Un nouveau type de vulnérabilité Android appelé ParseDroid a été découvert dans les outils de développement, notamment Android Studio, IntelliJ IDEA, Eclipse, APKTool, etc.
Lorsque nous pensons aux vulnérabilités Android, nous imaginons généralement une vulnérabilité Zero Day qui exploite certains processus pour élever les privilèges. Il peut s'agir de tromper votre smartphone ou votre tablette pour qu'il se connecte à un réseau WiFi malveillant, ou de permettre l'exécution de code sur un appareil à partir d'un emplacement distant. Cependant, un nouveau type de vulnérabilité Android a été récemment découvert. Il s'appelle ParseDroid et exploite des outils de développement, notamment Android Studio, IntelliJ IDEA, Eclipse, APKTool, le service Cuckoo-Droid et bien plus encore.
ParseDroid n'est cependant pas limité aux outils de développement d'Android, et ces vulnérabilités ont été découvertes dans plusieurs outils Java/Android que les programmeurs utilisent de nos jours. Peu importe que vous utilisiez un outil de développement téléchargeable ou un outil fonctionnant dans le cloud,
Check Point Research a d'abord étudié l'outil le plus populaire pour l'ingénierie inverse de tiers. Applications Android (APKTool) et a constaté que ses fonctionnalités de décompilation et de création d'APK sont vulnérables aux attaque. Après avoir examiné le code source, les chercheurs ont réussi à identifier une vulnérabilité XML External Entity (XXE) qui est possible car son analyseur XML configuré d'APKTool ne désactive pas les références d'entités externes lors de l'analyse d'un XML déposer.
Une fois exploitée, la vulnérabilité expose l’ensemble du système de fichiers du système d’exploitation des utilisateurs d’APKTool. À son tour, cela permet potentiellement à l’attaquant de récupérer n’importe quel fichier sur le PC de la victime en utilisant un fichier malveillant « AndroidManifest.xml » qui exploite une vulnérabilité XXE. Une fois cette vulnérabilité découverte, les chercheurs ont ensuite examiné les IDE Android populaires et ont découvert qu'en chargeant simplement le fichier malveillant « AndroidManifest.xml » dans le cadre de tout projet Android, les IDE commencent à cracher n'importe quel fichier configuré par le attaquant.
Check Point Research a également démontré un scénario d’attaque affectant potentiellement un grand nombre de développeurs Android. Il fonctionne en injectant un AAR (Android Archive Library) malveillant contenant une charge utile XXE dans des référentiels en ligne. Si une victime clone le référentiel, l'attaquant aurait alors accès aux biens potentiellement sensibles de l'entreprise à partir du système de fichiers du système d'exploitation de la victime.
Enfin, les auteurs ont décrit une méthode grâce à laquelle ils peuvent exécuter du code à distance sur la machine d'une victime. Cela se fait en exploitant un fichier de configuration dans APKTool appelé "APKTOOL.YAML". Ce fichier comporte une section appelé "unknownFiles" où les utilisateurs peuvent spécifier les emplacements de fichiers qui seront placés lors de la reconstruction d'un APK. Ces fichiers sont stockés sur la machine de la victime dans un dossier « Inconnu ». En modifiant le chemin où ces fichiers sont enregistrés, un attaquant peut injecter n'importe quel fichier de son choix sur le système de fichiers de la victime puisque APKTool n'a pas validé le chemin où les fichiers inconnus sont extraits d'un APK.
Les fichiers injectés par l'attaquant conduisent à une exécution complète de code à distance sur la machine de la victime, ce qui signifie qu'un attaquant peut exploiter toute victime avec APKTool installé en créant un APK créé de manière malveillante et en demandant à la victime de tenter de décoder, puis le reconstruire.
Étant donné que tous les IDE et outils mentionnés ci-dessus sont multiplateformes et génériques, le potentiel d’exploitation de ces vulnérabilités est élevé. Heureusement, après avoir contacté les développeurs de chacun de ces IDE et outils, Check Point Research a confirmé que ces outils ne sont plus vulnérables à ce type d'attaque. Si vous utilisez une ancienne version de l'un de ces outils, nous vous recommandons de mettre à jour immédiatement pour vous protéger contre une attaque de type ParseDroid.
Source: Recherche Check Point