En ny typ av Android-sårbarhet som heter ParseDroid har hittats i utvecklarverktyg inklusive Android Studio, IntelliJ IDEA, Eclipse, APKTool och mer.
När vi tänker på Android-sårbarheter föreställer vi oss vanligtvis en nolldagarssårbarhet som utnyttjar en process för att eskalera privilegier. Detta kan vara allt från att lura din smartphone eller surfplatta att ansluta till ett skadligt WiFi-nätverk, eller tillåta att kod exekveras på en enhet från en avlägsen plats. Det finns dock en ny typ av Android-sårbarhet som nyligen har upptäckts. Det kallas ParseDroid och det utnyttjar utvecklarverktyg inklusive Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid-tjänsten och mer.
ParseDroid är dock inte isolerad till bara Androids utvecklarverktyg, och dessa sårbarheter har hittats i flera Java/Android-verktyg som programmerare använder idag. Det spelar ingen roll om du använder ett nedladdningsbart utvecklarverktyg eller ett som fungerar i molnet, Check Point Research har hittat dessa sårbarheter i de vanligaste utvecklingsverktygen för Android och Java. När den väl har utnyttjats kan en angripare komma åt interna filer på utvecklarens arbetsmaskin.
Check Point Research grävde först lite i det mest populära verktyget för omvänd ingenjörskonst från tredje part Android-appar (APKTool) och fann att både dess dekompilerings- och byggnads-APK-funktioner är sårbara för ge sig på. Efter att ha tittat på källkoden lyckades forskare identifiera en XML External Entity (XXE) sårbarhet som är möjligt eftersom dess konfigurerade XML-parser av APKTool inte inaktiverar externa enhetsreferenser vid analys av en XML fil.
När sårbarheten väl har utnyttjats avslöjar den hela OS-filsystemet för APKTool-användare. I sin tur tillåter detta potentiellt angriparen att hämta valfri fil på offrets dator genom att använda en skadlig "AndroidManifest.xml"-fil som utnyttjar en XXE-sårbarhet. När den sårbarheten upptäcktes tittade forskarna på populära Android IDE: er och fick reda på att genom att helt enkelt ladda skadlig "AndroidManifest.xml"-fil som en del av alla Android-projekt, börjar IDE: erna spotta ut alla filer som konfigurerats av angripare.
Check Point Research visade också ett attackscenario som potentiellt påverkar ett stort antal Android-utvecklare. Det fungerar genom att injicera en skadlig AAR (Android Archive Library) som innehåller en XXE-nyttolast i onlineförråd. Om ett offer klonar förvaret, skulle angriparen då ha tillgång till potentiellt känslig företagsegendom från offrets OS-filsystem.
Slutligen beskrev författarna en metod genom vilken de kan exekvera fjärrkod på ett offers maskin. Detta görs genom att utnyttja en konfigurationsfil i APKTool som heter "APKTOOL.YAML." Den här filen har en sektion kallas "unknownFiles" där användare kan ange filplatser som kommer att placeras under ombyggnaden av en APK. Dessa filer lagras på offrets dator i en "Okänd" mapp. Genom att redigera sökvägen där dessa filer sparas kan en angripare injicera vilken fil som helst på den offrets filsystem eftersom APKTool inte validerade sökvägen där okända filer extraheras från en APK.
Filerna som angriparen injicerar leder till fullständig fjärrkodexekvering på offrets dator, vilket innebär att en angripare kan utnyttja alla offer med APKTool installerat genom att skapa en uppsåtligt skapad APK och låta offret försöka avkoda och sedan bygga om den.
Eftersom alla IDE: er och verktyg som nämns ovan är plattformsoberoende och generiska, är potentialen för att utnyttja dessa sårbarheter stor. Tack och lov, efter att ha kontaktat utvecklarna av var och en av dessa IDE: er och verktyg, har Check Point Research bekräftat att dessa verktyg inte längre är sårbara för den här typen av attacker. Om du kör en äldre version av ett av dessa verktyg rekommenderar vi att du uppdaterar omedelbart för att säkra dig mot en attack av ParseDroid-stil.
Källa: Check Point Research