Нова врста Андроид рањивости под називом ПарсеДроид пронађена је у алатима за програмере укључујући Андроид Студио, ИнтеллиЈ ИДЕА, Ецлипсе, АПКТоол и још много тога.
Када размишљамо о рањивости Андроид-а, обично замишљамо рањивост нултог дана која користи неки процес за ескалацију привилегија. Ово може бити било шта, од преваре паметног телефона или таблета да се повеже са злонамерном ВиФи мрежом или омогућавања извршавања кода на уређају са удаљене локације. Међутим, недавно је откривена нова врста Андроид рањивости. Зове се ПарсеДроид и користи алатке за програмере укључујући Андроид Студио, ИнтеллиЈ ИДЕА, Ецлипсе, АПКТоол, услугу Цуцкоо-Дроид и још много тога.
Међутим, ПарсеДроид није изолован само на Андроид алате за програмере, а ове рањивости су пронађене у више Јава/Андроид алата које програмери ових дана користе. Није важно да ли користите алатку за програмере који се може преузети или ону која ради у облаку, Цхецк Поинт Ресеарцх је пронашао ове рањивости у најчешћим Андроид и Јава развојним алатима. Када се једном искористи, нападач може да приступи интерним датотекама радне машине програмера.
Цхецк Поинт Ресеарцх је прво истражио најпопуларнији алат треће стране за обрнути инжењеринг Андроид апликације (АПКТоол) и открио да су и његове функције декомпајлирања и прављења АПК-а рањиве на напад. Након што су погледали изворни код, истраживачи су успели да идентификују рањивост КСМЛ Ектернал Ентити (КСКСЕ) која је могуће јер његов конфигурисани КСМЛ парсер за АПКТоол не онемогућава екстерне референце ентитета када анализира КСМЛ фајл.
Када се једном искористи, рањивост открива цео систем датотека ОС корисника АПКТоол-а. Заузврат, ово потенцијално омогућава нападачу да преузме било коју датотеку на рачунару жртве коришћењем злонамерне датотеке „АндроидМанифест.кмл“ која искоришћава КСКСЕ рањивост. Када је та рањивост откривена, истраживачи су затим погледали популарне Андроид ИДЕ и открили да једноставним учитавањем злонамерну датотеку „АндроидМанифест.кмл“ као део било ког Андроид пројекта, ИДЕ-ови почињу да избацују било коју датотеку коју је конфигурисао нападач.
Цхецк Поинт Ресеарцх је такође показао сценарио напада који потенцијално утиче на велики број Андроид програмера. Функционише тако што убацује злонамерни ААР (Андроид архивска библиотека) који садржи КСКСЕ корисни терет у онлајн спремишта. Ако жртва клонира спремиште, онда би нападач тада имао приступ потенцијално осетљивој имовини компаније из система датотека ОС жртве.
На крају, аутори су описали метод кроз који могу да изврше даљински код на машини жртве. Ово се ради коришћењем конфигурационе датотеке у АПКТоол-у под називом „АПКТООЛ.ИАМЛ“. Ова датотека има одељак под називом "непознати фајлови" где корисници могу да наведу локације датотека које ће бити постављене током реконструкције датотеке АПК. Ове датотеке се чувају на жртвиној машини у фасцикли „Непознато“. Уређивањем путање на којој су ове датотеке сачуване, нападач може убацити било коју датотеку коју жели систем датотека жртве пошто АПКТоол није потврдио путању на којој се извлаче непознате датотеке из датотеке АПК.
Фајлови које нападач убацује доводе до потпуног даљинског извршавања кода на жртвиној машини, што значи да нападач може искористите било коју жртву са инсталираним АПКТоол-ом тако што ћете направити злонамерно направљен АПК и натерати жртву да покуша да декодира, а затим поново га изградити.
Пошто су сви ИДЕ и алати који су горе поменути међуплатформски и генерички, потенцијал за искоришћавање ових рањивости је висок. Срећом, након што је контактирао програмере сваког од ових ИДЕ-а и алата, Цхецк Поинт Ресеарцх је потврдио да ови алати више нису рањиви на ову врсту напада. Ако користите старију верзију једног од ових алата, препоручујемо да одмах ажурирате да бисте се заштитили од напада у стилу ПарсеДроид.
Извор: Цхецк Поинт Ресеарцх