Kūrėjų įrankiuose, įskaitant Android Studio, IntelliJ IDEA, Eclipse, APKTool ir kt., aptiktas naujo tipo Android pažeidžiamumas, vadinamas ParseDroid.
Kai galvojame apie „Android“ pažeidžiamumą, paprastai įsivaizduojame nulinės dienos pažeidžiamumą, kuris išnaudoja tam tikrą procesą privilegijoms padidinti. Tai gali būti bet kas: išmaniojo telefono ar planšetinio kompiuterio apgaudinėjimas prisijungti prie kenkėjiško „Wi-Fi“ tinklo arba leisti įrenginyje vykdyti kodą iš nuotolinės vietos. Tačiau neseniai buvo aptiktas naujo tipo „Android“ pažeidžiamumas. Jis vadinamas „ParseDroid“ ir naudoja kūrėjo įrankius, įskaitant „Android Studio“, „IntelliJ IDEA“, „Eclipse“, „APKTool“, „Cuckoo-Droid“ paslaugą ir kt.
Tačiau „ParseDroid“ nėra izoliuotas tik „Android“ kūrėjų įrankiams, o šios spragos buvo aptiktos keliuose „Java“ / „Android“ įrankiuose, kuriuos programuotojai naudoja šiomis dienomis. Nesvarbu, ar naudojate atsisiunčiamą kūrėjo įrankį, ar tą, kuris veikia debesyje, „Check Point“ tyrimas aptiko šiuos pažeidžiamumus dažniausiai naudojamuose Android ir Java kūrimo įrankiuose. Išnaudojęs užpuolikas gali pasiekti vidinius kūrėjo darbo mašinos failus.
„Check Point Research“ pirmiausia ištyrė populiariausią trečiosios šalies atvirkštinės inžinerijos įrankį „Android“ programas (APKTool) ir nustatė, kad ir jos dekompiliavimo, ir APK kūrimo funkcijos yra pažeidžiamos puolimas. Ištyrę šaltinio kodą, mokslininkai sugebėjo nustatyti XML išorinio objekto (XXE) pažeidžiamumą, kuris yra įmanoma, nes jo sukonfigūruotas APKTool XML analizatorius neišjungia išorinių objektų nuorodų analizuojant XML failą.
Išnaudojus pažeidžiamumą, ji atskleidžia visą APKTool naudotojų OS failų sistemą. Savo ruožtu tai gali suteikti užpuolikui galimybę nuskaityti bet kokį failą aukos kompiuteryje naudojant kenkėjišką „AndroidManifest.xml“ failą, kuris išnaudoja XXE pažeidžiamumą. Kai šis pažeidžiamumas buvo aptiktas, mokslininkai pažvelgė į populiarius Android IDE ir išsiaiškino, kad tiesiog įkeldami kenkėjišką „AndroidManifest.xml“ failą kaip bet kurio „Android“ projekto dalį, IDE pradeda išspjauti bet kokį failą, sukonfigūruotą užpuolikas.
„Check Point Research“ taip pat parodė atakos scenarijų, galintį turėti įtakos daugeliui „Android“ kūrėjų. Jis veikia į internetines saugyklas įterpdamas kenkėjišką AAR („Android“ archyvo biblioteką), kurioje yra XXE. Jei auka klonuoja saugyklą, užpuolikas turės prieigą prie galimai jautrios įmonės nuosavybės iš aukos OS failų sistemos.
Galiausiai autoriai aprašė metodą, kuriuo jie gali vykdyti nuotolinį kodą aukos kompiuteryje. Tai atliekama naudojant APKTool konfigūracijos failą, pavadintą "APKTOOL.YAML". Šiame faile yra skyrius vadinamas „unknownFiles“, kur vartotojai gali nurodyti failų vietas, kurios bus patalpintos atkuriant APK. Šie failai saugomi aukos kompiuteryje aplanke „Nežinomas“. Redaguodamas kelią, kuriame saugomi šie failai, užpuolikas gali įterpti bet kurį norimą failą aukos failų sistema, nes APKTool nepatvirtino kelio, kur nežinomi failai išgaunami iš APK.
Failai, kuriuos užpuolikas įveda, aukos įrenginyje užtikrina visišką nuotolinio kodo vykdymą, o tai reiškia, kad užpuolikas gali išnaudoti bet kurią auką su įdiegta APKTool, sukurdama piktybiškai sukurtą APK ir leisti aukai bandyti iššifruoti ir tada jį atstatyti.
Kadangi visi aukščiau paminėti IDE ir įrankiai yra kelių platformų ir bendrieji, šių spragų išnaudojimo galimybė yra didelė. Laimei, susisiekus su kiekvienos iš šių IDE ir įrankių kūrėjais, „Check Point Research“ patvirtino, kad šie įrankiai nebėra pažeidžiami tokio pobūdžio atakų. Jei naudojate senesnę vieno iš šių įrankių versiją, rekomenduojame nedelsiant atnaujinti, kad apsisaugotumėte nuo ParseDroid stiliaus atakos.
Šaltinis: Check Point Research