Dipl.-Inform. Carsten Eilers

Es gibt einige vielversprechende neue Tools, die sowohl Sicherheitsforschern als auch Entwicklern helfen können. Vor allem das Androbugs Framework und QARK können bei der Absicherung von Apps nützliche Hilfestellungen leisten. Und beide Tools wurden sogar veröffentlicht! Was für andere leider nicht gilt, was vor allem beim Adaptive Kernel Live Patching ([24], [25]) sehr bedauerlich ist. Aber was nicht ist, kann ja noch werden. Auch wenn das nach der inzwischen meist doch schon relativ langen Zeit eher unwahrscheinlich ist.

Was ich nicht ganz verstehe (und das gilt allgemein, denn das Problem, das Tools auf Konferenzen groß vorgestellt, dann aber nicht veröffentlicht werden, tritt immer wieder auf und betrifft auch nicht nur Android-Tools): Warum machen sich die Forscher die Mühe, ein Tool vorzustellen, wenn sie es dann nicht veröffentlichen? Weder kostenlos noch kommerziell? Dann hätten sie die für die Beschreibung des Tools verschwendete Vortragszeit auch dazu nutzen können, weitere mit dem Tool gefundene Schwachstellen vorzustellen. Oder Hinweise zur Beseitigung oder Verhinderung der Schwachstellen zu geben. Oder eben irgend etwas anderes Nützliches zu tun. Aber so - also irgendwie hat das was von Kindergartenkindern im Sandkasten: „Guckt mal was für ein tolles Spielzeug ich hier habe - und ihr bekommt es nicht!“

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Anestis Bechtsoudis; Hack in the Box Amsterdam 2015: "Fuzzing Objects d’ART: Digging Into the New Android L Runtime Internals"
• [2] Anestis Bechtsoudis; CENSUS: "Fuzzing Objects d’ART — Hack In The Box 2015 Amsterdam"
• [3] GitHub: google/honggfuzz: A general-purpose, easy-to-use fuzzer with interesting analysis options
• [4] Anestis Bechtsoudis; CENSUS: "The road to efficient Android fuzzing"
• [5] Guang Gong; Black Hat USA 2015: "Fuzzing Android System Services by Binder Call to Escalate Privilege"
• [6] Carsten Eilers: "Stagefright und Certifi-gate bei Android"; Mobile Technology 4.2015
• [7] CVE-2015-1528
• [8] GitHub: secmob/PoCForCVE-2015-1528
• [9] Qidan He; Black Hat Asia 2016: "Hey Your Parcel Looks Bad - Fuzzing and Exploiting Parcel-ization Vulnerabilities in Android"
• [10] Alexandru Blanda; Black Hat Europe 2015: "Fuzzing Android: A Recipe for Uncovering Vulnerabilities Inside System Components in Android" (Video auf YouTube)
• [11] GitHub: fuzzing/MFFA: Media Fuzzing Framework for Android
• [12] american fuzzy lop
• [13] Adrian Denkiewicz; Mailinglist afl-users: "AFL on Android"
• [14] Anto Joseph; Hack in the Box Amsterdam 2016: "HITB Lab: Droid-FF: The First Android Fuzzing Framework"
• [15] GitHub: antojoseph/droid-ff
• [16] Jin-hyuk Jung, Jieun Lee; Black Hat Asia 2015: "DABiD: The Powerful Interactive Android Debugger for Android Malware Analysis"
• [17] Yu-Cheng Lin; Black Hat Europe 2015: "AndroBugs Framework: An Android Application Security Vulnerability Scanner" (Video auf YouTube)
• [18] GitHub: AndroBugs/AndroBugs_Framework: AndroBugs Framework is an efficient Android vulnerability scanner that helps developers or hackers find potential security vulnerabilities in Android applications.
• [19] Tony Trummer; Hack in the Box Amsterdam 2015: "HITB LAB: Attacking Android Apps"
• [20] Tony Trummer, Tushar Dalvi; DEF CON 23: "QARK: Android App Exploit and SCA Tool" (Präsentation als PDF, Video auf YouTube, Video mit Untertiteln etc. auf defcon.org)
• [21] GitHub: linkedin/qark: Tool to look for several security related Android application vulnerabilities
• [22] Yeongung Park, Jun Young Choi; Black Hat USA 2015: "THIS IS DeepERENT: Tracking App Behaviors with (Nothing Changed) Phone for Evasive Android Malware" (Video auf YouTube)
• [23] Mustafa Saad; Black Hat Asia 2015: "Android Commercial Spyware Disease and Medication"
• [24] Tim Xia, Yulong Zhang; Hack in the Box Amsterdam 2016: "Adaptive Android Kernel Live Patching"
• [25] Yulong Zhang, Tao Wei; Black Hat USA 2016: Adaptive Kernel Live Patching: An Open Collaborative Effort to Ameliorate Android N-Day Root Exploits"

Carsten Eilers