Опубликован инструмент для поиска уязвимостей в Android-приложениях

С помощью modjoda исследователи безопасности или разработчики смогут тестировать приложения на наличие уязвимости Java-десериализации и создать Proof-of-Concept эксплойт. Инструмент основан на ysoserial, но нацелен на платформу Android.

Уязвимость

Уязвимость в Java-десериализации — давно известная и изученная проблема. С помощью этой бреши можно выполнить код внутри приложения. На платформе Android эта проблема выражена более ярко из-за особых алгоритмов обмена данными. Между приложениями отправляются «сообщения» — intents.

Если приложение получает такое «сообщение» и имеет доступ к его данным, а также хотя бы один Java-класс, загруженный с помощью десериализации, то такое приложение уязвимо.

Использование modjoda

В репозитории modjoda находятся два приложения: атакующее, которое отправляет intent с вредоносными данными, и уязвимое — для демонстрации работоспособности инструмента.

Для тестирования приложения необходимо выполнить несколько шагов:
  1. Скомпилировать в Android Studio папку с атакующим приложением.
  2. Установить полученный APK-файл на Android-устройство.
  3. Убедиться, что на устройстве установлено тестируемое приложение.
  4. Запустить тестируемое приложение.
  5. Запустить атакующее приложение.
  6. В атакующем приложении ввести название intent и нажать кнопку send.
Все полученные полезные данные появятся в атакующем приложении. Если удастся выполнить сторонний код в тестируемом приложении, оно отправит атакующему intent, и данные об этом появятся на экране.

Android O скоро станет доступным

Компания Google представила обновленную операционную систему для мобильных устройств. Ею стал Android O, который подготовлен специально для разработчиков. Известный поставщик представил уникальное программное обеспечение, призванное перевернуть принципы пользования смартфонами и планшетами.

В первую очередь ужесточен принцип работы с фоновым режимом. Приложения в нем будут отключаться. Для этого потребуется предварительная настройка владельцем, который самостоятельно выделит наиболее важные программы.

Одновременно была настроена функция «картинка в картинке». Отдельные приложения начнут работать в таком режиме, чтобы обеспечить человеку свободный доступ ко всем программам. Такое нововведение оказалось одним из наиболее интересных, ведь раньше приходилось постоянно переключаться между окнами.

Пока еще Android O остается лишь разработкой, но уже сейчас начался тестовый запуск на некоторых устройствах. Хотя опытные пользователи успели получить к ней доступ посредством некоторых эмуляторов, призванных заранее раскрыть феноменальные возможности последней мобильной операционки.
Читать дальше