Vo vývojárskych nástrojoch vrátane Android Studio, IntelliJ IDEA, Eclipse, APKTool a ďalších bol nájdený nový typ zraniteľnosti systému Android s názvom ParseDroid.
Keď premýšľame o zraniteľnostiach systému Android, zvyčajne si predstavujeme zraniteľnosť nultého dňa, ktorá využíva nejaký proces na eskaláciu privilégií. Môže ísť o čokoľvek od oklamania vášho smartfónu alebo tabletu, aby sa pripojil k škodlivej sieti WiFi, alebo po umožnenie spustenia kódu na zariadení zo vzdialeného miesta. Nedávno sa však objavil nový typ zraniteľnosti systému Android. Volá sa ParseDroid a využíva vývojárske nástroje vrátane Android Studio, IntelliJ IDEA, Eclipse, APKTool, službu Cuckoo-Droid a ďalšie.
ParseDroid však nie je izolovaný len od vývojárskych nástrojov Androidu a tieto zraniteľnosti boli nájdené vo viacerých nástrojoch Java/Android, ktoré programátori v súčasnosti používajú. Nezáleží na tom, či používate vývojársky nástroj na stiahnutie alebo nástroj, ktorý funguje v cloude, Výskum Check Point
Spoločnosť Check Point Research sa najprv poprehrabávala v najpopulárnejšom nástroji tretej strany na reverzné inžinierstvo Aplikácie pre Android (APKTool) a zistili, že funkcie dekompilácie aj vytvárania súborov APK sú zraniteľné voči útok. Po prezretí zdrojového kódu sa výskumníkom podarilo identifikovať zraniteľnosť XML External Entity (XXE), ktorá je je to možné, pretože jeho nakonfigurovaný analyzátor XML APKTool nezakáže externé odkazy na entity pri analýze XML súbor.
Po zneužití táto chyba zabezpečenia odhalí celý súborový systém OS používateľov APKTool. Na druhej strane to útočníkovi potenciálne umožňuje získať akýkoľvek súbor na počítači obete pomocou škodlivého súboru „AndroidManifest.xml“, ktorý využíva zraniteľnosť XXE. Akonáhle bola táto zraniteľnosť objavená, výskumníci sa pozreli na populárne Android IDE a zistili, že jednoduchým načítaním škodlivý súbor „AndroidManifest.xml“ v rámci akéhokoľvek projektu Android, IDE začnú chrliť akýkoľvek súbor nakonfigurovaný útočník.
Check Point Research tiež demonštroval scenár útoku, ktorý by mohol ovplyvniť veľký počet vývojárov Androidu. Funguje tak, že do online úložísk vloží škodlivý AAR (Android Archive Library) obsahujúci užitočné zaťaženie XXE. Ak obeť naklonuje úložisko, útočník bude mať prístup k potenciálne citlivému majetku spoločnosti zo súborového systému OS obete.
Nakoniec autori opísali metódu, pomocou ktorej môžu spustiť vzdialený kód na stroji obete. To sa dosiahne využitím konfiguračného súboru v APKTool s názvom „APKTOOL.YAML“. Tento súbor má sekciu s názvom "unknownFiles", kde používatelia môžu určiť umiestnenie súborov, ktoré budú umiestnené počas prestavby súboru APK. Tieto súbory sú uložené na počítači obete v priečinku „Neznámy“. Úpravou cesty, kde sú tieto súbory uložené, môže útočník doň vložiť ľubovoľný súbor súborový systém obete, pretože APKTool neoveril cestu, kde sú neznáme súbory extrahované z súboru APK.
Súbory, ktoré útočník vloží, vedú k úplnému vzdialenému spusteniu kódu na počítači obete, čo znamená, že útočník môže zneužiť akúkoľvek obeť s nainštalovaným APKTool vytvorením škodlivého súboru APK a obeťou, aby sa pokúsila dekódovať a potom prestavať ho.
Keďže všetky vyššie uvedené IDE a nástroje sú multiplatformové a všeobecné, potenciál na využitie týchto zraniteľností je vysoký. Našťastie, po oslovení vývojárov každého z týchto IDE a nástrojov, Check Point Research potvrdil, že tieto nástroje už nie sú zraniteľné voči tomuto druhu útoku. Ak používate staršiu verziu jedného z týchto nástrojov, odporúčame vám okamžite aktualizovať, aby ste sa zabezpečili pred útokom v štýle ParseDroid.
Zdroj: Check Point Research