16.02.2018

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОTРАНС» СООБЩАЕТ

На портале GitHub опубликован программный инструмент Android Java Deserialization Vulnerability Tester, предназначенный для тестирования Android-приложений на предмет возможных уязвимостей. Данный пакет программ позволяет создавать и тестировать эскплойты для уязвимостей десериализации Java в Android-приложениях.

Согласно описанию, инструмент основан на программе для поиска уязвимостей под названием ysoserial от разработчика frohoff, но модифицирован для ОС Android. Как отмечается, проблема десериализации Java особенно актуальна для Android из-за специфики обмена данными между приложениями.

Репозиторий содержит два приложения: «атакующее» и «уязвимое». Первое создает полезную нагрузку и осуществляет атаку на тестируемое приложение. Второе представляет собой демонстрационное приложение, уязвимое к связке эксплоитов CommonsCollection.

Для проверки работы инструмента можно открыть демонстрационное уязвимое приложение, после чего в качестве цели для атакующего приложения указать ch.modzero.intent_receiver.deserialize.pwn.

Аналитики Центра кибербезопасности ФГУП «ЗащитаИнфоTранс» рекомендуют данную программу для проведения проверок на безопасность приложений, работающих под управлением операционной системы Android. https://github.com/modzero/modjoda/blob/master/README.md