Arendaja tööriistadest, sealhulgas Android Studio, IntelliJ IDEA, Eclipse, APKTool jm, on leitud uut tüüpi Androidi haavatavus nimega ParseDroid.
Androidi haavatavustele mõeldes kujutame tavaliselt ette nullpäeva haavatavust, mis kasutab mõnda protsessi õiguste suurendamiseks. See võib olla ükskõik milline, alates nutitelefoni või tahvelarvuti petmisest pahatahtliku WiFi-võrguga ühenduse loomiseks või koodi käivitamise lubamisest seadmes kaugelt. Siiski on hiljuti avastatud uut tüüpi Androidi haavatavus. Seda nimetatakse ParseDroidiks ja see kasutab arendaja tööriistu, sealhulgas Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid teenus ja palju muud.
ParseDroid ei ole siiski eraldatud ainult Androidi arendajatööriistadest ja need haavatavused on leitud mitmest Java/Androidi tööriistast, mida programmeerijad tänapäeval kasutavad. Pole vahet, kas kasutate allalaaditavat arendaja tööriista või sellist, mis töötab pilves, Check Point Research on leidnud need haavatavused kõige tavalisemates Androidi ja Java arendustööriistades. Pärast ärakasutamist pääseb ründaja juurde arendaja töömasina sisemistele failidele.
Check Point Research uuris kõigepealt kõige populaarsemat kolmanda osapoole pöördprojekteerimise tööriista Androidi rakendused (APKTool) ja leidis, et nii selle dekompileerimise kui ka APK loomise funktsioonid on haavatavad rünnak. Pärast lähtekoodi vaatamist õnnestus teadlastel tuvastada XML External Entity (XXE) haavatavus, mis on võimalik, kuna selle konfigureeritud APKTooli XML-parser ei keela XML-i sõelumisel väliseid olemiviiteid faili.
Kui haavatavus on ära kasutatud, paljastab see APKTooli kasutajate kogu OS-i failisüsteemi. See omakorda võimaldab ründajal tuua ohvri arvutisse kõik failid, kasutades pahatahtlikku AndroidManifest.xml-faili, mis kasutab ära XXE haavatavust. Kui see haavatavus avastati, uurisid teadlased populaarseid Androidi IDE-sid ja leidsid, et lihtsalt laadides pahatahtliku AndroidManifest.xml faili osana mis tahes Androidi projektist, hakkavad IDE-d välja sülitama mis tahes faili, mille on konfigureerinud ründaja.
Check Point Research näitas ka rünnakustsenaariumi, mis võib mõjutada suurt hulka Androidi arendajaid. See toimib, sisestades võrguhoidlatesse pahatahtliku AAR-i (Android Archive Library), mis sisaldab XXE kasulikku koormust. Kui ohver kloonib hoidla, on ründajal juurdepääs potentsiaalselt tundlikule ettevõtte varale ohvri OS-i failisüsteemist.
Lõpuks kirjeldasid autorid meetodit, mille kaudu nad saavad ohvri masinas kaugkoodi käivitada. Seda tehakse APKTooli konfiguratsioonifaili "APKTOOL.YAML" abil. Sellel failil on jaotis nimega "unknownFiles", kus kasutajad saavad määrata failide asukohad, mis paigutatakse faili ümberehitamise ajal APK. Need failid on salvestatud ohvri masinasse kaustas Tundmatu. Nende failide salvestamise teed redigeerides saab ründaja sinna sisestada mis tahes soovitud faili ohvri failisüsteemi, kuna APKTool ei kinnitanud teed, kuhu tundmatud failid failist ekstraktitakse APK.
Ründaja sisestatud failid viivad ohvri masinas täieliku kaugkäivituseni, mis tähendab, et ründaja saab ära kasutama kõiki ohvreid installitud APKTooliga, luues pahatahtliku APK ja lastes ohvril dekodeerida ja seejärel see uuesti üles ehitada.
Kuna kõik ülalmainitud IDE-d ja tööriistad on platvormidevahelised ja üldised, on nende haavatavuste ärakasutamise potentsiaal suur. Õnneks kinnitas Check Point Research pärast kõigi nende IDE-de ja tööriistade arendajatega ühendust võtmist, et need tööriistad ei ole enam seda tüüpi rünnakute suhtes haavatavad. Kui kasutate mõne neist tööriistadest vanemat versiooni, soovitame teil kohe värskendada, et kaitsta end ParseDroid-stiilis rünnaku eest.
Allikas: Check Point Research