ParseDroid라는 새로운 유형의 Android 취약점이 Android Studio, IntelliJ IDEA, Eclipse, APKTool 등을 포함한 개발자 도구에서 발견되었습니다.
Android 취약점을 생각할 때 일반적으로 일부 프로세스를 악용하여 권한을 상승시키는 제로데이 취약점을 떠올립니다. 이는 스마트폰이나 태블릿을 속여 악성 WiFi 네트워크에 연결하거나 원격 위치의 장치에서 코드가 실행되도록 허용하는 것까지 무엇이든 될 수 있습니다. 그러나 최근 발견된 새로운 유형의 Android 취약점이 있습니다. ParseDroid라고 불리며 Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid 서비스 등을 포함한 개발자 도구를 활용합니다.
ParseDroid는 Android 개발자 도구에만 국한되지 않으며 이러한 취약점은 요즘 프로그래머가 사용하는 여러 Java/Android 도구에서 발견되었습니다. 다운로드 가능한 개발자 도구를 사용하든 클라우드에서 작동하는 개발자 도구를 사용하든 상관없습니다. 체크포인트리서치 가장 일반적인 Android 및 Java 개발 도구에서 이러한 취약점을 발견했습니다. 악용되면 공격자는 개발자 작업 시스템의 내부 파일에 액세스할 수 있습니다.
Check Point Research는 먼저 제3자 리버스 엔지니어링을 위한 가장 인기 있는 도구를 조사했습니다. Android 앱(APKTool)을 통해 디컴파일 및 APK 빌드 기능이 모두 다음과 같은 취약점에 취약하다는 사실을 발견했습니다. 공격. 소스 코드를 살펴본 후 연구원들은 XML 외부 엔터티(XXE) 취약점을 식별했습니다. 이는 APKTool의 구성된 XML 파서가 XML을 파싱할 때 외부 엔터티 참조를 비활성화하지 않기 때문에 가능합니다. 파일.
이 취약점이 악용되면 APKTool 사용자의 전체 OS 파일 시스템이 노출됩니다. 결과적으로 공격자는 XXE 취약점을 악용하는 악성 "AndroidManifest.xml" 파일을 사용하여 피해자의 PC에 있는 모든 파일을 검색할 수 있습니다. 해당 취약점이 발견된 후 연구원들은 인기 있는 Android IDE를 살펴보고 간단히 악성 "AndroidManifest.xml" 파일을 Android 프로젝트의 일부로 포함하면 IDE가 구성한 모든 파일을 뱉어내기 시작합니다. 공격자.
Check Point Research는 또한 다수의 Android 개발자에게 잠재적으로 영향을 미칠 수 있는 공격 시나리오를 시연했습니다. 이는 XXE 페이로드가 포함된 악성 AAR(Android Archive Library)을 온라인 저장소에 주입하는 방식으로 작동합니다. 피해자가 저장소를 복제하면 공격자는 피해자의 OS 파일 시스템에서 잠재적으로 민감한 회사 자산에 액세스할 수 있게 됩니다.
마지막으로 저자는 피해자의 컴퓨터에서 원격 코드를 실행할 수 있는 방법을 설명했습니다. 이는 "APKTOOL.YAML"이라는 APKTool의 구성 파일을 활용하여 수행됩니다. 이 파일에는 섹션이 있습니다. 사용자가 재구축 중에 배치될 파일 위치를 지정할 수 있는 "unknownFiles"라고 함 APK. 이 파일은 피해자 컴퓨터의 "알 수 없는" 폴더에 저장됩니다. 공격자는 이러한 파일이 저장된 경로를 편집하여 원하는 파일을 컴퓨터에 삽입할 수 있습니다. APKTool이 알 수 없는 파일이 추출된 경로를 확인하지 않았기 때문에 피해자의 파일 시스템 APK.
공격자가 삽입한 파일은 피해자의 컴퓨터에서 전체 원격 코드 실행으로 이어집니다. 즉, 공격자가 다음을 수행할 수 있음을 의미합니다. 악의적으로 제작된 APK를 제작하고 피해자가 디코딩을 시도하도록 하여 설치된 APKTool을 사용하여 피해자를 악용합니다. 그것을 재건하십시오.
위에 언급된 모든 IDE와 도구는 크로스 플랫폼이고 일반적이므로 이러한 취약점을 악용할 가능성이 높습니다. 다행히도 Check Point Research는 이러한 IDE 및 도구 각각의 개발자에게 연락한 후 이러한 도구가 더 이상 이러한 종류의 공격에 취약하지 않다는 것을 확인했습니다. 이러한 도구 중 이전 버전을 실행 중인 경우 ParseDroid 스타일 공격으로부터 보호하기 위해 즉시 업데이트하는 것이 좋습니다.
출처: 체크포인트리서치