Nova vrsta Android ranjivosti pod nazivom ParseDroid pronađena je u alatima za razvojne programere uključujući Android Studio, IntelliJ IDEA, Eclipse, APKTool i druge.
Kada razmišljamo o ranjivostima Androida, obično zamišljamo ranjivost nultog dana koja iskorištava neki proces za eskalaciju privilegija. To može biti bilo što, od prijevare vašeg pametnog telefona ili tableta da se poveže sa zlonamjernom WiFi mrežom ili dopuštanja izvršavanja koda na uređaju s udaljene lokacije. Međutim, nedavno je otkrivena nova vrsta ranjivosti Androida. Zove se ParseDroid i koristi alate za razvojne programere uključujući Android Studio, IntelliJ IDEA, Eclipse, APKTool, uslugu Cuckoo-Droid i još mnogo toga.
Ipak, ParseDroid nije izoliran samo od Androidovih alata za razvojne programere, a te su ranjivosti pronađene u više Java/Android alata koje programeri ovih dana koriste. Nije važno koristite li alat za razvojne programere koji se može preuzeti ili onaj koji radi u oblaku, Check Point Istraživanje je pronašao ove ranjivosti u najčešćim Android i Java razvojnim alatima. Nakon iskorištavanja, napadač može pristupiti internim datotekama radnog stroja programera.
Check Point Research prvo je istražio najpopularniji alat treće strane za obrnuti inženjering Android aplikacije (APKTool) i otkrili da su i značajke dekompiliranja i izgradnje APK-a ranjive na napad. Nakon što su pogledali izvorni kod, istraživači su uspjeli identificirati ranjivost XML External Entity (XXE) koja je moguće jer njegov konfigurirani XML parser APKTool-a ne onemogućuje vanjske reference entiteta prilikom raščlambe XML-a datoteka.
Jednom iskorištena, ranjivost izlaže cijeli OS datotečni sustav korisnika APKToola. Zauzvrat, to potencijalno omogućuje napadaču da dohvati bilo koju datoteku na žrtvinom računalu korištenjem zlonamjerne datoteke "AndroidManifest.xml" koja iskorištava XXE ranjivost. Nakon što je ta ranjivost otkrivena, istraživači su pogledali popularne Android IDE-ove i otkrili da jednostavnim učitavanjem zlonamjernu datoteku "AndroidManifest.xml" kao dio bilo kojeg Android projekta, IDE počinje izbacivati svaku datoteku konfiguriranu od strane napadač.
Check Point Research također je pokazao scenarij napada koji potencijalno utječe na veliki broj Android programera. Djeluje tako da zlonamjerni AAR (Android Archive Library) koji sadrži XXE sadržaj ubacuje u mrežna spremišta. Ako žrtva klonira repozitorij, tada bi napadač imao pristup potencijalno osjetljivom vlasništvu tvrtke iz OS datotečnog sustava žrtve.
Naposljetku, autori su opisali metodu putem koje mogu izvršiti udaljeni kod na žrtvinom stroju. To se postiže iskorištavanjem konfiguracijske datoteke u APKToolu pod nazivom "APKTOOL.YAML." Ova datoteka ima odjeljak pod nazivom "unknownFiles" gdje korisnici mogu odrediti lokacije datoteka koje će biti postavljene tijekom ponovne izgradnje APK. Te su datoteke pohranjene na žrtvinom računalu u mapi "Nepoznato". Uređivanjem staze na kojoj su te datoteke spremljene, napadač može ubaciti bilo koju datoteku koju želi na žrtvin datotečni sustav jer APKTool nije potvrdio stazu na kojoj su nepoznate datoteke ekstrahirane iz APK.
Datoteke koje napadač ubaci dovode do potpunog daljinskog izvršavanja koda na žrtvinom računalu, što znači da napadač može iskoristiti bilo koju žrtvu s instaliranim APKToolom tako što ćete izraditi zlonamjerno napravljen APK i dati žrtvi pokušaj dekodiranja, a zatim obnoviti ga.
Budući da su svi gore spomenuti IDE-ovi i alati višeplatformski i generički, potencijal za iskorištavanje ovih ranjivosti je velik. Srećom, nakon što smo kontaktirali programere svakog od ovih IDE-ova i alata, Check Point Research je potvrdio da ti alati više nisu ranjivi na ovu vrstu napada. Ako koristite stariju verziju jednog od ovih alata, preporučujemo da odmah ažurirate kako biste se zaštitili od napada u stilu ParseDroida.
Izvor: Check Point Research