Android漏洞检测套件
Android Vulnerability Test Suite(Android漏洞检测套件),鼓励开放收集的数据,帮助社区一起来维护Android安全。NowSecure带来了一款App来检查Android设备中存在的漏洞。
概述
这个工具是为了将设备易受到攻击的信息显示给最终用户。在执行这些检测之前我尝试减轻或者消除误报/错误而又不会影响系统的稳定性。
必要理由
当发现一个漏洞,Google接收消息并给Android打补丁。Nexus设备是最先接收到Google发布的补丁推送的,但从了解到漏洞到应 用补丁之间的滞后时间依旧很长(如果是设备制造商,其可能在1年后修复或者根本就不管漏洞)。比如5月下旬,6月初时十分知名的futex bug (CVE-2014-3153/Towelroot),这个Bug在当时的Nexus 5旗舰手机上也是用了几个月时间才打的补丁,这使得用户对于来自应用程序的攻击毫无防备。通常用户根本就不知道其设备存在漏洞,这款工具的初衷就是将用户 手中设备可见的漏洞告知用户。
补丁的生命周期
Samsung, HTC,以及其他的一些设备制造商保持对Android的高度定制,补丁在设备制造商-> 媒介 -> 用户之间就陷入了混乱。设备制造商从Google获取补丁花几个星期或数月应用到一些设备上进行测试,接着将设备更新文件发送给负责推送给用户的媒介。
实现
设备中存在的漏洞可能涉及到有关Android内部的层面。例如,Towelroot就是一个存在于内核的漏洞,其也可能存在于特定的 Android框架(Android Masterkeys/FakeID)。有时一些内核漏洞很难进行检测,且可能导致系统不稳定。这款工具所承担的任务并不包括检测可能导致用户设备不稳定 的问题,因此可能忽略检查可能会导致这些类型的问题。目前的框架十分简单,包含一个漏洞检测向量。对于漏洞的具体实现方法大相径庭
漏洞检测列表:
ZipBug9950697 Zip Bug 8219321 / Master keys Zip Bug 9695860 Jar Bug 13678484 / Android FakeID CVE 2013-6282 / put/get_user CVE_2011_1149 / PSNueter / Ashmem Exploit CVE_2014_3153 / Futex bug / Towelroot CVE 2014-3847 / WeakSauce StumpRoot Stagefright bugs x509 Serialization bug PingPong root - CVE-2015-3636
早期尝试
之前就有朋友尝试解决这个问题。xray.io,Xray实际上是通过利用我们的系统稳定性约束进行解决问题。同样的还有一些应用程序简单通过查找基于Android verison/build信息试图确定设备攻击表面。这就导致了许多误报和错误。