تم العثور على نوع جديد من ثغرات Android يُسمى ParseDroid في أدوات المطورين بما في ذلك Android Studio وIntelliJ IDEA وEclipse وAPKTool والمزيد.
عندما نفكر في الثغرات الأمنية في Android، فإننا عادةً ما نتصور ثغرة أمنية يوم صفر تستغل بعض العمليات لتصعيد الامتيازات. يمكن أن يكون هذا أي شيء بدءًا من خداع هاتفك الذكي أو جهازك اللوحي للاتصال بشبكة WiFi ضارة، أو السماح بتنفيذ التعليمات البرمجية على جهاز من مكان بعيد. ومع ذلك، هناك نوع جديد من ثغرة Android تم اكتشافه مؤخرًا. يُطلق عليه اسم ParseDroid وهو يستغل أدوات المطورين بما في ذلك Android Studio وIntelliJ IDEA وEclipse وAPKTool وخدمة Cuckoo-Droid والمزيد.
لا يتم عزل ParseDroid عن أدوات مطوري Android فقط، وقد تم العثور على هذه الثغرات الأمنية في العديد من أدوات Java/Android التي يستخدمها المبرمجون هذه الأيام. لا يهم إذا كنت تستخدم أداة مطور قابلة للتنزيل أو أداة تعمل في السحابة، نقطة تفتيش للأبحاث لقد عثرت الشركة على هذه الثغرات الأمنية في أدوات تطوير Android وJava الأكثر شيوعًا. وبمجرد استغلالها، يصبح المهاجم قادرًا على الوصول إلى الملفات الداخلية لجهاز عمل المطور.
قامت شركة Check Point Research أولاً بالبحث في الأداة الأكثر شيوعًا للهندسة العكسية لطرف ثالث تطبيقات Android (APKTool) ووجدت أن كلاً من ميزات إلغاء الترجمة وإنشاء APK الخاصة بها معرضة للاختراق هجوم. بعد النظر في الكود المصدري، تمكن الباحثون من تحديد ثغرة XML External Entity (XXE). ممكن لأن محلل XML الذي تم تكوينه في APKTool لا يقوم بتعطيل مراجع الكيانات الخارجية عند تحليل XML ملف.
بمجرد استغلال الثغرة الأمنية، فإنها تكشف نظام ملفات نظام التشغيل بالكامل لمستخدمي APKTool. وهذا بدوره يسمح للمهاجم باسترداد أي ملف على جهاز الكمبيوتر الخاص بالضحية باستخدام ملف "AndroidManifest.xml" الضار الذي يستغل ثغرة XXE. بمجرد اكتشاف هذه الثغرة الأمنية، نظر الباحثون بعد ذلك إلى بيئة تطوير Android الشائعة واكتشفوا ذلك بمجرد تحميل ملف "AndroidManifest.xml" الضار كجزء من أي مشروع Android، تبدأ IDEs في إخراج أي ملف تم تكوينه بواسطة مهاجم.
كما أظهرت Check Point Research أيضًا سيناريو هجوم من المحتمل أن يؤثر على عدد كبير من مطوري Android. إنه يعمل عن طريق حقن AAR (مكتبة أرشيف Android) الضارة التي تحتوي على حمولة XXE في المستودعات عبر الإنترنت. إذا قام أحد الضحايا باستنساخ المستودع، فسيتمكن المهاجم بعد ذلك من الوصول إلى ممتلكات الشركة التي يحتمل أن تكون حساسة من نظام ملفات نظام التشغيل الخاص بالضحية.
أخيرًا، وصف المؤلفون طريقة يمكنهم من خلالها تنفيذ تعليمات برمجية عن بعد على جهاز الضحية. ويتم ذلك عن طريق استغلال ملف التكوين في APKTool المسمى "APKTOOL.YAML". يحتوي هذا الملف على قسم تسمى "unknownFiles" حيث يمكن للمستخدمين تحديد مواقع الملفات التي سيتم وضعها أثناء إعادة بناء ملف APK. يتم تخزين هذه الملفات على جهاز الضحية في مجلد "غير معروف". من خلال تحرير المسار حيث يتم حفظ هذه الملفات، يمكن للمهاجم إدخال أي ملف يريده على الملف نظام ملفات الضحية نظرًا لأن APKTool لم يتحقق من صحة المسار حيث يتم استخراج الملفات غير المعروفة من ملف APK.
تؤدي الملفات التي يقوم المهاجم بحقنها إلى تنفيذ التعليمات البرمجية عن بعد بالكامل على جهاز الضحية، مما يعني أن المهاجم يمكنه استغلال أي ضحية مثبت عليها APKTool عن طريق إنشاء ملف APK ضار وجعل الضحية يحاول فك التشفير ثم إعادة بناءه.
نظرًا لأن جميع بيئات التطوير والأدوات المذكورة أعلاه مشتركة بين الأنظمة الأساسية وعامة، فإن احتمال استغلال نقاط الضعف هذه مرتفع. لحسن الحظ، بعد التواصل مع مطوري كل من هذه الأدوات والأدوات، أكدت Check Point Research أن هذه الأدوات لم تعد عرضة لهذا النوع من الهجمات. إذا كنت تستخدم إصدارًا قديمًا من إحدى هذه الأدوات، فنوصيك بالتحديث فورًا لتأمين نفسك ضد أي هجوم على غرار ParseDroid.
المصدر: تشيك بوينت ريسيرش