Android漏洞檢測套件
Android Vulnerability Test Suite(Android漏洞檢測套件),鼓勵開放收集的數據,幫助社區一起來維護Android安全。NowSecure帶來了一款App來檢查Android設備中存在的漏洞。
概述
這個工具是為了將設備易受到攻擊的信息顯示給最終用戶。在執行這些檢測之前我嘗試減輕或者消除誤報/錯誤而又不會影響系統的穩定性。
必要理由
當發現一個漏洞,Google接收消息并給Android打補丁。Nexus設備是最先接收到Google發布的補丁推送的,但從了解到漏洞到應 用補丁之間的滯后時間依舊很長(如果是設備制造商,其可能在1年后修復或者根本就不管漏洞)。比如5月下旬,6月初時十分知名的futex bug (CVE-2014-3153/Towelroot),這個Bug在當時的Nexus 5旗艦手機上也是用了幾個月時間才打的補丁,這使得用戶對于來自應用程序的攻擊毫無防備。通常用戶根本就不知道其設備存在漏洞,這款工具的初衷就是將用戶 手中設備可見的漏洞告知用戶。
補丁的生命周期
Samsung, HTC,以及其他的一些設備制造商保持對Android的高度定制,補丁在設備制造商-> 媒介 -> 用戶之間就陷入了混亂。設備制造商從Google獲取補丁花幾個星期或數月應用到一些設備上進行測試,接著將設備更新文件發送給負責推送給用戶的媒介。
實現
設備中存在的漏洞可能涉及到有關Android內部的層面。例如,Towelroot就是一個存在于內核的漏洞,其也可能存在于特定的 Android框架(Android Masterkeys/FakeID)。有時一些內核漏洞很難進行檢測,且可能導致系統不穩定。這款工具所承擔的任務并不包括檢測可能導致用戶設備不穩定 的問題,因此可能忽略檢查可能會導致這些類型的問題。目前的框架十分簡單,包含一個漏洞檢測向量。對于漏洞的具體實現方法大相徑庭
漏洞檢測列表:
ZipBug9950697 Zip Bug 8219321 / Master keys Zip Bug 9695860 Jar Bug 13678484 / Android FakeID CVE 2013-6282 / put/get_user CVE_2011_1149 / PSNueter / Ashmem Exploit CVE_2014_3153 / Futex bug / Towelroot CVE 2014-3847 / WeakSauce StumpRoot Stagefright bugs x509 Serialization bug PingPong root - CVE-2015-3636
早期嘗試
之前就有朋友嘗試解決這個問題。xray.io,Xray實際上是通過利用我們的系統穩定性約束進行解決問題。同樣的還有一些應用程序簡單通過查找基于Android verison/build信息試圖確定設備攻擊表面。這就導致了許多誤報和錯誤。