Um novo tipo de vulnerabilidade do Android chamada ParseDroid foi encontrado em ferramentas de desenvolvedor, incluindo Android Studio, IntelliJ IDEA, Eclipse, APKTool e muito mais.
Quando pensamos nas vulnerabilidades do Android, normalmente imaginamos uma vulnerabilidade de dia zero que explora algum processo para aumentar privilégios. Isso pode ser qualquer coisa, desde enganar seu smartphone ou tablet para que ele se conecte a uma rede Wi-Fi maliciosa ou permitir que um código seja executado em um dispositivo a partir de um local remoto. No entanto, há um novo tipo de vulnerabilidade do Android que foi descoberta recentemente. Ele se chama ParseDroid e explora ferramentas de desenvolvedor, incluindo Android Studio, IntelliJ IDEA, Eclipse, APKTool, o serviço Cuckoo-Droid e muito mais.
No entanto, o ParseDroid não está isolado apenas das ferramentas de desenvolvedor do Android, e essas vulnerabilidades foram encontradas em várias ferramentas Java/Android que os programadores estão usando atualmente. Não importa se você está usando uma ferramenta de desenvolvedor para download ou que funciona na nuvem,
A Check Point Research primeiro investigou a ferramenta mais popular para engenharia reversa de terceiros aplicativos Android (APKTool) e descobriu que seus recursos de descompilação e construção de APK são vulneráveis ao ataque. Depois de analisar o código-fonte, os pesquisadores conseguiram identificar uma vulnerabilidade de entidade externa XML (XXE) que é possível porque seu analisador XML configurado do APKTool não desativa referências de entidades externas ao analisar um XML arquivo.
Uma vez explorada, a vulnerabilidade expõe todo o sistema de arquivos do sistema operacional dos usuários do APKTool. Por sua vez, isso permite potencialmente que o invasor recupere qualquer arquivo no PC da vítima usando um arquivo malicioso “AndroidManifest.xml” que explora uma vulnerabilidade XXE. Assim que a vulnerabilidade foi descoberta, os pesquisadores analisaram IDEs populares do Android e descobriram que, simplesmente carregando o arquivo malicioso “AndroidManifest.xml” como parte de qualquer projeto Android, os IDEs começam a cuspir qualquer arquivo configurado pelo atacante.
A Check Point Research também demonstrou um cenário de ataque que afeta potencialmente um grande número de desenvolvedores Android. Ele funciona injetando um AAR (Android Archive Library) malicioso contendo uma carga útil XXE em repositórios online. Se uma vítima clonar o repositório, o invasor terá acesso a propriedades potencialmente confidenciais da empresa no sistema de arquivos do sistema operacional da vítima.
Finalmente, os autores descreveram um método através do qual podem executar código remoto na máquina da vítima. Isso é feito explorando um arquivo de configuração no APKTool chamado “APKTOOL.YAML”. Este arquivo possui uma seção chamado "unknownFiles", onde os usuários podem especificar locais de arquivos que serão colocados durante a reconstrução de um APK. Esses arquivos são armazenados na máquina da vítima em uma pasta “Desconhecida”. Ao editar o caminho onde esses arquivos são salvos, um invasor pode injetar qualquer arquivo que desejar no sistema de arquivos da vítima, pois o APKTool não validou o caminho onde os arquivos desconhecidos são extraídos de um APK.
Os arquivos que o invasor injeta levam à execução remota completa de código na máquina da vítima, o que significa que um invasor pode explorar qualquer vítima com o APKTool instalado criando um APK feito com códigos maliciosos e fazendo com que a vítima tente decodificar e então reconstruí-lo.
Como todos os IDEs e ferramentas mencionados acima são multiplataforma e genéricos, o potencial de exploração dessas vulnerabilidades é alto. Felizmente, depois de entrar em contato com os desenvolvedores de cada um desses IDEs e ferramentas, a Check Point Research confirmou que essas ferramentas não são mais vulneráveis a esse tipo de ataque. Se você estiver executando uma versão mais antiga de uma dessas ferramentas, recomendamos que você atualize imediatamente para se proteger contra um ataque do tipo ParseDroid.
Fonte: Pesquisa Check Point