סוג חדש של פגיעות אנדרואיד בשם ParseDroid נמצא בכלי מפתחים כולל Android Studio, IntelliJ IDEA, Eclipse, APKTool ועוד.
כשאנחנו חושבים על פגיעויות של אנדרואיד, אנחנו בדרך כלל רואים פגיעות של יום אפס שמנצלת תהליך כלשהו כדי להסלים את ההרשאות. זה יכול להיות כל דבר, החל מהטעיית הסמארטפון או הטאבלט שלך לחיבור לרשת WiFi זדונית, או מתן אפשרות לביצוע קוד במכשיר ממיקום מרוחק. עם זאת, יש סוג חדש של פגיעות אנדרואיד שהתגלתה לאחרונה. זה נקרא ParseDroid והוא מנצל כלים למפתחים כולל Android Studio, IntelliJ IDEA, Eclipse, APKTool, שירות Cuckoo-Droid ועוד.
עם זאת, ParseDroid אינו מבודד רק לכלי המפתחים של אנדרואיד, ופגיעות אלו נמצאו במספר כלי Java/Android שבהם מתכנתים משתמשים בימים אלה. זה לא משנה אם אתה משתמש בכלי מפתחים להורדה או כזה שעובד בענן, מחקר צ'ק פוינט מצא את הפגיעויות הללו בכלי הפיתוח הנפוצים ביותר של Android ו-Java. לאחר ניצול, תוקף יכול לגשת לקבצים פנימיים של מכונת העבודה של המפתח.
מחקר צ'ק פוינט חפר לראשונה בכלי הפופולרי ביותר להנדסה הפוכה של צד שלישי אפליקציות אנדרואיד (APKTool) וגילו שגם תכונות הפירוק ובניית ה-APK שלה פגיעות ל- לִתְקוֹף. לאחר שבדקו את קוד המקור, החוקרים הצליחו לזהות פגיעות של XML External Entity (XXE) שהיא אפשרי מכיוון שמנתח ה-XML המוגדר של APKTool אינו משבית הפניות של ישויות חיצוניות בעת ניתוח XML קוֹבֶץ.
לאחר ניצול, הפגיעות חושפת את כל מערכת הקבצים של מערכת ההפעלה של משתמשי APKTool. בתורו, זה עשוי לאפשר לתוקף לאחזר כל קובץ במחשב האישי של הקורבן באמצעות קובץ זדוני "AndroidManifest.xml" המנצל פגיעות XXE. לאחר שהתגלתה הפגיעות הזו, החוקרים בדקו את ה-IDEs הפופולריים של אנדרואיד וגילו שעל ידי טעינת קובץ "AndroidManifest.xml" זדוני כחלק מכל פרויקט אנדרואיד, ה-IDEs מתחיל לירוק כל קובץ שהוגדר על ידי תוֹקֵף.
מחקר צ'ק פוינט גם הדגים תרחיש תקיפה שעלול להשפיע על מספר רב של מפתחי אנדרואיד. זה עובד על ידי הזרקת AAR זדוני (ספריית ארכיון אנדרואיד) המכילה מטען XXE למאגרים מקוונים. אם קורבן ישכפל את המאגר, אז לתוקף תהיה גישה לנכסי חברה שעלולים להיות רגישים ממערכת הקבצים של מערכת ההפעלה של הקורבן.
לבסוף, הכותבים תיארו שיטה שבאמצעותה הם יכולים להפעיל קוד מרחוק במחשב של הקורבן. זה נעשה על ידי ניצול קובץ תצורה ב-APKTool בשם "APKTOOL.YAML." לקובץ הזה יש קטע שנקרא "unknownFiles" שבו משתמשים יכולים לציין מיקומי קבצים שיוצבו במהלך הבנייה מחדש של קובץ APK. קבצים אלה מאוחסנים במחשב של הקורבן בתיקייה "לא ידוע". על ידי עריכת הנתיב שבו נשמרים קבצים אלה, תוקף יכול להחדיר כל קובץ שהוא רוצה מערכת הקבצים של הקורבן מאחר ש-APKTool לא אימת את הנתיב שבו חולצים קבצים לא ידועים APK.
הקבצים שהתוקף מזריק מובילים לביצוע מלא של קוד מרחוק במחשב של הקורבן, כלומר התוקף יכול לנצל כל קורבן עם APKTool מותקן על ידי יצירת APK שנוצר בזדון והקורבן מנסה לפענח ואז לבנות אותו מחדש.
מכיוון שכל ה-IDEs והכלים שהוזכרו לעיל הם חוצי פלטפורמות וגנריים, הפוטנציאל לניצול פגיעויות אלו הוא גבוה. למרבה המזל, לאחר פנייה למפתחים של כל אחד מה-IDE והכלים הללו, Check Point Research אישרה שהכלים הללו אינם פגיעים יותר להתקפה מסוג זה. אם אתה מפעיל גרסה ישנה יותר של אחד מהכלים הללו, אנו ממליצים לך לעדכן מיד כדי לאבטח את עצמך מפני התקפה בסגנון ParseDroid.
מקור: מחקר צ'ק פוינט