Un nuovo tipo di vulnerabilità Android chiamata ParseDroid è stata rilevata negli strumenti di sviluppo tra cui Android Studio, IntelliJ IDEA, Eclipse, APKTool e altri.
Quando pensiamo alle vulnerabilità di Android, in genere immaginiamo una vulnerabilità zero-day che sfrutta alcuni processi per aumentare i privilegi. Può trattarsi di qualsiasi cosa, dall'ingannare il tuo smartphone o tablet a connettersi a una rete WiFi dannosa o consentire l'esecuzione di codice su un dispositivo da una posizione remota. Tuttavia, recentemente è stato scoperto un nuovo tipo di vulnerabilità Android. Si chiama ParseDroid e sfrutta strumenti di sviluppo tra cui Android Studio, IntelliJ IDEA, Eclipse, APKTool, il servizio Cuckoo-Droid e altro ancora.
ParseDroid non è isolato solo dagli strumenti di sviluppo di Android, tuttavia, e queste vulnerabilità sono state rilevate in diversi strumenti Java/Android che i programmatori utilizzano in questi giorni. Non importa se utilizzi uno strumento di sviluppo scaricabile o uno che funziona nel cloud,
Ricerca sui punti di controllo ha riscontrato queste vulnerabilità nei più comuni strumenti di sviluppo Android e Java. Una volta sfruttato, un utente malintenzionato è quindi in grado di accedere ai file interni del computer di lavoro dello sviluppatore.Check Point Research ha innanzitutto analizzato lo strumento più popolare per il reverse engineering di terze parti app Android (APKTool) e ha scoperto che sia le funzionalità di decompilazione che quelle di creazione APK sono vulnerabili a attacco. Dopo aver esaminato il codice sorgente, i ricercatori sono riusciti a identificare una vulnerabilità XML External Entity (XXE). possibile perché il parser XML configurato di APKTool non disabilita i riferimenti a entità esterne durante l'analisi di un XML file.
Una volta sfruttata, la vulnerabilità espone l'intero file system del sistema operativo degli utenti APKTool. A sua volta, ciò consente potenzialmente all’aggressore di recuperare qualsiasi file sul PC della vittima utilizzando un file dannoso “AndroidManifest.xml” che sfrutta una vulnerabilità XXE. Una volta scoperta la vulnerabilità, i ricercatori hanno esaminato i popolari IDE Android e hanno scoperto che semplicemente caricando il file file dannoso "AndroidManifest.xml" come parte di qualsiasi progetto Android, gli IDE iniziano a sputare qualsiasi file configurato dal attaccante.
Check Point Research ha inoltre dimostrato uno scenario di attacco che potrebbe colpire un gran numero di sviluppatori Android. Funziona iniettando un AAR (Android Archive Library) dannoso contenente un payload XXE nei repository online. Se una vittima clonasse il repository, l'aggressore avrebbe accesso a proprietà aziendali potenzialmente sensibili dal file system del sistema operativo della vittima.
Infine, gli autori hanno descritto un metodo attraverso il quale è possibile eseguire codice remoto sul computer della vittima. Questo viene fatto sfruttando un file di configurazione in APKTool chiamato "APKTOOL.YAML". Questo file ha una sezione chiamato "unknownFiles" in cui gli utenti possono specificare le posizioni dei file che verranno inseriti durante la ricostruzione di un file APK. Questi file sono archiviati sul computer della vittima in una cartella "Sconosciuta". Modificando il percorso in cui vengono salvati questi file, un utente malintenzionato può inserire qualsiasi file desideri nel file file system della vittima poiché APKTool non ha convalidato il percorso in cui vengono estratti i file sconosciuti da un file APK.
I file che l'aggressore inserisce portano all'esecuzione completa del codice remoto sul computer della vittima, il che significa che un utente malintenzionato può sfruttare qualsiasi vittima con APKTool installato creando un APK dannoso e facendo tentare alla vittima di decodificarlo, quindi ricostruirlo.
Poiché tutti gli IDE e gli strumenti sopra menzionati sono multipiattaforma e generici, il potenziale per sfruttare queste vulnerabilità è elevato. Per fortuna, dopo aver contattato gli sviluppatori di ciascuno di questi IDE e strumenti, Check Point Research ha confermato che questi strumenti non sono più vulnerabili a questo tipo di attacco. Se stai utilizzando una versione precedente di uno di questi strumenti, ti consigliamo di aggiornarlo immediatamente per proteggerti da un attacco in stile ParseDroid.
Fonte: Check Point Research