Come posso ispezionare / verificare un telefono Android se è vulnerabile a CVE-2012-4221 (o qualsiasi altro?)

2

Voglio creare una guida (o un'app) per controllare i dispositivi e determinare se l'hardware o il software è vulnerabile agli attacchi.

Dato un telefono arbitrario, che procedura devo fare per determinare se esistono patch / vulnerabilità in circolazione?

O chiesto un modo leggermente diverso, sono tutte le patch in esclusiva per Google o ci sono driver di terze parti che devo ispezionare?

    
posta random65537 11.12.2015 - 15:07
fonte

1 risposta

1

Ci sono molti aspetti di questa domanda.

  1. I venditori di telefoni in genere inviano le patch a loro piacimento. Quindi parte della domanda diventa "chi è il tuo fornitore di software?" e "stai facendo funzionare un'immagine?" Questo determinerà se è disponibile software aggiornato.

  2. In caso di dubbi, puoi raccogliere prove di concept tester su Internet per attaccare i telefoni cellulari con. Ciò è discutibile al meglio, perché non tutte le vulnerabilità si prestano bene alla confezione come un sito auto-pwn privo di rischi. La suite Android Vulnerability che WoJ collegato sarà utile con questo.

  3. Se stai guardando Android come un ecosistema, dovrai interagire con i permessi delle app e gli aggiornamenti delle app. Le app possono anche introdurre vulnerabilità e occasionalmente gli aggiornamenti non possono essere eseguiti (ciò è avvenuto a causa di un sovraccarico di immagini).

  4. Per l'hardware, sarà un po 'più esoterico. Dovrai inserire le informazioni da Internet sui telefoni e compilarli nella tua guida. Fortunatamente per la tua guida (e sfortunatamente per i tuoi utenti), gli exploit hardware sono più difficili da sistemare in produzione, quindi dovrebbe trasformarsi in un semplice confronto una volta trovata una fonte attendibile.

risposta data 11.12.2015 - 22:24
fonte

Leggi altre domande sui tag