Новый тип уязвимости Android под названием ParseDroid был обнаружен в инструментах разработчика, включая Android Studio, IntelliJ IDEA, Eclipse, APKTool и других.
Когда мы думаем об уязвимостях Android, мы обычно представляем себе уязвимость нулевого дня, которая использует какой-то процесс для повышения привилегий. Это может быть что угодно: от обманного подключения вашего смартфона или планшета к вредоносной сети Wi-Fi или разрешения выполнения кода на устройстве из удаленного места. Однако недавно был обнаружен новый тип уязвимости Android. Он называется ParseDroid и использует инструменты разработчика, включая Android Studio, IntelliJ IDEA, Eclipse, APKTool, сервис Cuckoo-Droid и другие.
Однако ParseDroid не ограничивается только инструментами разработчика Android: эти уязвимости были обнаружены во многих инструментах Java/Android, которые программисты используют в наши дни. Неважно, используете ли вы загружаемый инструмент разработчика или тот, который работает в облаке. Исследования Check Point
обнаружил эти уязвимости в наиболее распространенных инструментах разработки для Android и Java. После использования злоумышленник может получить доступ к внутренним файлам рабочей машины разработчика.Компания Check Point Research впервые покопалась в самом популярном стороннем инструменте для реверс-инжиниринга. Android-приложений (APKTool) и обнаружил, что функции декомпиляции и создания APK уязвимы для атака. Изучив исходный код, исследователям удалось идентифицировать уязвимость внешнего объекта XML (XXE), которая возможно, поскольку настроенный синтаксический анализатор XML APKTool не отключает ссылки на внешние сущности при анализе XML. файл.
После использования уязвимость подвергает опасности всю файловую систему ОС пользователей APKTool. В свою очередь, это потенциально позволяет злоумышленнику получить любой файл на компьютере жертвы с помощью вредоносного файла «AndroidManifest.xml», использующего уязвимость XXE. Как только эта уязвимость была обнаружена, исследователи изучили популярные IDE для Android и обнаружили, что, просто загрузив вредоносный файл «AndroidManifest.xml» как часть любого проекта Android, IDE начинает выдавать любой файл, настроенный нападавший.
Компания Check Point Research также продемонстрировала сценарий атаки, потенциально затрагивающий большое количество разработчиков Android. Он работает путем внедрения вредоносной AAR (архивной библиотеки Android), содержащей полезную нагрузку XXE, в онлайн-репозитории. Если жертва клонирует репозиторий, злоумышленник получит доступ к потенциально конфиденциальной собственности компании из файловой системы ОС жертвы.
Наконец, авторы описали метод, с помощью которого они могут удаленно выполнять код на компьютере жертвы. Это делается с помощью файла конфигурации APKTool под названием «APKTOOL.YAML». В этом файле есть раздел называется «unknownFiles», где пользователи могут указать расположение файлов, которые будут размещены во время восстановления файла. АПК. Эти файлы хранятся на компьютере жертвы в «Неизвестной» папке. Отредактировав путь, по которому сохраняются эти файлы, злоумышленник может внедрить в систему любой файл, который пожелает. файловую систему жертвы, поскольку APKTool не проверил путь, по которому неизвестные файлы извлекаются из АПК.
Файлы, которые внедряет злоумышленник, приводят к полному удаленному выполнению кода на компьютере жертвы, а это означает, что злоумышленник может использовать любую жертву с установленным APKTool, создав вредоносный APK и заставив жертву попытаться декодировать, а затем перестроить его.
Поскольку все упомянутые выше IDE и инструменты являются кроссплатформенными и универсальными, вероятность использования этих уязвимостей высока. К счастью, после обращения к разработчикам каждой из этих IDE и инструментов компания Check Point Research подтвердила, что эти инструменты больше не уязвимы для такого рода атак. Если вы используете более старую версию одного из этих инструментов, мы рекомендуем немедленно обновить ее, чтобы обезопасить себя от атаки в стиле ParseDroid.
Источник: Исследование Check Point.