ParseDroid と呼ばれる新しいタイプの Android 脆弱性が、Android Studio、IntelliJ IDEA、Eclipse、APKTool などの開発者ツールで発見されました。
Android の脆弱性について考えるとき、私たちは通常、何らかのプロセスを悪用して権限を昇格させるゼロデイ脆弱性を思い浮かべます。 これには、スマートフォンやタブレットをだまして悪意のある WiFi ネットワークに接続させたり、遠隔地からデバイス上でコードを実行させたりすることが考えられます。 しかし、最近、新しいタイプの Android 脆弱性が発見されました。 これは ParseDroid と呼ばれており、Android Studio、IntelliJ IDEA、Eclipse、APKTool、Cuckoo-Droid サービスなどの開発者ツールを悪用します。
ただし、ParseDroid は Android の開発者ツールだけに限定されているわけではなく、これらの脆弱性はプログラマーが最近使用している複数の Java/Android ツールで発見されています。 ダウンロード可能な開発者ツールを使用しているか、クラウドで動作する開発者ツールを使用しているかは関係ありません。 チェックポイントリサーチ は、最も一般的な Android および Java 開発ツールにこれらの脆弱性を発見しました。 悪用されると、攻撃者は開発者の作業マシンの内部ファイルにアクセスできるようになります。
Check Point Research はまず、サードパーティのリバース エンジニアリング用に最も人気のあるツールを詳しく調査しました。 Android アプリ (APKTool) の逆コンパイル機能と APK ビルド機能の両方が次の脆弱性に対して脆弱であることが判明しました。 攻撃。 研究者らはソース コードを調べた結果、XML 外部エンティティ (XXE) の脆弱性を特定しました。 APKTool の設定された XML パーサーが XML の解析時に外部エンティティ参照を無効にしないため、これが可能です。 ファイル。
この脆弱性が悪用されると、APKTool ユーザーの OS ファイル システム全体が公開されます。 これにより、攻撃者が XXE 脆弱性を悪用する悪意のある「AndroidManifest.xml」ファイルを使用して、被害者の PC 上の任意のファイルを取得できる可能性があります。 この脆弱性が発見された後、研究者らは一般的な Android IDE を調査し、単に 悪意のある「AndroidManifest.xml」ファイルを Android プロジェクトの一部として使用すると、IDE は、 アタッカー。
Check Point Research は、多数の Android 開発者に影響を与える可能性のある攻撃シナリオも実証しました。 これは、XXE ペイロードを含む悪意のある AAR (Android Archive Library) をオンライン リポジトリに挿入することによって機能します。 被害者がリポジトリのクローンを作成すると、攻撃者は被害者の OS ファイル システムから潜在的に機密性の高い企業資産にアクセスできるようになります。
最後に、著者らは、被害者のマシン上でリモート コードを実行できる方法について説明しました。 これは、APKTool の「APKTOOL.YAML」という構成ファイルを利用して行われます。 このファイルにはセクションがあります 「unknownFiles」と呼ばれるファイルで、ユーザーはファイルの再構築中に配置されるファイルの場所を指定できます。 APK。 これらのファイルは、被害者のマシンの「不明」フォルダに保存されます。 これらのファイルが保存されているパスを編集することで、攻撃者は任意のファイルを APKTool が被害者のファイル システムから未知のファイルが抽出されるパスを検証しなかったため、 APK。
攻撃者が挿入したファイルは、被害者のマシン上で完全なリモート コード実行を引き起こします。つまり、攻撃者は、 悪意を持って作成された APK を作成し、被害者にデコードを試みさせることで、APKTool がインストールされている被害者を悪用します。 それを再構築します。
上記の IDE とツールはすべてクロスプラットフォームで汎用的なため、これらの脆弱性が悪用される可能性が高くなります。 ありがたいことに、Check Point Research は、これらの各 IDE およびツールの開発者に連絡した結果、これらのツールがこの種の攻撃に対して脆弱ではなくなったことを確認しました。 これらのツールのいずれかの古いバージョンを実行している場合は、ParseDroid スタイルの攻撃から身を守るために、すぐに更新することをお勧めします。
出典: チェック・ポイント・リサーチ