Опубликован инструмент для поиска уязвимостей в Android-приложениях

Уязвимость десериализации позволяет выполнять в приложении сторонний код modjoda

С помощью modjoda исследователи безопасности или разработчики смогут тестировать приложения на наличие уязвимости Java-десериализации и создать Proof-of-Concept эксплойт. Инструмент основан на ysoserial, но нацелен на платформу Android.

Уязвимость

Уязвимость в Java-десериализации — давно известная и изученная проблема. С помощью этой бреши можно выполнить код внутри приложения. На платформе Android эта проблема выражена более ярко из-за особых алгоритмов обмена данными. Между приложениями отправляются «сообщения» — intents.

Если приложение получает такое «сообщение» и имеет доступ к его данным, а также хотя бы один Java-класс, загруженный с помощью десериализации, то такое приложение уязвимо.

Использование modjoda

В репозитории modjoda находятся два приложения: атакующее, которое отправляет intent с вредоносными данными, и уязвимое — для демонстрации работоспособности инструмента.

Для тестирования приложения необходимо выполнить несколько шагов:

  1. Скомпилировать в Android Studio папку с атакующим приложением.
  2. Установить полученный APK-файл на Android-устройство.
  3. Убедиться, что на устройстве установлено тестируемое приложение.
  4. Запустить тестируемое приложение.
  5. Запустить атакующее приложение.
  6. В атакующем приложении ввести название intent и нажать кнопку send.

Все полученные полезные данные появятся в атакующем приложении. Если удастся выполнить сторонний код в тестируемом приложении, оно отправит атакующему intent, и данные об этом появятся на экране.

Источник: GitHub-репозиторий modjoda

Ещё интересное для вас:
— Биты, байты, Ада Лавлейс — тест на знание околоIT.
— Level Up — события и курсы, на которых можно поднять свой уровень.
— Работа мечты — лучшие IT-вакансии для вас.