے بینک کے کسٹمر سپورٹ لائن کو بلایا اور کہا،
 "میں آپ کے موبائل بینکاری کی درخواست کے ساتھ ایک مسئلہ آ رہا ہے."
 "کیا آپ میری مدد کر سکتے ہیں؟"
 اور وہ "ہم ایک موبائل بینکنگ کی درخواست کی ضرورت نہیں ہے."، انہوں نے کہا کہ
 اس تحقیقات شروع کر دیا.
 ، کہ بینک گوگل کہا جاتا ہے، اور پھر گوگل دیکھا اور کہا
 "واہ، اسی مصنف، 50 بینک ایپلی کیشنز لکھا ہے" اور ان سب سے نیچے لے گئے.
 لیکن یقینی طور پر اس کو دوبارہ ہو سکتا ہے.
 تمام مختلف بینکوں کی فہرست یہاں ہے
 کہ اس اسکینڈل کا حصہ تھے.
 ایک اپلی کیشن کر سکتے ہیں دوسری بات یہ ہے ایک اور درخواست کی UI کے موجود ہے.
 یہ چل رہا ہے جبکہ اس کے فیس بک UI کے پاپ کر سکتے ہیں.
 یہ آپ کو جاری رکھنے کے لئے آپ کے صارف کے نام اور پاس ورڈ میں ڈال دیا ہے کا کہنا ہے کہ
 یا ویب سائٹ کے لئے کسی بھی صارف کے نام اور پاس ورڈ UI ڈال
 کہ شاید صارف دھوکہ کرنے کی کوشش کرنے کے لئے صرف استعمال کرتا ہے
 اندر ان کی اسناد ڈال میں
 یہ واقعی ای میل فشنگ کے حملوں کے ایک براہ راست متوازی ہے
 اگر کوئی آپ کو ایک ای میل پیغام بھیجتا ہے جہاں
 اور آپ کو ایک ویب سائٹ کے لئے بنیادی طور پر ایک جعلی UI فراہم کرتا ہے
 آپ کو رسائی حاصل ہے.
 

ہم درنساوناپورن کوڈ میں کرتے نظر آتے دوسری بات یہ نظام ترمیم ہے.
 اگر آپ کو جڑ استحقاق کی ضرورت ہوتی ہے تمام API کالوں کے لئے دیکھ سکتے ہیں
 درست طریقے پر عمل کرنے کی.
 آلہ کی ویب پراکسی تبدیل کرنے سے ایک درخواست ہے کہ کچھ ہو جائے گا
 ایسا کرنے کے قابل نہیں ہونا چاہئے.
 لیکن درخواست ہے کہ ایسا کرنے کے لئے وہاں میں کوڈ ہے
 آپ کو شاید یہ بدنیتی پر مبنی درخواست ہے جانتے ہیں کہ
 یا بہت انتہائی بدنیتی پر مبنی درخواست کا امکان،
 اور تو کیا ہوگا اے پی پی استحقاق بڑھتی کے کچھ طریقہ ہے کہ ہے.
 یہ کچھ استحقاق اضافہ کا استحصال ہوگا
 یہ استحقاق بڑھ درخواست میں، اور اس کے بعد ایک بار
 یہ نظام ترمیم کروں گا. آپ استحقاق اضافہ ہے کہ میلویئر تلاش کر سکتے ہیں
 اس میں بھی کس طرح استحقاق اضافہ جانے بغیر
 استحصال ہونے جا رہا ہے، اور یہ کہ ایک اچھی، آسان طریقہ ہے
 میلویئر کے لئے تلاش کرنے کے لئے.
 DroidDream شاید لوڈ، اتارنا Android میلویئر کی سب سے مشہور ٹکڑا تھا.
 میں یہ ایک چند دنوں کے دوران 250،000 صارفین متاثر لگتا ہے
 یہ محسوس کیا گیا اس سے پہلے.
 وہ 50 جعلی ایپلی کیشنز repackaged،
 لوڈ، اتارنا Android اپلی کیشن سٹور میں ڈال دیا،
 اور بنیادی طور پر یہ استحقاق تیز لوڈ، اتارنا Android باگنی کوڈ استعمال کیا جاتا ہے
 اور پھر ایک کمانڈ انسٹال اور تمام متاثرین کو کنٹرول اور باری
 ایک بیوٹی نیٹ ورک میں، لیکن آپ کو اس کا پتہ کر سکتے ہیں
 آپ کی درخواست سکیننگ اور صرف کے لئے تلاش کر رہے تھے تو
 API کی ضرورت جڑ کی اجازت کے صحیح طریقے سے عملدرآمد کرنے کے لئے اس کا مطالبہ.
 

اور میں پراکسی تبدیل کر رہا ہے جس میں ہے یہ ایک مثال ہے،
 اور یہ اصل لوڈ، اتارنا Android پر دستیاب ہے.
 آپ میں آپ کے لوڈ، اتارنا Android مثالیں کی ایک بہت دے رہا ہوں دیکھ سکتے ہیں
 سب سے زیادہ فعال میلویئر ماحول ہے جہاں اس وجہ سے ہے
 یہ درنساوناپورن کوڈ حاصل کرنے کے لئے ایک حملہ آور کے لئے بہت آسان ہے کیونکہ
 لوڈ، اتارنا Android بازار میں.
 یہ ایپل اپلی کیشن سٹور میں ایسا کرنے کے لئے اتنا آسان نہیں ہے
 ایپل خود کو شناخت کرنے کے لئے ڈویلپرز کی ضرورت ہوتی ہے، کیونکہ
 اور کوڈ پر دستخط.
 وہ اصل میں آپ کون ہیں چیک کریں، اور ایپل اصل میں ایپلی کیشنز کی جانچ پڑتال کی جاتی ہے.
 ہم ڈیوائس کا سمجھوتہ ہو رہی ہے جہاں سچ میلویئر کی ایک بہت دیکھ نہیں.
 میں، یہ واقعی میں سمجھوتہ ہو رہی ہے کہ نجی معلومات کی حفاظتی جہاں کچھ مثالیں کے بارے میں بات کریں گے
 اور یہ کہ واقعی ایپل ڈیوائس پر کیا ہو رہا ہے.
 درنساوناپورن کوڈ تلاش کرنے کے لئے ایک اور چیز، آلات میں پرخطر کوڈ
 منطق یا وقت بم ہے، اور وقت بم شاید
 بہت آسان منطق بم سے تلاش کرنے کے لئے.
 لیکن وقت بم کے ساتھ، کیا آپ کر سکتے ہیں آپ کے لئے تلاش کر سکتے ہیں ہے
 وقت ٹیسٹ ہے جہاں کوڈ یا ایک مطلق وقت میں مقامات کے لئے دیکھا ہے
 اپلی کیشن میں کچھ فعالیت ہونے سے پہلے.
 اور یہ، صارف کی طرف سے ہے کہ سرگرمی کو چھپانے کے لئے کیا جا سکتا ہے
 تو اس رات کو دیر سے ہو رہا ہے.
 DroidDream 11 بجے اور 8 صبح مقامی وقت کے درمیان تمام اس کی سرگرمیوں نے
 صارف کو ان کے آلہ استعمال نہیں کیا جا سکتا جبکہ ایسا کرنے کی کوشش کرنے کے لئے.
 لوگوں کو ایک درخواست کے رویے کا تجزیہ کا استعمال کرتے ہوئے کر رہے ہیں تو 

ایسا کرنے کی ایک اور وجہ ہے،
 ، درخواست کے رویے میں کیا ہے دیکھنے کے لئے ایک سینڈباکس میں اے پی پی چل رہا ہے
 وہ سرگرمی کرنے کے لئے وقت کی بنیاد پر منطق استعمال کر سکتے ہیں
 اے پی پی کے سینڈباکس میں نہیں ہے جب.
 ایپل کی طرح مثال کے طور پر، ایک اپلی کیشن سٹور
 درخواست چلاتے ہیں، لیکن وہ شاید، کا کہنا ہے کہ، 30 دنوں کے لئے ہر درخواست کو چلانے نہیں ہے
 اس کی منظوری سے پہلے، تو آپ کو ڈال کر سکتے ہیں
 ٹھیک ہے، صرف برا کام کرتے ہیں، نے کہا کہ آپ کی درخواست میں منطق
 30 دن، کی درخواست کی شائع تاریخ کے بعد 30 دن کی طرف سے یا اس کے بعد چلا گیا ہے کے بعد
 اور یہ کہ اس کے لئے معائنہ لوگوں سے درنساوناپورن کوڈ چھپائیں مدد کر سکتے ہیں.
 اینٹی وائرس کمپنیوں sandboxes میں چیزیں چلا رہے ہیں
 یا اپلی کیشن اسٹورز خود اس کی مدد کر سکتے ہیں
 کہ معائنہ سے اس کو چھپانے کے.
 اب، اس کا دوسرا پہلو، یہ جامد تجزیہ کے ساتھ تلاش کرنے کے لئے آسان ہے ہے
 تو اصل میں آپ تمام جگہوں کے لئے تلاش کر سکتے ہیں کے کوڈ کا معائنہ
 درخواست کے وقت امتحان اور اس طرح کا معائنہ جہاں.
 اور یہاں میں ان 3 مختلف پلیٹ فارمز پر کچھ مثالیں ہیں
 وقت اے پی پی بنانے کی طرف سے کی جانچ پڑتال کر سکتے ہیں کس طرح
 تو تم سے Statically اپلی کیشن کا معائنہ کر رہے ہیں تلاش کرنے کے لئے پتہ ہے کیا.
 

میں صرف مختلف بدنیتی پر مبنی سرگرمیوں کی ایک پوری چڑھانے کے ذریعے چلا گیا
 ہم جنگلی میں دیکھا ہے، لیکن جو سب سے زیادہ مقبول ہیں؟
 نارتھ کیرولینا اسٹیٹ موبائل جینوم پروجیکٹ سے اسی مطالعہ
 کچھ اعداد و شمار شائع، اور 4 علاقوں میں بنیادی طور پر وہاں موجود تھے
 کی سرگرمیوں کی ایک بہت تھا وہ کہاں دیکھا ہے.
 اطلاقات کے 37٪، استحقاق اضافہ کیا
 تاکہ وہ وہاں باگنی کوڈ کے کچھ کی قسم تھی
 وہ استحقاق تیز کرنے کی کوشش کی، جہاں وہ کر سکتے تھے تاکہ
 API کے حکم کے آپریٹنگ سسٹم کے طور پر چل رہا ہے.
 اطلاقات کے 45٪ وہاں، پریمیم ایس ایم ایس کیا ہے
 تو اس کا براہ راست رقم کمانے کی کوشش کر رہا ہے کہ ایک بڑا حصہ ہے.
 93٪ ریموٹ کنٹرول کیا، تاکہ وہ ایک بیوٹی نیٹ، ایک موبائل بیوٹی نیٹ قائم کرنے کی کوشش.
 اور 45٪ معلومات کی شناخت کھیتی
 فون نمبر، UUIDs، GPS کے محل وقوع، صارف اکاؤنٹس، کی طرح
 سب سے زیادہ میلویئر ان چیزوں میں سے چند ایک کرنے کی کوشش کرتا ہے کیونکہ اور یہ 100 سے زیادہ تک اضافہ کر دیتی.
 

میں دوسرے نصف حصے پر سوئچ اور کوڈ خطرات کے بارے میں بات کرنے جا رہا ہوں.
 یہ خطرناک سرگرمی کے دوسرے نصف ہے.
 ڈویلپر کی غلطیاں کر رہا ہے جہاں بنیادی طور پر ہے.
 ایک جائز اپلی کیشن ایک لکھنے جائز ڈویلپر
 غلطیوں کو بنانے یا موبائل پلیٹ فارم کے خطرات سے جاہل ہے.
 وہ صرف ایک محفوظ موبائل اپلی کیشن بنانے کے لئے کس طرح نہیں جانتے،
 یا کبھی کبھی ڈویلپر خطرے میں صارف ڈال کے بارے میں پرواہ نہیں کرتا.
 کبھی کبھی ان کے کاروباری ماڈل کا حصہ ہو سکتا
 صارف کی ذاتی معلومات کی کٹائی.
 یہ دیگر قسم کی طرح ہے، اور یہ کہ کیوں اس درنساوناپورن سے کچھ
 رائے کا فرق ہے کیونکہ جائز شروع ہوتا ہے کے مقابلے میں زیادہ خون
 صارف جو چاہتا ہے اور صارف جو خطرناک سمجھتی ہے کے درمیان
 اور جو درخواست ڈویلپر خطرناک سمجھتا ہے. بالکل، یہ زیادہ تر مقدمات میں درخواست ڈویلپر کے اعداد و شمار نہیں ہے.
 

اور پھر آخر میں، ایسا ہوتا ہے ایک اور طریقہ ایک ڈویلپر میں منسلک ہو سکتا ہے
 اس میں خطرات یا اس پرخطر رویے ہے کہ ایک مشترکہ لائبریری
 ان کے پاس شاید نہ جانتے ہوں.
 پہلی قسم کے حساس ڈیٹا رساو ہے،
 اے پی پی کے بارے میں معلومات جمع اور جب یہ ہے
 مقام، ایڈریس بک کے بارے میں معلومات، مالک کی معلومات کی طرح
 اور آلہ کو بند ہے کہ بھیجتا ہے.
 اور یہ آلہ کو بند ہے ایک بار، ہم اس کی معلومات کے ساتھ کیا ہو رہا ہے پتہ نہیں ہے.
 یہ درخواست ڈویلپر کی طرف سے غیر محفوظ کیا جا سکتا ہے.
 ہم درخواست ڈویلپرز سمجھوتہ کرنے کے دیکھا ہے،
 اور وہ ذخیرہ کرنے کر رہے ہیں کہ اعداد و شمار کے لے جایا جاتا ہے.
 یہ فلوریڈا میں نیچے ایک ڈویلپر کے لئے ایک چند ماہ قبل ہوا
 کی یہ ایک بہت بڑی تعداد رکن UUIDs اور آلہ کے نام تھا جہاں
 کسی کو، میں نے اس گمنام تھا کیونکہ، لیک کر رہے تھے
 ایسا کرنے کا دعوی کیا، اس ڈویلپر کے سرورز میں توڑ دیا
 اور رکن UUIDs لاکھوں چرایا
 اور کمپیوٹر کے نام.
 سب سے زیادہ پرخطر معلومات،
 لیکن کیا ہے کہ اگر صارف کے نام اور پاس ورڈ کی سٹوریج تھا
 اور گھر کے پتے؟
 معلومات کے اس طرح کہ سٹور کے اطلاقات کی بہت ہے.
 خطرہ ہے.
 ڈویلپر دیکھ بھال نہیں کرتا تو 

ہو سکتا ہے کہ دوسری بات یہ ہے
 اعداد و شمار کے چینل محفوظ، اور اس کے بارے میں بات کرنے کے لئے جا رہا ہوں ایک اور بڑی خطرے کی،
 کہ اعداد و شمار واضح میں بھیجا جا رہا ہے.
 صارف کو ایک عوامی وائی فائی نیٹ ورک پر ہے تو
 یا کسی کہیں انٹرنیٹ سنفنگ ہے
 راستے کہ ڈیٹا کو بے نقاب کیا جا رہا ہے.
 اس کی معلومات کے رساو میں سے ایک بہت مشہور کیس پنڈورا کے ساتھ کیا ہوا،
 اور یہ ہم Veracode میں تحقیق کی ہے.
 ہم ایک میں یہ ایک فیڈرل ٹریڈ کمیشن تھا وہاں تھا سنا ہے کہ
 پنڈورا کے ساتھ چل رہا ہے تحقیقات.
 ہم "وہاں کیا ہو رہا ہے؟ کی پنڈورا درخواست میں کھدائی شروع کرتے ہیں."، انہوں نے کہا کہ
 اور کیا ہم تعین جمع پنڈورا کی درخواست کی تھی
 آپ کی جنس اور آپ کی عمر،
 اور یہ بھی آپ GPS کے محل وقوع، اور پنڈورا کی درخواست تک رسائی حاصل
 وہ جائز وجوہات تھے، اس کے لئے یہ کیا ہے.
 وہ کھیلنے-پنڈورا گیا ہے کہ موسیقی ایک موسیقی کی محرومی اپلی کیشن ہے
 وہ کھیل رہے تھے موسیقی صرف امریکہ میں لائسنس یافتہ کر دیا گیا تھا،
 تو وہ وہ تھا کہ ان کے لائسنس کے معاہدے کی تعمیل کے لئے چیک کرنے کے لئے تھا
 صارف ریاست ہائے متحدہ امریکہ میں تھا کہ موسیقی کے لئے.
 انہوں نے یہ بھی والدین کی ایڈوائزری کے ساتھ عمل کرنا چاہتا تھا
 موسیقی میں کے ارد گرد بالغ زبان،
 اور تو یہ ایک رضاکارانہ پروگرام ہے، لیکن وہ اس کے ساتھ عمل کرنے کے لئے کرنا چاہتا تھا
 اور بچوں کو 13 اور کے تحت واضح کی غزلیں کھیلنے نہیں.
 

وہ اس کے اعداد و شمار جمع کرنے کے لئے جائز وجوہات کی بنا پر تھا.
 ان کی اے پی پی ایسا کرنے کی اجازت تھی.
 صارفین کو اس کے جائز تھا. لیکن کیا ہوا؟
 انہوں نے 3 یا 4 مختلف اشتھاراتی لائبریریوں میں منسلک.
 اب اچانک ان تمام اشتھارات کی لائبریریوں کے تمام
 یہ وہی معلومات تک رسائی حاصل کر رہے ہیں.
 اشتھاراتی لائبریریاں، آپ اشتھاراتی لائبریریاں میں کوڈ پر نظر ڈالیں تو
 کیا وہ ہر اشتھارات لائبریری کا کہنا ہے کہ ہے
 "میرا اے پی پی GPS مقام حاصل کرنے کے لئے کی اجازت ہے؟"
 "اوہ، یہ؟ ٹھیک ہے، مجھے GPS کے محل وقوع ظاہر کرتا ہے."
 ہر ایک اشتھارات لائبریری ہے کہ کرتا ہے،
 اور اے پی پی GPS کی اجازت نہیں ہے تو
 اسے حاصل کرنے کے قابل نہیں ہو گا، لیکن یہ ہے، تو یہ مل جائے گا.
 یہ اشتہار لائبریریوں کی جہاں کاروباری ماڈل ہے
 صارف کی رازداری کے خلاف ہے.
 اور آپ کی عمر جانتے ہیں کہیں گے کہ وہاں کی تعلیم ہوئی ہے
 ایک شخص کی اور آپ کو ان کے مقام کو جانتے
 آپ کو ان کے GPS کے نقاط ہے کیونکہ وہ، رات کو سو جہاں
 وہ شاید سو رہے ہیں، آپ اس فرد کی بالکل وہی جانتے ہیں کہ کون
 آپ کو اس کے گھر کے رکن وہ شخص ہے جو اس بات کا تعین کر سکتے ہیں.
 واقعی میں اس اشتہار پر شناخت کیا جاتا ہے
 بالکل آپ ہیں، اور یہ جائز تھا، ایسا لگتا ہے جو.
 میں صرف اپنے محرومی موسیقی چاہتے ہیں، اور یہ حاصل کرنے کے لئے واحد راستہ ہے.
 

ٹھیک ہے، ہم اس کے سامنے.
 ہم نے کئی بلاگ خطوط میں اس کو لکھا تھا،
 اور یہ پتہ چلا ہے کہ رولنگ سٹون میگزین سے کسی
 ہمارے بلاگ کے خطوط میں سے ایک کو پڑھ اور اس کے بارے میں رولنگ سٹون میں ان کے اپنے بلاگ میں لکھا تھا،
 اور اگلے ہی دن پنڈورا یہ ایک اچھا خیال تھا
 ان کی درخواست سے اشتھارات کی لائبریریوں کو دور کرنے کے.
 جہاں تک میں جانتا ہوں کہ وہ صرف وہ تعریف کیا جانا چاہئے ہیں.
 میں نے یہ کیا ہے کہ اے پی پی کی صرف FREEMIUM قسم ہو.
 دیگر تمام FREEMIUM اطلاقات یہی رویہ ہے،
 تو اگر آپ کو دے رہے ہیں کے اعداد و شمار کس طرح کے بارے میں سوچنا ہے
 یہ تمام مشتھرین کے لئے جا رہا ہے ان FREEMIUM ایپلی کیشنز کی وجہ سے.
 Praetorian بھی مشترکہ لائبریریوں کے بارے میں ایک مطالعہ کیا، اور کہا کہ،
 "، کی لائبریریوں کے سب سے اوپر مشترکہ لائبریریوں ہیں مشترکہ کیا دیکھو" اور اس ڈیٹا تھا.
 

وہ 53،000 اطلاقات تجزیہ،
 اور نمبر 1 مشترکہ لائبریری Admob تھا.
 یہ، وہاں ایپلی کیشنز کی 38 فیصد میں اصل میں تھا
 آپ استعمال کر رہے ہیں ایپلی کیشنز کی تو 38٪
 امکان آپ کی ذاتی معلومات کی کٹائی کر رہے ہیں
 اور اشتھاراتی نیٹ ورک کرنے کے لئے اسے بھیج. اپاچی اور لوڈ، اتارنا Android 8٪ اور٪ 6 تھے،
 اور پھر سب سے نیچے، گوگل کے اشتہارات، ہڑبڑی میں ان دوسرے والے کے نیچے،
 موبایل شہر اور ہزار میڈیا،
 ان، پھر، دلچسپ بات یہ کافی تمام اشتھاراتی کمپنیوں ہیں، اور
 4٪ فیس بک لائبریری میں منسلک
 شاید فیس بک کے ذریعے تصدیق کرنے کے لئے
 تو اپلی کیشن فیس بک کی تصدیق کر سکتے ہیں.
 لیکن یہ بھی فیس بک کے کوڈ کو کنٹرول کارپوریشن کا مطلب
 ہے، وہاں لوڈ، اتارنا Android موبائل اطلاقات کے 4 فیصد میں چل رہا ہے
 اور وہ اس اپلی کیشن میں حاصل کرنے کے لئے اجازت ہے کہ تمام اعداد و شمار تک رسائی حاصل ہے.
 فیس بک بنیادی طور پر ایڈورٹائزنگ خلائی فروخت کرنے کی کوشش کرتا ہے.
 کہ ان کے کاروباری ماڈل ہے.
 

آپ کو ان کی اجازت کے ساتھ اس پورے ماحول پر نظر ڈالیں تو
 اور آپ دیکھتے ہیں کہ شروع کرنے کے لئے مشترکہ لائبریریاں
 آپ کو ایک قیاس جائز درخواست میں خطرے کی ایک بہت ہے.
 پنڈورا کے ساتھ کیا ہوا ہے کہ ایک ہی اسی طرح کی چیز
 ، راہ سے ملاقات کی ایک درخواست کے ساتھ کیا ہوا
 اور راہ وہ مددگار، دوستانہ ڈویلپرز ہونے لگا.
 وہ صرف آپ کو ایک عظیم صارف کے تجربے کو دینے کے لئے کوشش کر رہے تھے،
 اور یہ پتہ چلا ہے کہ صارف نے فورا یا صارف کو بتائے بغیر کچھ-
 اور اس کے، فون اور لوڈ، اتارنا Android پر ہوا
 پنڈورا اے پی پی کے آئی فون اور آئی تھی لوڈ، اتارنا Android
 راہ کی درخواست اپنے پورے پتہ کی کتاب پکڑ گیا ہے کہ
 اور آپ کو نصب اور اطلاق بھاگ گیا جب راہ پر اسے اپ لوڈ،
 اور وہ اس کے بارے میں نہیں بتایا.
 انہوں نے اسے آپ کے لئے واقعی مددگار تھا
 آپ کی ایڈریس بک میں تمام لوگوں کے ساتھ اشتراک کرنے کے قابل ہو جائے
 آپ کی راہ کی درخواست کا استعمال کرتے ہوئے کر رہے ہیں.
 

ٹھیک ہے، ظاہر راہ یہ ان کی کمپنی کے لئے بہت اچھا تھا.
 صارف کو اتنی عظیم نہیں.
 تم نے اسے تو شاید ایک نوجوان ایک بات ہے کہ سوچنے کے لئے ہے
 ، اس درخواست کا استعمال کرتے ہوئے اور دوستوں کو ان کے درجنوں میں ہو
 لیکن اس راہ سے نصب ہوجاتا ہے کہ ایک کمپنی کے سی ای او کیا ہے
 اور پھر اچانک ان کے پورے پتہ کی کتاب کی سب ہے؟
 آپ ممکنہ طور پر قابل قدر رابطے کی معلومات کی ایک بہت کچھ حاصل کرنے کے لئے جا رہے ہیں
 لوگوں کی ایک بہت کے لئے.
 نیو یارک ٹائمز کی طرف سے ایک صحافی، آپ کا فون نمبر حاصل کرنے کے قابل ہو سکتا ہے
 ان کے ایڈریس بک سے سابق صدور کے لئے،
 تو ظاہر ہے حساس معلومات کی ایک بہت کچھ اس طرح کے ساتھ منتقل ہو جاتا ہے.
 اس راستے سے معافی مانگی اس کے بارے میں اتنی بڑی فلیپ تھا.
 انہوں نے ان کی اے پی پی کو تبدیل کر دیا، اور یہ بھی ایپل اثر.
 ایپل ہم صارفین کو فوری طور پر اے پی پی کے دکانداروں مجبور کرنے کے لئے جا رہے ہیں "، انہوں نے کہا کہ
 وہ ان کے پورے پتہ کی کتاب جمع کرنے کے لئے جا رہے ہیں. "
 

یہ یہاں کیا ہو رہا ہے کی طرح لگتا ہے
 وہاں ایک بڑی رازداری کی خلاف ورزی ہے اور یہ پریس کرتا ہے جب
 ہم وہاں ایک تبدیلی دیکھ.
 لیکن کورس کے، دوسری چیزوں کے وہاں سے باہر ہے.
 لنکڈ درخواست آپ کیلنڈر کے اندراجات کی کاشت،
 لیکن ایپل صارف اس کے بارے میں کہا جائے نہیں ہے.
 کیلنڈر کے اندراجات بھی ان میں حساس معلومات کر سکتے ہیں.
 آپ کہاں لکیر کھینچنا جا رہے ہیں؟
 یہ واقعی میں اس قسم کی ایک تیار کی جگہ ہے
 کوئی اچھا معیاری وہاں واقعی ہے جہاں
 ان کی معلومات خطرے میں ہونے جا رہا ہے جب صارفین کو سمجھنے کے لئے
 وہ جانتے ہیں جا رہے ہیں اور جب یہ لیا جا رہا ہے.
 ہم، Adios کہا جاتا Veracode میں ایک اپلی کیشن لکھا
 اور بنیادی طور پر یہ آپ کو آپ کے آئی ٹیونز ڈائریکٹری میں اے پی پی کی طرف اشارہ کرنے کی اجازت
 اور اپنا مکمل ایڈریس بک کی کٹائی کر رہے تھے کہ تمام ایپلی کیشنز کی طرف دیکھو.
 اور تم یہاں اس فہرست پر دیکھ سکتے ہیں کے طور پر، ناراض پرندوں،
 AIM، AroundMe.
 کیوں ناراض پرندوں آپ کی ایڈریس بک کی ضرورت ہے؟
 مجھے نہیں معلوم، لیکن یہ کسی نہ کسی طرح ہے.
 

اس سے بہت سے، بہت سے ایپلی کیشنز ہے کہ کچھ ہے.
 تم اس کے لئے کوڈ کا معائنہ کر سکتے ہیں.
 آئی فون، لوڈ، اتارنا Android اور بلیک بیری کے لئے اچھی طرح وضاحت APIs کا ہے
 ایڈریس بک میں حاصل کرنے کے لئے.
 تم واقعی آسانی سے اس کے لئے معائنہ کر سکتے ہیں، اور یہ کہ ہم اپنے Adios درخواست میں نے کیا کیا ہے.
 اگلا قسم، غیر محفوظ حساس ڈیٹا ذخیرہ،
 ڈویلپرز کو ایک پن کی طرح کچھ لے جہاں کچھ یا ایک اکاؤنٹ نمبر ہے
 یا ایک پاس ورڈ اور اس ڈیوائس پر واضح میں سٹور.
 بھی بدتر، وہ اس فون پر ایک علاقے میں محفوظ کر سکتے ہیں
 جس میں ایس ڈی کارڈ کی طرح، عالمی سطح پر قابل رسائی ہے.
 لوڈ، اتارنا Android ایک ایسڈی کارڈ کے لئے کی اجازت دیتا ہے کیونکہ آپ لوڈ، اتارنا Android پر زیادہ کثرت سے اس کو دیکھنے کے.
 IPHONE ڈاؤن لوڈ کے الات نہیں کرتے.
 لیکن ہم یہ بھی ایک سٹی گروپ کی درخواست میں ہو نے دیکھا.
 ان کی آن لائن بینکاری کی درخواست، غیر اکاؤنٹ نمبر ذخیرہ
 صرف صاف میں، تو آپ کو آپ کے آلہ کھو دیا ہے،
 بنیادی طور پر آپ کو آپ کے بینک اکاؤنٹ کو کھو دیا.
 میں ذاتی طور پر اپنے فون پر بینکاری نہیں کرتے یہی وجہ ہے.
 میں اس کی سرگرمیوں کے ان قسم کے کرنے کا حق اب بھی خطرناک ہے.
 

اسکائپ پر ایک ہی کام کیا.
 اسکائپ، کورس کے، آپ کا اکاؤنٹ توازن، ایک صارف نام اور پاس ورڈ ہے
 کہ توازن تک رسائی حاصل ہے.
 انہوں نے موبائل فون پر واضح میں تمام ہے کہ معلومات کو ذخیرہ کرنے کر رہے تھے.
 میں فائلوں کو پیدا کرنے کے یہاں کچھ مثالیں ہیں
 یہ ٹھیک اجازت ہے یا ڈسک پر لکھ نہیں ہے
 اور کسی بھی خفیہ کاری اس کے لئے ایسا نہیں ہونے.
 یہ اگلے علاقے، غیر محفوظ حساس ڈیٹا ٹرانسمیشن،
 میں نے اس کے لئے چند بار alluded، اور اس کی وجہ عوامی وائی فائی کی ہے
 یہ بالکل ایسا کرنے کی ضرورت اطلاقات کہ کچھ ہے،
 اور یہ ہم سب سے زیادہ غلط دیکھتے ہیں شاید. میں کہتا ہوں کہ اصل کرے گا، میں نے اصل اعداد و شمار لگتا ہے،
 لیکن اس نصف موبائل کی ایپلی کیشنز کے قریب ہے
 SSL کر نچوڑنا.
 وہ صرف APIs کا صحیح طریقے سے استعمال نہیں کرتے.
 میرا مطلب ہے، تمہیں کیا کرنا ہے تمام، ہدایات پر عمل کریں اور APIs کا استعمال ہے
 لیکن وہ طرح چیزوں کو، دوسرے سرے پر ایک غلط سرٹیفکیٹ نہیں ہے کہ آیا جانچ پڑتال نہیں کرتے
 دوسرے سرے ایک پروٹوکول گھٹا حملے کرنے کی کوشش کر رہا ہے تو چیک نہیں.
 

ڈویلپرز، وہ ان کے چیک باکس کو حاصل کرنے کے لئے چاہتے ہیں، ٹھیک ہے؟
 ان کی ضرورت کے فروخت کرنے کے لئے اس کا استعمال کرنے کے لئے ہے. وہ فروخت کرنے کے لئے اس کا استعمال کیا ہے.
 ضرورت، محفوظ طریقے سے فروخت کرنے کے لئے اس کا استعمال نہیں ہے
 SSL استعمال کرتے ہیں کہ تمام ایپلی کیشنز کے ڈیٹا کو محفوظ کرنے کے کیوں اور اس طرح یہ ہے
 اس سے دور منتقل کیا جا رہا ہے کے طور پر آلہ واقعی معائنہ کرنے کی ضرورت ہے
 کہ صحیح طریقے سے لاگو کیا گیا تھا اس بات کا یقین کرنے کے لئے.
 اور یہاں میں آپ کو ایک درخواست دیکھ سکتے ہیں جہاں کچھ مثالیں ہیں
 HTTP کے بجائے HTTPS کا استعمال کرتے ہوئے کیا جا سکتا ہے.
 کچھ صورتوں میں اطلاقات HTTP پر واپس گر جائے گا
 HTTPS کام نہیں کر رہا ہے.
 میں، وہ سرٹیفکیٹ چیک غیر فعال ہے جہاں لوڈ، اتارنا Android پر یہاں ایک کال ہے
 تو ایک آدمی میں درمیانے حملہ ہو سکتا ہے.
 ایک غلط سرٹیفکیٹ قبول کیا جائے گا.
 ان حملہ آوروں کو حاصل کرنے کے لئے کے قابل ہو جائے جا رہے ہیں جہاں تمام مقدمات ہیں
 صارف اور رسائی کے تمام اعداد و شمار کے طور پر اسی وائی فائی کنکشن
 کہ انٹرنیٹ پر بھیجا جا رہا ہے.
 

اور آخر میں، میں یہاں گزشتہ زمرے hardcoded پاس اور چابیاں ہے.
 ہم اصل میں ڈویلپرز کی ایک بہت ہی کوڈنگ سٹائل استعمال کریں
 وہ ویب سرور ایپلی کیشنز کی تعمیر کر رہے تھے جب کیا، کہ
 تاکہ وہ ایک جاوا سرور کے استعمالات کی تعمیر کر رہے ہیں، اور وہ کلید hardcoding رہے ہیں.
 ٹھیک ہے، اگر آپ کو ایک سرور کی درخواست کی تعمیر کر رہے ہیں، جی ہاں،
 اہم hardcoding ایک اچھا خیال نہیں ہے.
 یہ مشکل کو تبدیل کرنے کی ہے.
 جو سرور سائیڈ تک رسائی حاصل ہے لیکن کیونکہ یہ سرور سائیڈ پر اتنا برا نہیں ہے؟
 صرف منتظمین.
 لیکن آپ ایک ہی کوڈ لے اور آپ کو ایک موبائل کی درخواست کرنے کے لئے اس پر ڈالا تو
 اب موبائل کی درخواست ہے کہ hardcoded کلید تک رسائی حاصل ہے کہ ہر وہ شخص جو،
 اور ہم اصل میں اس وقت کی ایک بہت دیکھ کر، اور میں کچھ اعداد و شمار
 ہم ایسا کس طرح دیکھتے ہیں اکثر.
 یہ اصل میں ماسٹر شائع کہ مثال کے طور پر کوڈ میں تھا
 ان کی خدمات استعمال کرنے کے لئے کس طرح.
 مثال کے طور پر کوڈ آپ کو صرف پاس لے جائے گا کس طرح سے ظاہر ہوتا ہے
 اور، وہیں ایک hardcoded سٹرنگ میں ڈال دیا
 اور ہم نے ڈویلپرز کے کوڈ کے ٹکڑوں کو کاپی اور پیسٹ کرنے سے محبت کس طرح جانتے ہیں
 وہ کچھ کرنے کی کوشش کر رہے ہیں، تو آپ کے کوڈ کے حصے کو کاپی اور پیسٹ کریں جب
 وہ مثال کے طور پر کوڈ کے طور پر دیا ہے، اور آپ کو ایک غیر محفوظ کی درخواست ہے کہ.
 

اور ہم یہاں کچھ مثالیں ہیں.
 یہ سب سے پہلے ہم وہ hardcode جہاں ایک بہت دیکھ ہے
 بھیجا جاتا ہے کہ ایک یو آر ایل میں ڈیٹا کا حق.
 کبھی کبھی ہم سٹرنگ پاس ورڈ = پاس دیکھ.
 یہی وجہ ہے کہ بلیک بیری اور لوڈ، اتارنا Android پر بہت پتہ لگانے کے کرنے کے لئے آسان، یا سٹرنگ پاس ہے.
 یہ اصل میں ہے کیونکہ تقریبا ہمیشہ کے لئے چیک کرنے کے لئے بہت آسان ہے
 ڈویلپر کے نام پاس انعقاد ہے کہ متغیر
 پاس سے کچھ مختلف حالتوں.
 میں، ہم Veracode میں جامد تجزیہ کرتے ہیں کہ اس کا ذکر
 تو ہم کئی سو لوڈ، اتارنا Android اور iOS ایپلی کیشنز کا تجزیہ کیا ہے.
 ہم نے ان کی مکمل ماڈل بنایا ہے، اور ہم نے ان کو اسکین کرنے کے قابل ہو
 مختلف خطرات، کے بارے میں بات کر رہا تھا، خاص طور پر خطرات، کے لئے
 اور میں یہاں کچھ معلومات ہے.
 ہم نے دیکھا، اتارنا Android اطلاقات کے 68.5٪
 ہے cryptographic کوڈ توڑا تھا،
 آپ کو اپنی خود crypto کی معمول کے مطابق کی گئی ہے تو ہمارے لئے، ہم پتہ لگانے کے نہیں کر سکتے ہیں جس میں،
 یہ ایک اچھا خیال ہے، لیکن یہ اصل میں شائع APIs کا استعمال کرتے ہوئے نہیں ہے کہ
 پلیٹ فارم پر ہیں، لیکن اس طرح ہے کہ میں ان کر
 crypto کی، 68.5 کمزور ہو جائے گا.
 اور یہ اصل میں ہمیں ان کی درخواستوں بھیج رہے ہیں کہ لوگوں کے لئے ہے کیونکہ
 وہ اسے سیکورٹی کی جانچ کرنے کے لئے ایک اچھا خیال ہے.
 یہ، پہلے سے ہی شاید محفوظ طریقے سے سوچ رہے ہیں کہ لوگ ہیں
 تو شاید یہ بھی بدتر ہے.
 

میں کنٹرول لائن فیڈ انجکشن کے بارے میں بات نہیں کی.
 یہ ہم کے لئے چیک کریں کچھ ہے، لیکن یہ ایک مسئلہ ہے کہ خطرناک نہیں ہے.
 معلومات کے اخراجات، اس حساس ڈیٹا آلہ کو بند کر بھیجا جا رہا ہے جہاں ہے.
 ہم درخواستوں کی 40 فیصد میں پتہ چلا ہے کہ.
 وقت اور ریاست، لوگ، فائدہ اٹھانے کے لئے عام طور پر بہت مشکل کی دوڑ حالت قسم کے مسائل ہیں،
 تو میں نے اس کے بارے میں بات نہیں کی، لیکن ہم نے اس کی طرف دیکھا.
 23٪ SQL انجکشن مسائل تھے.
 بہت سے لوگ نہیں جانتے کہ ایپلی کیشنز کی ایک بہت
 ڈیٹا ذخیرہ کرنے کے لئے ان واپس اختتام پر ایک چھوٹی سی چھوٹی SQL ڈیٹا بیس کا استعمال کرتے ہیں.
 ٹھیک ہے، تو آپ کے نیٹ ورک پر پکڑ رہے ہیں کے اعداد و شمار
 اس میں SQL انجکشن حملے ڈور ہے
 کسی کو اس کے ذریعے آلہ سمجھوتہ کر سکتے ہیں،
 اور اس لئے میں، ہم ویب ایپلی کیشنز کے بارے میں 40 فی صد اس مسئلہ ہے مل لگتا ہے
 جس میں ایک بہت بڑی مہاماری مسئلہ ہے.
 ہم موبائل اطلاقات میں اس وقت کے 23٪ کی تلاش
 بہت زیادہ ویب ایپلی کیشنز کے موبائل سے ایس کیو ایل کا استعمال کرتے ہیں اور یہ کہ شاید.
 

اور پھر ہم اب بھی کچھ کراس سائٹ سکرپٹ، اجازت کے مسائل، دیکھ
 آپ کو آپ کے hardcoded پاس ہے جہاں اور پھر سند کے انتظام، ہے.
 ایپلی کیشنز کے 5 فیصد میں ہم دیکھتے ہیں کہ.
 اور پھر ہم iOS پر کچھ اعداد و شمار ہے.
 81٪ خرابی ہینڈلنگ مسائل تھے. یہ ایک کوڈ کے معیار کے مسئلے سے زیادہ ہے،
 لیکن 67 فیصد ہے cryptographic مسائل تھے، تو لوڈ، اتارنا Android کے طور پر کافی کے طور پر برا نہیں ہے.
 شاید APIs کا ایک تھوڑا سا آسان ہیں، iOS پر تھوڑا بہتر مثال کے طور پر کوڈ.
 لیکن اب بھی ایک بہت ہی اعلی فیصد.
 ہم معلومات کے رساو کے ساتھ 54 فی صد تھا،
 بفر انتظام غلطیوں کے ساتھ کے بارے میں 30٪.
 یہ ممکنہ طور پر ایک میموری کرپشن کا مسئلہ ہو سکتا ہے جہاں ہے.
 یہ استحصال کے لئے ایک مسئلہ کے طور پر زیادہ نہیں ہے پتہ چلا ہے کہ
 تمام کوڈ پر دستخط کئے ہے iOS پر ہے کیونکہ،
 تو یہ iOS پر صوابدیدی کوڈ پر عمل کرنے کے لئے ایک حملہ آور کے لئے مشکل ہے.
 کوڈ معیار، ڈائرکٹری traversal کی، لیکن یہاں 14.6 فیصد تو اسناد مینجمنٹ،
 لوڈ، اتارنا Android پر سے تو بدتر.
 ہم لوگوں کو صحیح طریقے سے پاس ورڈ کو ہینڈل کرنے کا نہیں ہے.
 اور پھر عددی غلطیوں اور بفر اتپرواہ،
 ان لوگوں سے زیادہ iOS پر کوڈ معیار سے متعلق مسائل ہونے جا رہے ہیں.
 

یہ میری پریزنٹیشن کے لئے تھا. ہم وقت سے باہر ہیں یا نہیں ہیں تو مجھے پتہ نہیں ہے.
 ذہن میں کوئی سوال ہے تو مجھے نہیں معلوم.
 [MALE] وکھنڈن اور لوڈ، اتارنا Android مارکیٹ ارد گرد ایک فوری سوال ہے.
 ایپل میں کم از کم patching کا مالک ہے.
 انہوں نے لوڈ، اتارنا Android خلا میں جبکہ کم تو اسے وہاں حاصل کرنے کا ایک اچھا کام.
 آپ نے تقریبا موجودہ رہنے کے لئے آپ کے فون باگنی کرنے کی ضرورت ہے
 لوڈ، اتارنا Android کے موجودہ رہائی کے ساتھ.
 آپ کے بارے میں سوچتے ہیں جی ہاں، یہ ایک بہت بڑا مسئلہ ہے اور تو ہے
 [MALE] آپ کیوں یہ دوبارہ نہیں کر سکتے ہیں؟
 

اوہ، ٹھیک ہے، تو سوال یہ ہے کے بارے میں وکھنڈن تھا
 لوڈ، اتارنا Android پلیٹ فارم پر آپریٹنگ سسٹم کے؟
 کس طرح ان آلات کے خطرہ متاثر کرتا ہے؟
 کیا ہوتا ہے کیونکہ اور یہ اصل میں ایک بہت بڑا مسئلہ ہے
 بڑی عمر کے الات، کسی کو اس کے آلہ کے لئے ایک باگنی کے ساتھ آتا ہے،
 بنیادی طور پر ہے کہ آپریٹنگ سسٹم کو اپ ڈیٹ کر ہے جب تک استحقاق اضافہ ہے، اور
 کسی بھی میلویئر تو، مکمل طور پر آلہ سمجھوتہ کرنے کے لئے اس خطرے کو استعمال کر سکتے ہیں
 اور کیا ہم لوڈ، اتارنا Android پر دیکھ رہے ہیں ایک نئے آپریٹنگ سسٹم حاصل کرنے کے لئے ہے
 گوگل تو ہارڈ ویئر ڈویلپر کے آپریٹنگ سسٹم کے باہر ڈال دیا ہے، اور
 اپنی مرضی کے مطابق کرنے کے لئے ہے، اور اس کے بعد کیریئر اپنی مرضی کے مطابق اور اسے فراہم کرنے کے لئے ہے.
 آپ بنیادی طور پر یہاں 3 حصوں کو منتقل
 اور اس کے کیریئرز کی پرواہ نہیں کرتے کہ باہر کی طرف رجوع ہے،
 اور ہارڈ ویئر کے مینوفیکچررز کی پرواہ نہیں کرتے، اور گوگل کافی ان کے کہنے کی نہیں ہے
 وہاں تو بنیادی طور پر آلات کی نصف سے زائد، کچھ بھی کرنے کے
 ان میں ان کے استحقاق اضافہ خطرات ہے کہ آپریٹنگ سسٹم ہے،
 آپ کو آپ کی لوڈ، اتارنا Android ڈیوائس پر میلویئر حاصل اور اگر تو یہ ایک مسئلہ کا زیادہ ہے.
 

ٹھیک ہے، بہت بہت شکریہ.
 [تعریف]
 [CS50.TV]