Er is een nieuw type Android-kwetsbaarheid genaamd ParseDroid gevonden in ontwikkelaarstools, waaronder Android Studio, IntelliJ IDEA, Eclipse, APKTool en meer.
Als we aan Android-kwetsbaarheden denken, stellen we ons doorgaans een zero-day-kwetsbaarheid voor die een bepaald proces misbruikt om privileges te escaleren. Dit kan van alles zijn, van het misleiden van uw smartphone of tablet om verbinding te maken met een kwaadaardig WiFi-netwerk, of het toestaan dat code vanaf een externe locatie op een apparaat wordt uitgevoerd. Er is echter onlangs een nieuw type Android-kwetsbaarheid ontdekt. Het heet ParseDroid en maakt gebruik van ontwikkelaarstools, waaronder Android Studio, IntelliJ IDEA, Eclipse, APKTool, de Cuckoo-Droid-service en meer.
ParseDroid is echter niet alleen beperkt tot de ontwikkelaarstools van Android, en deze kwetsbaarheden zijn gevonden in meerdere Java/Android-tools die programmeurs tegenwoordig gebruiken. Het maakt niet uit of u een downloadbare ontwikkelaarstool gebruikt of een tool die in de cloud werkt,
Check Point Research deed eerst wat onderzoek naar de meest populaire tool voor reverse engineering van derden Android-apps (APKTool) en ontdekte dat zowel de decompilatie- als het bouwen van APK-functies kwetsbaar zijn voor de aanval. Na naar de broncode te hebben gekeken, slaagden onderzoekers erin een kwetsbaarheid in XML External Entity (XXE) te identificeren mogelijk omdat de geconfigureerde XML-parser van APKTool externe entiteitsreferenties niet uitschakelt bij het parseren van een XML bestand.
Eenmaal uitgebuit, legt de kwetsbaarheid het hele besturingssysteembestandssysteem van APKTool-gebruikers bloot. Hierdoor kan de aanvaller mogelijk elk bestand op de pc van het slachtoffer ophalen door een kwaadaardig “AndroidManifest.xml”-bestand te gebruiken dat misbruik maakt van een XXE-kwetsbaarheid. Toen die kwetsbaarheid eenmaal was ontdekt, keken de onderzoekers vervolgens naar populaire Android-IDE's en ontdekten dat door simpelweg de kwaadaardig “AndroidManifest.xml”-bestand als onderdeel van een Android-project, beginnen de IDE's elk bestand uit te spuwen dat is geconfigureerd door de aanvaller.
Check Point Research heeft ook een aanvalsscenario aangetoond dat mogelijk gevolgen heeft voor een groot aantal Android-ontwikkelaars. Het werkt door een kwaadaardige AAR (Android Archive Library) met een XXE-payload in online opslagplaatsen te injecteren. Als een slachtoffer de repository kloont, heeft de aanvaller toegang tot potentieel gevoelige bedrijfseigendommen vanuit het besturingssysteembestandssysteem van het slachtoffer.
Ten slotte beschreven de auteurs een methode waarmee ze externe code kunnen uitvoeren op de machine van een slachtoffer. Dit wordt gedaan door gebruik te maken van een configuratiebestand in APKTool genaamd "APKTOOL.YAML." Dit bestand heeft een sectie genaamd "unknownFiles", waar gebruikers bestandslocaties kunnen opgeven die zullen worden geplaatst tijdens het opnieuw opbouwen van een APK. Deze bestanden worden op de computer van het slachtoffer opgeslagen in een map 'Onbekend'. Door het pad te bewerken waar deze bestanden worden opgeslagen, kan een aanvaller elk gewenst bestand in het bestand injecteren het bestandssysteem van het slachtoffer, omdat APKTool het pad waar onbekende bestanden worden geëxtraheerd uit een APK.
De bestanden die de aanvaller injecteert leiden tot volledige uitvoering van externe code op de computer van het slachtoffer, wat betekent dat een aanvaller exploiteer elk slachtoffer waarop APKTool is geïnstalleerd door een kwaadwillig gemaakte APK te maken en het slachtoffer te laten proberen het te decoderen en vervolgens herbouw het.
Omdat alle hierboven genoemde IDE's en tools platformonafhankelijk en generiek zijn, is het potentieel voor het misbruiken van deze kwetsbaarheden groot. Gelukkig heeft Check Point Research, na contact te hebben opgenomen met de ontwikkelaars van elk van deze IDE's en tools, bevestigd dat deze tools niet langer kwetsbaar zijn voor dit soort aanvallen. Als u een oudere versie van een van deze tools gebruikt, raden we u aan deze onmiddellijk bij te werken om uzelf te beveiligen tegen een aanval in ParseDroid-stijl.
Bron: Check Point Research