Jenis kerentanan Android baru yang disebut ParseDroid telah ditemukan di alat pengembang termasuk Android Studio, IntelliJ IDEA, Eclipse, APKTool dan banyak lagi.
Ketika kita memikirkan kerentanan Android, kita biasanya membayangkan kerentanan zero-day yang mengeksploitasi beberapa proses untuk meningkatkan hak istimewa. Ini bisa berupa apa saja, mulai dari mengelabui ponsel cerdas atau tablet Anda agar terhubung ke jaringan WiFi berbahaya, atau mengizinkan kode dieksekusi pada perangkat dari lokasi yang jauh. Namun, ada jenis kerentanan Android baru yang baru-baru ini ditemukan. Itu disebut ParseDroid dan mengeksploitasi alat pengembang termasuk Android Studio, IntelliJ IDEA, Eclipse, APKTool, layanan Cuckoo-Droid dan banyak lagi.
ParseDroid tidak terisolasi hanya pada alat pengembang Android, dan kerentanan ini telah ditemukan di beberapa alat Java/Android yang digunakan pemrogram saat ini. Tidak masalah jika Anda menggunakan alat pengembang yang dapat diunduh atau yang berfungsi di cloud,
Check Point Research pertama kali menggali alat paling populer untuk rekayasa balik pihak ketiga Aplikasi Android (APKTool) dan menemukan bahwa fitur dekompilasi dan pembuatan APK rentan terhadap menyerang. Setelah melihat kode sumbernya, peneliti berhasil mengidentifikasi kerentanan XML External Entity (XXE) yaitu mungkin karena pengurai XML APKTool yang dikonfigurasi tidak menonaktifkan referensi entitas eksternal saat menguraikan XML mengajukan.
Setelah dieksploitasi, kerentanannya memperlihatkan seluruh sistem file OS pengguna APKTool. Pada gilirannya, hal ini berpotensi memungkinkan penyerang mengambil file apa pun di PC korban dengan menggunakan file “AndroidManifest.xml” berbahaya yang mengeksploitasi kerentanan XXE. Setelah kerentanan tersebut ditemukan, para peneliti kemudian melihat IDE Android populer dan menemukan bahwa hanya dengan memuat file “AndroidManifest.xml” berbahaya sebagai bagian dari proyek Android apa pun, IDE mulai mengeluarkan file apa pun yang dikonfigurasi oleh penyerang.
Check Point Research juga menunjukkan skenario serangan yang berpotensi mempengaruhi sejumlah besar pengembang Android. Ia bekerja dengan menyuntikkan AAR (Perpustakaan Arsip Android) berbahaya yang berisi muatan XXE ke dalam repositori online. Jika korban mengkloning repositori, maka penyerang akan memiliki akses ke properti perusahaan yang berpotensi sensitif dari sistem file OS korban.
Terakhir, penulis menjelaskan metode yang dapat digunakan untuk mengeksekusi kode jarak jauh pada mesin korban. Hal ini dilakukan dengan mengeksploitasi file konfigurasi di APKTool yang disebut "APKTOOL.YAML." File ini memiliki bagian disebut "unknownFiles" di mana pengguna dapat menentukan lokasi file yang akan ditempatkan selama pembangunan kembali sebuah APK. File-file ini disimpan di mesin korban dalam folder "Tidak Dikenal". Dengan mengedit jalur penyimpanan file-file ini, penyerang dapat menyuntikkan file apa pun yang mereka inginkan ke dalam sistem file korban karena APKTool tidak memvalidasi jalur di mana file yang tidak dikenal diekstraksi dari sebuah APK.
File yang disuntikkan penyerang menyebabkan Eksekusi Kode Jarak Jauh penuh pada mesin korban, artinya penyerang dapat mengeksploitasi korban mana pun yang menginstal APKTool dengan membuat APK buatan jahat dan meminta korban mencoba memecahkan kodenya lalu membangunnya kembali.
Karena semua IDE dan alat yang disebutkan di atas bersifat lintas platform dan generik, potensi untuk mengeksploitasi kerentanan ini tinggi. Untungnya, setelah menghubungi pengembang masing-masing IDE dan alat ini, Check Point Research telah mengonfirmasi bahwa alat ini tidak lagi rentan terhadap serangan semacam ini. Jika Anda menjalankan versi lama dari salah satu alat ini, kami menyarankan Anda segera memperbarui untuk mengamankan diri Anda dari serangan gaya ParseDroid.
Sumber: Penelitian Check Point