Опубликован инструмент для поиска уязвимостей в Android-приложениях

С помощью modjoda исследователи безопасности или разработчики смогут тестировать приложения на наличие уязвимости Java-десериализации и создать Proof-of-Concept эксплойт. Инструмент основан на ysoserial, но нацелен на платформу Android.

Уязвимость

Уязвимость в Java-десериализации — давно известная и изученная проблема. С помощью этой бреши можно выполнить код внутри приложения. На платформе Android эта проблема выражена более ярко из-за особых алгоритмов обмена данными. Между приложениями отправляются «сообщения» — intents.

Если приложение получает такое «сообщение» и имеет доступ к его данным, а также хотя бы один Java-класс, загруженный с помощью десериализации, то такое приложение уязвимо.

Использование modjoda

В репозитории modjoda находятся два приложения: атакующее, которое отправляет intent с вредоносными данными, и уязвимое — для демонстрации работоспособности инструмента.

Для тестирования приложения необходимо выполнить несколько шагов:

1. Скомпилировать в Android Studio папку с атакующим приложением.
2. Установить полученный APK-файл на Android-устройство.
3. Убедиться, что на устройстве установлено тестируемое приложение.
4. Запустить тестируемое приложение.
5. Запустить атакующее приложение.
6. В атакующем приложении ввести название intent и нажать кнопку send.

Все полученные полезные данные появятся в атакующем приложении. Если удастся выполнить сторонний код в тестируемом приложении, оно отправит атакующему intent, и данные об этом появятся на экране.