Egy új típusú, ParseDroid nevű Android sebezhetőséget találtak a fejlesztői eszközökben, köztük az Android Studio, az IntelliJ IDEA, az Eclipse, az APKTool és egyebekben.
Amikor az Android sebezhetőségeire gondolunk, általában egy nulladik napi sebezhetőséget képzelünk el, amely valamilyen folyamatot kihasznál a jogosultságok fokozására. Ez bármi lehet, attól kezdve, hogy okostelefonját vagy táblagépét ráveszik egy rosszindulatú Wi-Fi-hálózathoz, vagy lehetővé teszik, hogy egy távoli helyről kódot lehessen futtatni egy eszközön. Azonban van egy új típusú Android sebezhetőség, amelyet nemrég fedeztek fel. ParseDroidnak hívják, és olyan fejlesztői eszközöket használ, mint az Android Studio, az IntelliJ IDEA, az Eclipse, az APKTool, a Cuckoo-Droid szolgáltatás és még sok más.
A ParseDroid azonban nem csak az Android fejlesztői eszközeire korlátozódik, és ezeket a sebezhetőségeket számos Java/Android eszközben találták meg, amelyeket a programozók manapság használnak. Nem számít, hogy letölthető vagy felhőben működő fejlesztői eszközt használsz,
A Check Point Research először beleásta magát a harmadik fél által végzett visszafejtés legnépszerűbb eszközébe Android-alkalmazásokat (APKTool), és megállapította, hogy mind a visszafordítási, mind az APK-építési funkciók sebezhetők a támadás. A forráskód megtekintése után a kutatóknak sikerült azonosítaniuk egy XML External Entity (XXE) biztonsági rést, amely lehetséges, mert az APKTool konfigurált XML-elemzője nem tiltja le a külső entitáshivatkozásokat XML-elemzéskor fájlt.
A sérülékenység kihasználása után az APKTool felhasználók teljes operációs rendszer fájlrendszerét fedi fel. Ez viszont potenciálisan lehetővé teszi a támadó számára, hogy lekérjen bármilyen fájlt az áldozat számítógépén egy rosszindulatú „AndroidManifest.xml” fájl használatával, amely kihasználja az XXE biztonsági rést. Miután felfedezték ezt a sebezhetőséget, a kutatók megvizsgálták a népszerű Android IDE-ket, és rájöttek, hogy egyszerűen betöltik a rosszindulatú „AndroidManifest.xml” fájlt bármely Android-projekt részeként, az IDE-k elkezdenek kiköpni minden, a rendszer által konfigurált fájlt. támadó.
A Check Point Research egy támadási forgatókönyvet is bemutatott, amely potenciálisan sok Android-fejlesztőt érinthet. Úgy működik, hogy egy XXE adathordozót tartalmazó rosszindulatú AAR-t (Android Archive Library) injektál az online adattárakba. Ha egy áldozat klónozza az adattárat, akkor a támadó hozzáférhet az áldozat operációs rendszerének fájlrendszerében található, potenciálisan érzékeny vállalati tulajdonokhoz.
Végül a szerzők leírtak egy módszert, amellyel távoli kódot futtathatnak az áldozat gépén. Ez az APKTool „APKTOOL.YAML” nevű konfigurációs fájljának kihasználásával történik. Ennek a fájlnak van egy szakasza úgynevezett "unknownFiles", ahol a felhasználók megadhatják a fájl újjáépítése során elhelyezett fájlok helyét APK. Ezeket a fájlokat az áldozat gépe egy „Ismeretlen” mappában tárolja. A fájlok mentési útvonalának szerkesztésével a támadó tetszőleges fájlt beilleszthet a fájlba az áldozat fájlrendszere, mivel az APKTool nem érvényesítette azt az elérési utat, ahová az ismeretlen fájlokat kicsomagolja egy APK.
A támadó által beoltott fájlok teljes távoli kódvégrehajtáshoz vezetnek az áldozat gépén, ami azt jelenti, hogy a támadó kihasználni bármely áldozatot a telepített APKTool segítségével egy rosszindulatú APK létrehozásával, és megkísérelte az áldozatot dekódolni, majd újjáépíteni.
Mivel a fent említett IDE és eszközök mindegyike többplatformos és általános, nagy a lehetőség e sebezhetőségek kihasználására. Szerencsére, miután megkereste az egyes IDE-k és eszközök fejlesztőit, a Check Point Research megerősítette, hogy ezek az eszközök már nem kiszolgáltatottak az ilyen típusú támadásoknak. Ha ezen eszközök valamelyikének régebbi verzióját használja, javasoljuk, hogy azonnal frissítse, hogy megvédje magát a ParseDroid-stílusú támadásoktól.
Forrás: Check Point Research