שלום לכולם,

אני מנהל מוצר ב IBM ורציתי לשמוע את דעתכם על שירות חדש שהוצאנו.

השירות מאפשר מאוד בקלות למפתחי אפליקציות לאנדרואיד להעלות את ה apk שלהם לאתר שלנו ולקבל דו"ח שמפרט את הפגיעויות שנמצאו ואיך לתקן אותם.

אפשר לנסות את השירות בחינם לשלושים יום דרך הלינק הזה - https://ibm.biz/BdEC8V

אני אשמח לשמוע פידבק ולספק פרטים נוספים

תודה,

איתן

אם כבר תגיד איזה פגעויות הוא מחפש. הוא עובד גם על קוד JAVA וגם קוד מכונה ? למה אתם לא סורקים את כל התוכנות שיש בחנות של גוגל ומוציאים דוחות שמשוויצים ביכולות .

היי,

השירות מחפש למעלה מעשרים פגיעיויות שונות כגון:

• Android Fragment Injection
  
• Android Class Loading Hijacking
  
• Buffer Overflow
  
• Client-side SQL Injection
  
• Crash in Native Code
  
• Cross site scripting via man in the middle
  
• Cross-Application Scripting (XAS)
  

והמספר ממשיך לגדול כמובן.

חלק מהיופי של המוצר שהוא אדיש לשפה, הוא משתמש בשיטה שנקראת Interactive Application Security Testing מוכרת גם כ GlassBox, אנחנו ממש מריצים את האפליקציה בצורה אוטומטית ומנטרים מה קורה בפנים.

סרקנו כבר מאות אפליקציות ואם לא היינו IBM אז היינו משוויצים בסטטיסטיקות שהראו תוצאות מדהימות, אבל בגלל שהמוצר חדש עדיין צוות החוקרים שלנו בגלל המוניטין שלו, מסרב לפרסם דברים בלי שוודאו באופן ידני.

אתה מוזמן לקרוא את הפוסטים שפירסמנו בנוגע לפגיעויות שנמצאו בעזרת הטכנולוגיה הזו, אני מניח שעל חלקם שמעתם:

http://securityintelligence.com/new-vulnerability-android-framework-fragment-injection/

http://securityintelligence.com/vulnerabilities-firefox-android-overtaking-firefox-profiles/#.VMHGaEeUc75

http://securityintelligence.com/apache-cordova-phonegap-vulnerability-android-banking-apps/#.VL07PiuUenE

בנוסף הקלטנו דמו של המוצר פה למי שמעוניין -

ניסיתי לענות על כל השאלות ואני מקווה שלא יצא לי פוסט פרסומי מידי, אם כן אני מצטער מראש,

איתן