Android Vulnerability Test Suite(Android漏洞检测套件),鼓励开放收集的数据,帮助社区一起来维护Android安全。NowSecure带来了一款App来检查Android设备中存在的漏洞。

概述

这个工具是为了将设备易受到攻击的信息显示给最终用户。在执行这些检测之前我尝试减轻或者消除误报/错误而又不会影响系统的稳定性。
必要理由

当发现一个漏洞,Google接收消息并给Android打补丁。Nexus设备是最先接收到Google发布的补丁推送的,但从了解到漏洞到应用补丁之间的滞后时间依旧很长(如果是设备制造商,其可能在1年后修复或者根本就不管漏洞)。比如5月下旬,6月初时十分知名的futex bug (CVE-2014-3153/Towelroot),这个Bug在当时的Nexus 5旗舰手机上也是用了几个月时间才打的补丁,这使得用户对于来自应用程序的攻击毫无防备。通常用户根本就不知道其设备存在漏洞,这款工具的初衷就是将用户手中设备可见的漏洞告知用户。

补丁的生命周期

Samsung, HTC,以及其他的一些设备制造商保持对Android的高度定制,补丁在设备制造商-> 媒介 -> 用户之间就陷入了混乱。设备制造商从Google获取补丁花几个星期或数月应用到一些设备上进行测试,接着将设备更新文件发送给负责推送给用户的媒介。

实现

设备中存在的漏洞可能涉及到有关Android内部的层面。例如,Towelroot就是一个存在于内核的漏洞,其也可能存在于特定的Android框架(Android Masterkeys/FakeID)。有时一些内核漏洞很难进行检测,且可能导致系统不稳定。这款工具所承担的任务并不包括检测可能导致用户设备不稳定的问题,因此可能忽略检查可能会导致这些类型的问题。目前的框架十分简单,包含一个漏洞检测向量。对于漏洞的具体实现方法大相径庭

漏洞检测列表:

ZipBug9950697
Zip Bug 8219321 / Master keys
Zip Bug 9695860
Jar Bug 13678484 / Android FakeID
CVE 2013-6282 / put/get_user
CVE_2011_1149 / PSNueter / Ashmem Exploit
CVE_2014_3153 / Futex bug / Towelroot
CVE 2014-3847 / WeakSauce
StumpRoot
Stagefright bugs
x509 Serialization bug
PingPong root - CVE-2015-3636

早期尝试

之前就有朋友尝试解决这个问题。xray.io,Xray实际上是通过利用我们的系统稳定性约束进行解决问题。同样的还有一些应用程序简单通过查找基于Android verison/build信息试图确定设备攻击表面。这就导致了许多误报和错误。

* 参考来源:github鸢尾编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

源链接

Hacking more

...