Ένας νέος τύπος ευπάθειας Android που ονομάζεται ParseDroid έχει βρεθεί σε εργαλεία προγραμματιστών όπως το Android Studio, το IntelliJ IDEA, το Eclipse, το APKTool και άλλα.
Όταν σκεφτόμαστε τα τρωτά σημεία του Android, συνήθως φανταζόμαστε μια ευπάθεια μηδενικής ημέρας που εκμεταλλεύεται κάποια διαδικασία για να κλιμακώσει τα προνόμια. Αυτό μπορεί να είναι οτιδήποτε, από το να εξαπατήσετε το smartphone ή το tablet σας για να συνδεθείτε σε ένα κακόβουλο δίκτυο WiFi ή να επιτρέψετε την εκτέλεση κώδικα σε μια συσκευή από μια απομακρυσμένη τοποθεσία. Ωστόσο, υπάρχει ένας νέος τύπος ευπάθειας Android που ανακαλύφθηκε πρόσφατα. Ονομάζεται ParseDroid και εκμεταλλεύεται εργαλεία προγραμματιστών όπως το Android Studio, το IntelliJ IDEA, το Eclipse, το APKTool, την υπηρεσία Cuckoo-Droid και άλλα.
Ωστόσο, το ParseDroid δεν είναι απομονωμένο μόνο στα εργαλεία προγραμματιστών του Android και αυτά τα τρωτά σημεία έχουν βρεθεί σε πολλά εργαλεία Java/Android που χρησιμοποιούν οι προγραμματιστές αυτές τις μέρες. Δεν έχει σημασία αν χρησιμοποιείτε ένα εργαλείο προγραμματιστή με δυνατότητα λήψης ή ένα που λειτουργεί στο cloud,
Η Έρευνα Check Point πρώτα έψαξε λίγο το πιο δημοφιλές εργαλείο για την αντίστροφη μηχανική τρίτων Εφαρμογές Android (APKTool) και διαπίστωσε ότι τόσο η αποσυμπίλησή του όσο και η δημιουργία του APK είναι ευάλωτα στο επίθεση. Αφού εξέτασαν τον πηγαίο κώδικα, οι ερευνητές κατάφεραν να εντοπίσουν μια ευπάθεια XML External Entity (XXE) που είναι είναι δυνατό επειδή ο ρυθμισμένος αναλυτής XML του APKTool δεν απενεργοποιεί τις εξωτερικές αναφορές οντοτήτων κατά την ανάλυση ενός XML αρχείο.
Μόλις γίνει εκμετάλλευση, η ευπάθεια εκθέτει ολόκληρο το σύστημα αρχείων του λειτουργικού συστήματος των χρηστών του APKTool. Με τη σειρά του, αυτό δυνητικά επιτρέπει στον εισβολέα να ανακτήσει οποιοδήποτε αρχείο στον υπολογιστή του θύματος χρησιμοποιώντας ένα κακόβουλο αρχείο "AndroidManifest.xml" που εκμεταλλεύεται μια ευπάθεια XXE. Μόλις ανακαλύφθηκε αυτή η ευπάθεια, οι ερευνητές εξέτασαν τα δημοφιλή Android IDE και ανακάλυψαν ότι απλά φορτώνοντας το κακόβουλο αρχείο "AndroidManifest.xml" ως μέρος οποιουδήποτε έργου Android, τα IDE αρχίζουν να φτύνουν οποιοδήποτε αρχείο έχει ρυθμιστεί από το επιτεθείς.
Η Έρευνα Check Point έδειξε επίσης ένα σενάριο επίθεσης που ενδέχεται να επηρεάσει μεγάλο αριθμό προγραμματιστών Android. Λειτουργεί με την έγχυση ενός κακόβουλου AAR (Android Archive Library) που περιέχει ένα ωφέλιμο φορτίο XXE σε διαδικτυακά αποθετήρια. Εάν ένα θύμα κλωνοποιήσει το αποθετήριο, τότε ο εισβολέας θα έχει πρόσβαση σε δυνητικά ευαίσθητη ιδιοκτησία της εταιρείας από το σύστημα αρχείων του λειτουργικού συστήματος του θύματος.
Τέλος, οι συγγραφείς περιέγραψαν μια μέθοδο μέσω της οποίας μπορούν να εκτελέσουν απομακρυσμένο κώδικα στον υπολογιστή ενός θύματος. Αυτό γίνεται με την εκμετάλλευση ενός αρχείου διαμόρφωσης στο APKTool που ονομάζεται "APKTOOL.YAML." Αυτό το αρχείο έχει μια ενότητα ονομάζεται "unknownFiles" όπου οι χρήστες μπορούν να καθορίσουν τοποθεσίες αρχείων που θα τοποθετηθούν κατά την ανακατασκευή ενός APK. Αυτά τα αρχεία αποθηκεύονται στον υπολογιστή του θύματος σε έναν φάκελο "Άγνωστο". Με την επεξεργασία της διαδρομής όπου αποθηκεύονται αυτά τα αρχεία, ένας εισβολέας μπορεί να εισάγει οποιοδήποτε αρχείο θέλει στο σύστημα αρχείων του θύματος αφού το APKTool δεν επικύρωσε τη διαδρομή όπου εξάγονται άγνωστα αρχεία από ένα APK.
Τα αρχεία που εισάγει ο εισβολέας οδηγούν σε πλήρη απομακρυσμένη εκτέλεση κώδικα στον υπολογιστή του θύματος, που σημαίνει ότι ένας εισβολέας μπορεί εκμεταλλευτείτε οποιοδήποτε θύμα με το APKTool που είναι εγκατεστημένο δημιουργώντας ένα κακόβουλα κατασκευασμένο APK και βάζοντας το θύμα να προσπαθήσει να αποκωδικοποιήσει και στη συνέχεια ξαναφτιάξτε το.
Δεδομένου ότι όλα τα IDE και τα εργαλεία που αναφέρονται παραπάνω είναι πολλαπλών πλατφορμών και γενικά, η δυνατότητα εκμετάλλευσης αυτών των τρωτών σημείων είναι υψηλή. Ευτυχώς, αφού απευθυνόταν στους προγραμματιστές καθενός από αυτά τα IDE και εργαλεία, η Check Point Research επιβεβαίωσε ότι αυτά τα εργαλεία δεν είναι πλέον ευάλωτα σε αυτού του είδους τις επιθέσεις. Εάν εκτελείτε μια παλαιότερη έκδοση ενός από αυτά τα εργαλεία, σας συνιστούμε να ενημερώσετε αμέσως για να ασφαλίσετε τον εαυτό σας από μια επίθεση τύπου ParseDroid.
Πηγή: Έρευνα Check Point