Suite de Test de Vulnerabilidades Android VTS

NowSecure ha lanzando al público un código abierto Vulnerabilidad Android Test Suite (Android VTS). Ryan Welton (@ fuzion24) ha trabajado especialmente duro para producir una herramienta que puede ser utilizada por los investigadores y los usuarios por igual para determinar el estado de vulnerabilidad de sus dispositivos

Android Vulnerability Test Suite

 En el espíritu de la recopilación de datos abierta, y con la ayuda del CTS Android, estamos abriendo VTS Android al público y la comunidad de investigadores de seguridad móvil con la esperanza de que juntos podemos tener un pulso precisa sobre el estado de seguridad de Android.

Con el tiempo, el equipo de investigación de NowSecure añadirá parches al VTS para introducir un módulo de opt-in para resultados anonimizados para ser compartido a un servidor central para fines de investigación de seguridad abierta.

Con este lanzamiento proporcionamos el código y APK compilado para empezar a comprobar las vulnerabilidades de inmediato.

• https://github.com/nowsecure/android-vts

Información general 

Esta herramienta se pretende mostrar al usuario final la superficie de ataque que un determinado producto si es susceptible. En la aplicación de estos controles se intenta minimizar o eliminar los dos falsos positivos / negativos falsos, sin afectar negativamente a la estabilidad del sistema.


Cuando se descubre una vulnerabilidad, Google recibe la noticia y se aplica un parche para Android. Los dispositivos Nexus suelen ser los dispositivos que reciben estos parches más rápido, ya que desvían la menor (es decir: no en todos) de AOSP (Android Open Source Project - El núcleo de Android, donde Google se compromete a). El lapso de tiempo entre el aprendizaje acerca de un error y el momento en que se aplica un parche a un dispositivo aún puede ser importante (para los OEM, puede ser> 1 año o nunca). Por ejemplo, el error futex (CVE-2.014-3.153 / Towelroot) se sabe acerca a finales de mayo, principios de junio. Este error llevó varios meses para ser parcheado en el buque insignia (en el momento) Nexus 5. Esto deja a usuarios extremadamente vulnerables a los ataques de aplicaciones. Usuarios mayoría no saben que sus dispositivos son vulnerables y esta herramienta está destinado a dar visibilidad a las vulnerabilidades de un dispositivo dado es susceptible a.


Una lista de los checkeos de seguridad actuales implementados:

• ZipBug9950697
• Zip Bug 8219321 / Master keys
• Zip Bug 9695860
• Jar Bug 13678484 / Android FakeID
• CVE 2013-6282 / put/get_user
• CVE_2011_1149 / PSNueter / Ashmem Exploit
• CVE_2014_3153 / Futex bug / Towelroot
• CVE 2014-3847 / WeakSauce
• StumpRoot
• Stagefright bugs
• x509 Serialization bug
• PingPong root - CVE-2015-3636

Fuente:
https://www.nowsecure.com/blog/2015/09/14/announcing-android-vulnerability-test-suite/