Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Центр кибербезопасности ФГУП «ЗащитаИнфоTранс» сообщает

На портале GitHub опубликован программный инструмент Android Java Deserialization Vulnerability Tester, предназначенный для тестирования Android-приложений на предмет возможных уязвимостей.
Данный пакет программ позволяет создавать и тестировать эскплойты для уязвимостей десериализации Java в Android-приложениях.


Согласно описанию, инструмент основан на программе для поиска уязвимостей под названием ysoserial от разработчика frohoff, но модифицирован для ОС Android. Как отмечается, проблема десериализации Java особенно актуальна для Android из-за специфики обмена данными между приложениями.
Репозиторий содержит два приложения: «атакующее» и «уязвимое». Первое создает полезную нагрузку и осуществляет атаку на тестируемое приложение. Второе представляет собой демонстрационное приложение, уязвимое к связке эксплоитов CommonsCollection.
Для проверки работы инструмента можно открыть демонстрационное уязвимое приложение, после чего в качестве цели для атакующего приложения указать ch.modzero.intent_receiver.deserialize.pwn.
Аналитики Центра кибербезопасности ФГУП «ЗащитаИнфоTранс» рекомендуют данную программу для проведения проверок на безопасность приложений, работающих под управлением операционной системы Android.                                                                                                              https://github.com/modzero/modjoda/blob/master/README.md