Uuden tyyppinen Android-haavoittuvuus nimeltä ParseDroid on löydetty kehittäjätyökaluista, kuten Android Studiosta, IntelliJ IDEAsta, Eclipsestä, APKToolista ja muista.
Kun ajattelemme Androidin haavoittuvuuksia, kuvittelemme yleensä nollapäivän haavoittuvuuden, joka hyödyntää jotakin prosessia oikeuksien laajentamiseksi. Tämä voi olla mitä tahansa älypuhelimen tai tabletin huijaamisesta muodostamaan yhteys haitalliseen WiFi-verkkoon tai koodin suorittamisen sallimisesta laitteella etäsijainnista. Äskettäin on kuitenkin löydetty uudenlainen Android-haavoittuvuus. Sitä kutsutaan nimellä ParseDroid, ja se hyödyntää kehittäjätyökaluja, kuten Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid-palvelu ja paljon muuta.
ParseDroid ei kuitenkaan ole eristetty vain Androidin kehittäjätyökaluista, ja nämä haavoittuvuudet on löydetty useista Java/Android-työkaluista, joita ohjelmoijat käyttävät nykyään. Ei ole väliä, käytätkö ladattavaa kehittäjätyökalua vai pilvessä toimivaa työkalua, Check Point -tutkimus
Check Point Research tutustui ensin suosituimpaan kolmannen osapuolen käänteisen suunnittelun työkaluun Android-sovellukset (APKTool) ja havaitsivat, että sekä sen purku- että APK: n rakennusominaisuudet ovat haavoittuvia hyökkäys. Lähdekoodin tarkastelun jälkeen tutkijat onnistuivat tunnistamaan XML External Entity (XXE) -haavoittuvuuden, joka on mahdollista, koska sen määritetty APKToolin XML-jäsennin ei poista ulkoisia entiteettiviittauksia käytöstä XML: ää jäsennettäessä tiedosto.
Hyödynnettynä haavoittuvuus paljastaa APKTool-käyttäjien koko käyttöjärjestelmän tiedostojärjestelmän. Tämä puolestaan mahdollistaa sen, että hyökkääjä voi noutaa minkä tahansa tiedoston uhrin tietokoneelta käyttämällä haitallista AndroidManifest.xml-tiedostoa, joka hyödyntää XXE-haavoittuvuutta. Kun tämä haavoittuvuus havaittiin, tutkijat tarkastelivat suosittuja Android IDE: itä ja huomasivat, että lataamalla haitallisen AndroidManifest.xml-tiedoston osana mitä tahansa Android-projektia, IDE: t alkavat sylkeä ulos mitä tahansa hyökkääjä.
Check Point Research osoitti myös hyökkäysskenaarion, joka saattaa vaikuttaa suureen määrään Android-kehittäjiä. Se toimii ruiskuttamalla haitallisen AAR: n (Android Archive Library), joka sisältää XXE-hyötykuorman online-tietovarastoihin. Jos uhri kloonaa arkiston, hyökkääjällä on sitten pääsy mahdollisesti arkaluontoiseen yrityksen omaisuuteen uhrin käyttöjärjestelmätiedostojärjestelmästä.
Lopuksi kirjoittajat kuvasivat menetelmän, jolla he voivat suorittaa etäkoodia uhrin koneella. Tämä tehdään hyödyntämällä APKToolin asetustiedostoa nimeltä "APKTOOL.YAML". Tässä tiedostossa on osio nimeltä "unknownFiles", jossa käyttäjät voivat määrittää tiedostojen sijainnit, jotka sijoitetaan uudelleenrakennuksen aikana APK. Nämä tiedostot on tallennettu uhrin koneelle Tuntematon-kansioon. Muokkaamalla polkua, johon nämä tiedostot tallennetaan, hyökkääjä voi lisätä minkä tahansa haluamansa tiedoston tiedostoon uhrin tiedostojärjestelmä, koska APKTool ei vahvistanut polkua, johon tuntemattomat tiedostot puretaan APK.
Hyökkääjän syöttämät tiedostot johtavat täydelliseen koodin etäsuorittamiseen uhrin koneella, mikä tarkoittaa, että hyökkääjä voi hyödyntää uhria asennetulla APKToolilla luomalla haitallisesti tehty APK ja antamalla uhrin yrittää purkaa ja sitten rakentaa se uudelleen.
Koska kaikki yllä mainitut IDE: t ja työkalut ovat monialustaisia ja yleisiä, näiden haavoittuvuuksien hyödyntämismahdollisuus on suuri. Onneksi Check Point Research on ottanut yhteyttä kunkin IDE: n ja työkalun kehittäjiin ja on vahvistanut, että nämä työkalut eivät ole enää alttiita tämän tyyppisille hyökkäyksille. Jos käytät vanhempaa versiota jostakin näistä työkaluista, suosittelemme, että päivität välittömästi suojataksesi itsesi ParseDroid-tyyppisiltä hyökkäyksiltä.
Lähde: Check Point Research