En ny type Android-sårbarhed kaldet ParseDroid er blevet fundet i udviklerværktøjer, herunder Android Studio, IntelliJ IDEA, Eclipse, APKTool og mere.
Når vi tænker på Android-sårbarheder, forestiller vi os typisk en nul-dages sårbarhed, der udnytter en proces til at eskalere privilegier. Dette kan være alt fra at narre din smartphone eller tablet til at oprette forbindelse til et ondsindet WiFi-netværk eller tillade, at kode udføres på en enhed fra en fjernplacering. Der er dog en ny type Android-sårbarhed, som for nylig er blevet opdaget. Det bliver kaldt ParseDroid, og det udnytter udviklerværktøjer, herunder Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid-tjenesten og mere.
ParseDroid er dog ikke isoleret til kun Androids udviklerværktøjer, og disse sårbarheder er blevet fundet i flere Java/Android-værktøjer, som programmører bruger i disse dage. Det er lige meget, om du bruger et udviklerværktøj, der kan downloades, eller et, der fungerer i skyen, Check Point Research har fundet disse sårbarheder i de mest almindelige Android- og Java-udviklingsværktøjer. Når først den er blevet udnyttet, er en angriber i stand til at få adgang til interne filer på udviklerens arbejdsmaskine.
Check Point Research gravede først lidt i det mest populære værktøj til reverse engineering fra tredjepart Android-apps (APKTool) og fandt ud af, at både dens dekompilerings- og opbygnings-APK-funktioner er sårbare over for angreb. Efter at have set på kildekoden lykkedes det forskerne at identificere en XML External Entity (XXE) sårbarhed, der er muligt, fordi dens konfigurerede XML-parser af APKTool ikke deaktiverer eksterne enhedsreferencer ved parsing af en XML fil.
Når først den er udnyttet, afslører sårbarheden hele OS-filsystemet for APKTool-brugere. Til gengæld giver dette potentielt angriberen mulighed for at hente enhver fil på offerets pc ved at bruge en ondsindet "AndroidManifest.xml"-fil, der udnytter en XXE-sårbarhed. Da denne sårbarhed blev opdaget, så forskerne på populære Android IDE'er og fandt ud af, at ved blot at indlæse ondsindet "AndroidManifest.xml"-fil som en del af ethvert Android-projekt, begynder IDE'erne at spytte enhver fil ud, der er konfigureret af angriber.
Check Point Research demonstrerede også et angrebsscenarie, der potentielt påvirker et stort antal Android-udviklere. Det virker ved at injicere en ondsindet AAR (Android Archive Library), der indeholder en XXE-nyttelast, i online-depoter. Hvis et offer kloner depotet, vil angriberen derefter have adgang til potentielt følsomme virksomhedsejendomme fra offerets OS-filsystem.
Til sidst beskrev forfatterne en metode, hvorigennem de kan udføre fjernkode på et offers maskine. Dette gøres ved at udnytte en konfigurationsfil i APKTool kaldet "APKTOOL.YAML." Denne fil har en sektion kaldet "unknownFiles", hvor brugere kan angive filplaceringer, der vil blive placeret under genopbygningen af en APK. Disse filer er gemt på offerets maskine i en "Ukendt" mappe. Ved at redigere stien, hvor disse filer er gemt, kan en angriber injicere enhver fil, de vil have på offerets filsystem, da APKTool ikke validerede stien, hvor ukendte filer udpakkes fra en APK.
Filerne, som angriberen injicerer, fører til fuld fjernudførelse af kode på offerets maskine, hvilket betyder, at en angriber kan udnytte ethvert offer med APKTool installeret ved at lave en ondsindet APK og lade offeret forsøge at afkode og derefter genopbygge det.
Da alle ovennævnte IDE'er og værktøjer er på tværs af platforme og generiske, er potentialet for at udnytte disse sårbarheder højt. Heldigvis, efter at have kontaktet udviklerne af hver af disse IDE'er og værktøjer, har Check Point Research bekræftet, at disse værktøjer ikke længere er sårbare over for denne form for angreb. Hvis du kører en ældre version af et af disse værktøjer, anbefaler vi, at du opdaterer med det samme for at sikre dig mod et angreb i ParseDroid-stil.
Kilde: Check Point Research