有没有开源 App 可以扫描并列出 Android 系统的提权漏洞 (例如拼多多所利用的那种漏洞)?
einsdisp 2024-06-11 19:00:56 +08:00 8483 次点击这是一个创建于 487 天前的主题,其中的信息可能已经有所发展或是发生改变。
针对像本人一样的, 并非 Android 开发者, 对 Android 系统原理一窍不通的用户, 手机系统为类原生系统 (Pixel, AOSP 衍生版本),
前需要一款 APP (或者 Shell 脚本), 安装之后可以自动扫描手机系统是否存在提权漏洞 (例如拼多多所利用的那种漏洞), 最好是开源的 (避免 App 本身扫到漏洞后自己去加以利用牟利), 最好更新比较频繁 (这样才能检测到最新的漏洞).
然而寻找了半天, 几乎没有, 使用关键字 "vulnerability scanner android" 搜索 Play 商店, 只找到一些病毒扫描 App, 完全驴唇不对马嘴.
前几年 CPU 大量爆出漏洞的时候, GitHub 上很容易就找到有脚本程序可以用于检测电脑是否存在这些漏洞. 然而针对 Android, 有没有这样的程序或脚本?
 | 1 billccn 2024-06-11 22:16:04 +08:00 人家拼多多那个是多个 0day ,现在一个 0day 值很多钱的,最差也可以报告给 Google 拿个 bug bounty 的钱。如果不报告然后自己写一个扫描器反而可能会被 Google Play 下架并 ban 掉开发账户。 终端用户能做的就是检查 Android 安全更新是不是最新版的+祈祷厂商没有在魔改的时候造成新的漏洞。 |
 | 3 Catboost 2024-06-12 02:17:53 +08:00 via Android 如果你的手机能通过谷歌验证的话,安装使用漏洞、滥用权限的应用,谷歌 play 会阻止(提示)你不要安装 |
 | 4 iminto 2024-06-12 08:00:03 +08:00 via Android 不需要扫描。 你把漏洞扫描工具看得太高级了,其实这些工具大多很 low 。 基本原理就是收集公开的 cve 数据库,然后把已安装软件的版本号拿去比对,就出漏洞报告了。 它们根本不会去验证,我每个月都会处理上百个误报的漏洞,然后给甲方回复,这个漏洞根本不存在。 |
 | 6 asdjgfr 2024-06-12 09:15:41 +08:00 |
 | 7 Z2 2024-06-12 09:32:14 +08:00 via iPhone Fireyer |
 | 8 proxytoworld 2024-06-12 14:38:13 +08:00 开源的大多运行在 Linux 或者 Windows ,所谓的漏扫器 |
 | 9 kd9yYw2RyhQwAwzn 2024-06-12 17:13:54 +08:00 依赖扫描可以用这个 https://github.com/jeremylong/DependencyCheck 镜像的话可以用这个 https://github.com/aquasecurity/trivy 敏感信息可以用这个 https://github.com/gitleaks/gitleaks 支持集成到 ci 但是这个东西有误报需要自己分析下 现在各种制品仓库也集成了类似这种功能 比如 nexus harbor |
 | 10 MaxLi77 2024-06-13 15:45:12 +08:00 没意义的,android 不像 windows ,你找到了也没办法修复。保证你手机系统最新就行了,基本可以避免大部分攻击。 |
 | 11 tuoniaoguoce 2024-06-13 17:44:06 +08:00 我觉得只要有防止后台偷偷录音录像的权限管理或应用信誉度的就好了 |
| 12 tuoniaoguoce 2024-06-13 17:54:05 +08:00 @tuoniaoguoce 后门或零日漏洞应该多得是,只不过都不上报。 |
Select Language