Опубликован инструмент для тестирования Android-приложений на уязвимость

Опубликован инструмент для тестирования Android-приложений на уязвимость

Опубликован инструмент для тестирования Android-приложений на уязвимость

Пользователь GitHub под именем modzero опубликовал инструмент, созданный разработчиком Яном Гильрихом (Jan Girlich). Этот инструмент включает приложения для Android, предназначенные для тестирования и создания эксплойтов, доказывающих наличие уязвимостей (Proof of Concept, PoC) десериализации Java в Android.

Сам инструмент основан на ysoserial, созданном frohoff, однако нацелен на платформу Android. Уязвимости Java десериализации — давно изученная тема, обычно такие бреши приводят к выполнению кода в контексте атакуемого приложения. На Android эта проблема более актуальна из-за того, как обрабатывается обмен данными между приложениями.

В опубликованном репозитории находятся два Android-приложения:

  • Приложение «атакующее» — создает полезную нагрузку и реализует вредоносную составляющую процесса.
  • Уязвимое для связки эксплойтов CommonsCollection демо-приложение.

Для демонстрации работы можно открыть уязвимое демонстрационное приложение, затем переключиться на атакующее приложение и использовать цель «ch.modzero.intent_receiver.deserialize.pwn».

Как использовать:

  1. Открыть в Android Studio и скомпилировать папку атакующего приложения.
  2. Установить полученный apk на телефон или эмулятор, где также должно быть установлено тестируемое на уязвимость приложение.
  3. Убедиться, что ваше потенциально уязвимое приложение запущено.
  4. Указать название намерения (intent) потенциально уязвимого приложения в поле ввода в верхней части.
  5. Нажать кнопку «send» в правом нижнем углу.

Если брешь будет обнаружена, инструмент уведомит пользователя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает запрет на покупку сим-карт без личного присутствия

Минцифры подготовило поправки к закону «О связи», которые позволят запретить покупку сим-карт без личного присутствия гражданам России, а также иностранцам, проживающим на территории страны.

Ведомство полагает, что эта мера усложнит мошенникам доступ к массовой покупке сим-карт для использования в криминальных схемах.

Как сообщают источники «Известий», законопроект находится на стадии согласования с профильными ведомствами. Он является частью комплекса мер, направленных на борьбу с цифровым мошенничеством.

«Проблема использования средств связи в преступных целях остается актуальной. По данным МВД России, за первые семь месяцев 2024 года количество таких преступлений выросло на 21% по сравнению с аналогичным периодом 2023 года, достигнув 202 тысяч случаев. При этом значительная часть уголовных дел в сфере компьютерной информации приостанавливается из-за невозможности установить обвиняемого», — говорится в пояснительной записке к законопроекту.

Согласно данным МВД, за 11 месяцев 2024 года около 46% преступлений с использованием инфокоммуникационных технологий совершались через мобильную связь.

Документ предполагает, что запрет на покупку сим-карт без личного присутствия можно будет установить через портал Госуслуг или МФЦ. Снять его можно будет только при личном посещении.

Эксперты, опрошенные «Известиями», считают, что эти меры будут эффективны, особенно в условиях введения с начала 2025 года ограничений на покупку сим-карт. Они снизят риск приобретения сим-карт на утекшие паспортные данные

По оценкам аналитиков, ежемесячное количество «угонов» сим-карт составляет от 300 до 1200 случаев. Публичная статистика по таким инцидентам отсутствует.

«Получив сим-карту (включая eSIM) по поддельной доверенности, мошенник может добраться до аккаунтов жертвы в мессенджерах. С банковскими сервисами это сложнее из-за двухфакторной аутентификации, где первым шагом является ввод пароля. Однако в случае использования мобильного приложения банка система зафиксирует попытку входа с нового устройства», — отметил партнер ComNews Research Леонид Коник.

Глава «Общественной потребительской инициативы» (ОПИ) Олег Павлов подчеркнул, что существующие нормы оставляют множество лазеек для оформления сим-карт без ведома владельцев, что создает риски как для граждан, так и для общественной безопасности. Эти сим-карты могут использоваться в мошеннических и других противоправных действиях.

Операторы связи оценивают инициативу неоднозначно. Представители МТС в комментарии «Известиям» назвали её избыточной, в то время как в Т2 (Tele2) и «Мегафоне» выразили поддержку, хотя и с некоторыми оговорками.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru