Android Studio, IntelliJ IDEA, Eclipse, APKTool और अन्य डेवलपर टूल में ParseDroid नामक एक नए प्रकार की Android भेद्यता पाई गई है।
जब हम एंड्रॉइड की कमजोरियों के बारे में सोचते हैं तो हम आम तौर पर एक शून्य-दिन की भेद्यता की कल्पना करते हैं जो विशेषाधिकारों को बढ़ाने के लिए कुछ प्रक्रियाओं का फायदा उठाती है। यह आपके स्मार्टफोन या टैबलेट को धोखे से किसी दुर्भावनापूर्ण वाईफाई नेटवर्क से कनेक्ट करने, या किसी दूरस्थ स्थान से किसी डिवाइस पर कोड निष्पादित करने की अनुमति देने से लेकर कुछ भी हो सकता है। हालाँकि, एक नए प्रकार की Android भेद्यता है जिसे हाल ही में खोजा गया है। इसे ParseDroid कहा जा रहा है और यह Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid सेवा और अन्य सहित डेवलपर टूल का उपयोग करता है।
हालाँकि, ParseDroid केवल Android के डेवलपर टूल तक ही सीमित नहीं है, और ये कमजोरियाँ कई Java/Android टूल में पाई गई हैं जिनका उपयोग प्रोग्रामर इन दिनों कर रहे हैं। इससे कोई फर्क नहीं पड़ता कि आप डाउनलोड करने योग्य डेवलपर टूल का उपयोग कर रहे हैं या क्लाउड में काम करने वाले टूल का, चेक प्वाइंट अनुसंधान
ने इन कमजोरियों को सबसे आम एंड्रॉइड और जावा डेवलपमेंट टूल्स में पाया है। एक बार शोषण होने के बाद, एक हमलावर डेवलपर की कार्य मशीन की आंतरिक फ़ाइलों तक पहुंचने में सक्षम होता है।चेक प्वाइंट रिसर्च ने सबसे पहले रिवर्स इंजीनियरिंग थर्ड पार्टी के लिए सबसे लोकप्रिय टूल में कुछ खोज की एंड्रॉइड ऐप्स (एपीकेटूल) और पाया गया कि इसकी डिकंपाइलिंग और बिल्डिंग एपीके सुविधाएं दोनों ही कमजोर हैं आक्रमण करना। स्रोत कोड को देखने के बाद, शोधकर्ता एक XML बाहरी इकाई (XXE) भेद्यता की पहचान करने में कामयाब रहे संभव है क्योंकि APKTool का कॉन्फ़िगर किया गया XML पार्सर XML को पार्स करते समय बाहरी इकाई संदर्भों को अक्षम नहीं करता है फ़ाइल।
एक बार शोषण होने पर, भेद्यता APKTool उपयोगकर्ताओं के संपूर्ण OS फ़ाइल सिस्टम को उजागर कर देती है। बदले में, यह संभावित रूप से हमलावर को एक दुर्भावनापूर्ण "AndroidManifest.xml" फ़ाइल का उपयोग करके पीड़ित के पीसी पर किसी भी फ़ाइल को पुनर्प्राप्त करने की अनुमति देता है जो XXE भेद्यता का फायदा उठाता है। एक बार जब उस भेद्यता का पता चल गया, तो शोधकर्ताओं ने लोकप्रिय एंड्रॉइड आईडीई को देखा और इसे केवल लोड करके पता लगाया किसी भी एंड्रॉइड प्रोजेक्ट के हिस्से के रूप में दुर्भावनापूर्ण "AndroidManifest.xml" फ़ाइल, आईडीई द्वारा कॉन्फ़िगर की गई किसी भी फ़ाइल को बाहर निकालना शुरू कर देती है हमलावर.
चेक प्वाइंट रिसर्च ने एक हमले के परिदृश्य का भी प्रदर्शन किया जो संभावित रूप से बड़ी संख्या में एंड्रॉइड डेवलपर्स को प्रभावित कर रहा है। यह ऑनलाइन रिपॉजिटरी में XXE पेलोड युक्त एक दुर्भावनापूर्ण AAR (एंड्रॉइड आर्काइव लाइब्रेरी) को इंजेक्ट करके काम करता है। यदि कोई पीड़ित रिपॉजिटरी का क्लोन बनाता है, तो हमलावर के पास पीड़ित के ओएस फ़ाइल सिस्टम से संभावित रूप से संवेदनशील कंपनी की संपत्ति तक पहुंच होगी।
अंत में, लेखकों ने एक विधि का वर्णन किया जिसके माध्यम से वे पीड़ित की मशीन पर रिमोट कोड निष्पादित कर सकते हैं। यह APKTool में "APKTOOL.YAML" नामक कॉन्फ़िगरेशन फ़ाइल का उपयोग करके किया जाता है। इस फ़ाइल में एक अनुभाग है जिसे "अज्ञात फ़ाइलें" कहा जाता है, जहां उपयोगकर्ता फ़ाइल स्थानों को निर्दिष्ट कर सकते हैं जिन्हें किसी के पुनर्निर्माण के दौरान रखा जाएगा एपीके. ये फ़ाइलें पीड़ित की मशीन पर एक "अज्ञात" फ़ोल्डर में संग्रहीत की जाती हैं। उस पथ को संपादित करके जहां ये फ़ाइलें सहेजी गई हैं, एक हमलावर अपनी इच्छानुसार कोई भी फ़ाइल इंजेक्ट कर सकता है पीड़ित की फ़ाइल प्रणाली चूंकि एपीकेटूल ने उस पथ को मान्य नहीं किया जहां से अज्ञात फ़ाइलें निकाली जाती हैं एपीके.
हमलावर द्वारा इंजेक्ट की गई फ़ाइलें पीड़ित की मशीन पर पूर्ण रिमोट कोड निष्पादन की ओर ले जाती हैं, जिसका अर्थ है कि एक हमलावर ऐसा कर सकता है दुर्भावनापूर्ण तरीके से बनाए गए एपीके को तैयार करके और पीड़ित को डीकोड करने का प्रयास करवाकर एपीकेटूल इंस्टॉल करके किसी भी पीड़ित का शोषण करें इसका पुनर्निर्माण करें.
चूँकि ऊपर उल्लिखित सभी आईडीई और उपकरण क्रॉस-प्लेटफ़ॉर्म और सामान्य हैं, इसलिए इन कमजोरियों का फायदा उठाने की संभावना अधिक है। शुक्र है, इनमें से प्रत्येक आईडीई और टूल के डेवलपर्स तक पहुंचने के बाद, चेक प्वाइंट रिसर्च ने पुष्टि की है कि ये उपकरण अब इस तरह के हमले के प्रति संवेदनशील नहीं हैं। यदि आप इनमें से किसी एक टूल का पुराना संस्करण चला रहे हैं, तो हम अनुशंसा करते हैं कि आप ParseDroid-शैली के हमले से खुद को सुरक्षित करने के लिए तुरंत अपडेट करें।
स्रोत: चेक प्वाइंट रिसर्च