Опубликован инструмент для поиска уязвимостей в Android-приложениях

(adsbygoogle = window.adsbygoogle || []).push({}); С помощью modjoda исследователи безопасности или разработчики смогут тестировать приложения на наличие уязвимости Java-десериализации и создать Proof-of-Concept эксплойт. Инструмент основан на ysoserial, но нацелен на платформу Android.

Уязвимость

Уязвимость в Java-десериализации — давно известная и изученная проблема. С помощью этой бреши можно выполнить код внутри приложения. На платформе Android эта проблема выражена более ярко из-за особых алгоритмов обмена данными. Между приложениями отправляются «сообщения» — intents.

Если приложение получает такое «сообщение» и имеет доступ к его данным, а также хотя бы один Java-класс, загруженный с помощью десериализации, то такое приложение уязвимо.

Использование modjoda

В репозитории modjoda находятся два приложения: атакующее, которое отправляет intent с вредоносными данными, и уязвимое — для демонстрации работоспособности инструмента.

Для тестирования приложения необходимо выполнить несколько шагов:
  1. Скомпилировать в Android Studio папку с атакующим приложением.
  2. Установить полученный APK-файл на Android-устройство.
  3. Убедиться, что на устройстве установлено тестируемое приложение.
  4. Запустить тестируемое приложение.
  5. Запустить атакующее приложение.
  6. В атакующем приложении ввести название intent и нажать кнопку send.
Все полученные полезные данные появятся в атакующем приложении. Если удастся выполнить сторонний код в тестируемом приложении, оно отправит атакующему intent, и данные об этом появятся на экране.

Android O скоро станет доступным

(adsbygoogle = window.adsbygoogle || []).push({}); Компания Google представила обновленную операционную систему для мобильных устройств. Ею стал Android O, который подготовлен специально для разработчиков. Известный поставщик представил уникальное программное обеспечение, призванное перевернуть принципы пользования смартфонами и планшетами.

В первую очередь ужесточен принцип работы с фоновым режимом. Приложения в нем будут отключаться. Для этого потребуется предварительная настройка владельцем, который самостоятельно выделит наиболее важные программы.

Одновременно была настроена функция «картинка в картинке». Отдельные приложения начнут работать в таком режиме, чтобы обеспечить человеку свободный доступ ко всем программам. Такое нововведение оказалось одним из наиболее интересных, ведь раньше приходилось постоянно переключаться между окнами.

Пока еще Android O остается лишь разработкой, но уже сейчас начался тестовый запуск на некоторых устройствах. Хотя опытные пользователи успели получить к ней доступ посредством некоторых эмуляторов, призванных заранее раскрыть феноменальные возможности последней мобильной операционки.
Читать дальше