Se ha encontrado un nuevo tipo de vulnerabilidad de Android llamada ParseDroid en herramientas de desarrollo como Android Studio, IntelliJ IDEA, Eclipse, APKTool y más.
Cuando pensamos en las vulnerabilidades de Android, normalmente nos imaginamos una vulnerabilidad de día cero que explota algún proceso para escalar privilegios. Esto puede ser cualquier cosa, desde engañar a su teléfono inteligente o tableta para que se conecte a una red WiFi maliciosa o permitir que se ejecute código en un dispositivo desde una ubicación remota. Sin embargo, recientemente se ha descubierto un nuevo tipo de vulnerabilidad en Android. Se llama ParseDroid y explota herramientas de desarrollo que incluyen Android Studio, IntelliJ IDEA, Eclipse, APKTool, el servicio Cuckoo-Droid y más.
Sin embargo, ParseDroid no se limita solo a las herramientas de desarrollo de Android, y estas vulnerabilidades se han encontrado en múltiples herramientas Java/Android que los programadores están utilizando actualmente. No importa si estás usando una herramienta de desarrollo descargable o una que funcione en la nube,
Check Point Research investigó por primera vez la herramienta más popular para terceros de ingeniería inversa aplicaciones de Android (APKTool) y descubrió que tanto sus funciones de descompilación como de creación de APK son vulnerables al ataque. Después de observar el código fuente, los investigadores lograron identificar una vulnerabilidad de entidad externa XML (XXE) que es posible porque su analizador XML configurado de APKTool no deshabilita las referencias a entidades externas al analizar un XML archivo.
Una vez explotada, la vulnerabilidad expone todo el sistema de archivos del sistema operativo de los usuarios de APKTool. A su vez, esto permite potencialmente al atacante recuperar cualquier archivo en la PC de la víctima mediante el uso de un archivo malicioso "AndroidManifest.xml" que explota una vulnerabilidad XXE. Una vez que se descubrió esa vulnerabilidad, los investigadores observaron los IDE de Android populares y descubrieron que simplemente cargando el archivo malicioso “AndroidManifest.xml” como parte de cualquier proyecto de Android, el IDE comienza a escupir cualquier archivo configurado por el agresor.
Check Point Research también demostró un escenario de ataque que podría afectar a una gran cantidad de desarrolladores de Android. Funciona inyectando una AAR (Biblioteca de archivo de Android) maliciosa que contiene una carga útil XXE en repositorios en línea. Si una víctima clona el repositorio, el atacante tendría acceso a propiedad potencialmente confidencial de la empresa desde el sistema de archivos del sistema operativo de la víctima.
Finalmente, los autores describieron un método mediante el cual pueden ejecutar código remoto en la máquina de la víctima. Esto se hace explotando un archivo de configuración en APKTool llamado "APKTOOL.YAML". Este archivo tiene una sección llamado "unknownFiles" donde los usuarios pueden especificar las ubicaciones de los archivos que se colocarán durante la reconstrucción de un APK. Estos archivos se almacenan en la máquina de la víctima en una carpeta "Desconocida". Al editar la ruta donde se guardan estos archivos, un atacante puede inyectar cualquier archivo que desee en el sistema de archivos de la víctima ya que APKTool no validó la ruta donde se extraen los archivos desconocidos de un APK.
Los archivos que el atacante inyecta conducen a una ejecución remota completa del código en la máquina de la víctima, lo que significa que un atacante puede Explotar a cualquier víctima con APKTool instalado creando un APK creado con fines maliciosos y haciendo que la víctima intente decodificarlo y luego reconstruirlo.
Dado que todos los IDE y herramientas mencionados anteriormente son multiplataforma y genéricos, el potencial para explotar estas vulnerabilidades es alto. Afortunadamente, después de comunicarse con los desarrolladores de cada uno de estos IDE y herramientas, Check Point Research confirmó que estas herramientas ya no son vulnerables a este tipo de ataque. Si está ejecutando una versión anterior de una de estas herramientas, le recomendamos que la actualice inmediatamente para protegerse contra un ataque estilo ParseDroid.
Fuente: Investigación de Check Point