In Entwicklertools wie Android Studio, IntelliJ IDEA, Eclipse, APKTool und anderen wurde eine neue Art von Android-Sicherheitslücke namens ParseDroid gefunden.
Wenn wir an Android-Schwachstellen denken, stellen wir uns normalerweise eine Zero-Day-Schwachstelle vor, die einen Prozess ausnutzt, um Berechtigungen zu erweitern. Dies kann alles sein, indem Sie Ihr Smartphone oder Tablet dazu verleiten, eine Verbindung zu einem bösartigen WLAN-Netzwerk herzustellen, oder die Ausführung von Code auf einem Gerät von einem entfernten Standort aus ermöglichen. Allerdings wurde kürzlich eine neue Art von Android-Sicherheitslücke entdeckt. Es heißt ParseDroid und nutzt Entwicklertools wie Android Studio, IntelliJ IDEA, Eclipse, APKTool, den Cuckoo-Droid-Dienst und mehr.
ParseDroid ist jedoch nicht nur auf die Android-Entwicklertools beschränkt, und diese Schwachstellen wurden in mehreren Java-/Android-Tools gefunden, die Programmierer heutzutage verwenden. Es spielt keine Rolle, ob Sie ein herunterladbares Entwicklertool verwenden oder eines, das in der Cloud funktioniert.
Check Point Research hat sich zunächst mit dem beliebtesten Tool für Reverse Engineering für Dritte befasst Android-Apps (APKTool) und stellte fest, dass sowohl die Dekompilierungs- als auch die APK-Erstellungsfunktionen für diese anfällig sind Attacke. Nach Durchsicht des Quellcodes gelang es den Forschern, eine XML External Entity (XXE)-Schwachstelle zu identifizieren Dies ist möglich, da der konfigurierte XML-Parser von APKTool externe Entitätsverweise beim Parsen einer XML-Datei nicht deaktiviert Datei.
Sobald die Sicherheitslücke ausgenutzt wird, wird das gesamte Betriebssystemdateisystem der APKTool-Benutzer offengelegt. Dies wiederum ermöglicht es dem Angreifer potenziell, jede Datei auf dem PC des Opfers abzurufen, indem er eine bösartige „AndroidManifest.xml“-Datei verwendet, die eine XXE-Schwachstelle ausnutzt. Nachdem diese Schwachstelle entdeckt wurde, untersuchten die Forscher beliebte Android-IDEs und fanden heraus, dass sie durch einfaches Laden der Schadhafte „AndroidManifest.xml“-Datei als Teil eines Android-Projekts, die IDEs beginnen, jede von der konfigurierte Datei auszuspucken Angreifer.
Check Point Research zeigte außerdem ein Angriffsszenario auf, das möglicherweise eine große Anzahl von Android-Entwicklern betrifft. Es funktioniert, indem eine bösartige AAR (Android Archive Library) mit einer XXE-Nutzlast in Online-Repositorys eingeschleust wird. Wenn ein Opfer das Repository klont, hätte der Angreifer über das Betriebssystemdateisystem des Opfers Zugriff auf potenziell sensible Unternehmenseigentum.
Abschließend beschrieben die Autoren eine Methode, mit der sie Remotecode auf dem Computer eines Opfers ausführen können. Dies geschieht durch Ausnutzung einer Konfigurationsdatei in APKTool namens „APKTOOL.YAML“. Diese Datei hat einen Abschnitt namens „unknownFiles“, wo Benutzer Dateispeicherorte angeben können, die während der Neuerstellung einer Datei abgelegt werden APK. Diese Dateien werden auf dem Computer des Opfers in einem „Unbekannten“ Ordner gespeichert. Durch Bearbeiten des Pfads, in dem diese Dateien gespeichert sind, kann ein Angreifer jede gewünschte Datei in den Speicherort einschleusen Das Dateisystem des Opfers wurde beschädigt, da APKTool den Pfad, aus dem unbekannte Dateien extrahiert werden, nicht überprüft hat APK.
Die vom Angreifer eingeschleusten Dateien führen zu einer vollständigen Remotecodeausführung auf dem Computer des Opfers, was bedeutet, dass ein Angreifer dies tun kann Nutzen Sie jedes Opfer aus, auf dem APKTool installiert ist, indem Sie ein in böser Absicht erstelltes APK erstellen und das Opfer dann versuchen lassen, es zu entschlüsseln baue es wieder auf.
Da alle oben genannten IDEs und Tools plattformübergreifend und generisch sind, besteht ein hohes Potenzial für die Ausnutzung dieser Schwachstellen. Glücklicherweise hat Check Point Research nach Kontaktaufnahme mit den Entwicklern dieser IDEs und Tools bestätigt, dass diese Tools nicht mehr anfällig für diese Art von Angriffen sind. Wenn Sie eine ältere Version eines dieser Tools verwenden, empfehlen wir Ihnen, sofort ein Update durchzuführen, um sich vor einem Angriff im ParseDroid-Stil zu schützen.
Quelle: Check Point Research