พบช่องโหว่ Android ประเภทใหม่ที่เรียกว่า ParseDroid ในเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ เช่น Android Studio, IntelliJ IDEA, Eclipse, APKTool และอีกมากมาย
เมื่อเรานึกถึงช่องโหว่ของ Android เรามักจะนึกถึงช่องโหว่แบบ Zero-day ที่ใช้ประโยชน์จากกระบวนการบางอย่างเพื่อเพิ่มสิทธิพิเศษ นี่อาจเป็นอะไรก็ได้ตั้งแต่การหลอกสมาร์ทโฟนหรือแท็บเล็ตของคุณให้เชื่อมต่อกับเครือข่าย WiFi ที่เป็นอันตราย หรือการอนุญาตให้เรียกใช้โค้ดบนอุปกรณ์จากระยะไกล อย่างไรก็ตาม มีช่องโหว่ประเภทใหม่ของ Android ที่เพิ่งถูกค้นพบ มันถูกเรียกว่า ParseDroid และใช้ประโยชน์จากเครื่องมือของนักพัฒนาเช่น Android Studio, IntelliJ IDEA, Eclipse, APKTool, บริการ Cuckoo-Droid และอีกมากมาย
ParseDroid ไม่ได้ถูกแยกออกจากเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ของ Android เท่านั้น และช่องโหว่เหล่านี้ถูกพบในเครื่องมือ Java/Android หลายตัวที่โปรแกรมเมอร์ใช้อยู่ในปัจจุบัน ไม่สำคัญว่าคุณกำลังใช้เครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ที่ดาวน์โหลดได้หรือเครื่องมือที่ทำงานในระบบคลาวด์ การวิจัยจุดตรวจ พบช่องโหว่เหล่านี้ในเครื่องมือพัฒนา Android และ Java ที่พบบ่อยที่สุด เมื่อถูกโจมตี ผู้โจมตีจะสามารถเข้าถึงไฟล์ภายในของเครื่องทำงานของนักพัฒนาได้
ก่อนอื่น Check Point Research ได้ทำการเจาะลึกถึงเครื่องมือที่ได้รับความนิยมมากที่สุดสำหรับวิศวกรรมย้อนกลับของบุคคลที่สาม แอป Android (APKTool) และพบว่าทั้งการถอดรหัสและการสร้างฟีเจอร์ APK นั้นมีความเสี่ยงที่จะเกิด จู่โจม. หลังจากดูซอร์สโค้ดแล้ว นักวิจัยก็สามารถระบุช่องโหว่ XML External Entity (XXE) ได้ เป็นไปได้เนื่องจากตัวแยกวิเคราะห์ XML ที่กำหนดค่าไว้ของ APKTool ไม่ได้ปิดใช้งานการอ้างอิงเอนทิตีภายนอกเมื่อแยกวิเคราะห์ XML ไฟล์.
เมื่อถูกโจมตี ช่องโหว่นี้จะเปิดเผยระบบไฟล์ระบบปฏิบัติการทั้งหมดของผู้ใช้ APKTool ในทางกลับกัน สิ่งนี้อาจทำให้ผู้โจมตีสามารถเรียกค้นไฟล์ใดๆ บนพีซีของเหยื่อได้โดยใช้ไฟล์ “AndroidManifest.xml” ที่เป็นอันตรายซึ่งใช้ประโยชน์จากช่องโหว่ XXE เมื่อค้นพบช่องโหว่ดังกล่าวแล้ว นักวิจัยจึงพิจารณาดู Android IDE ยอดนิยมและค้นพบสิ่งนั้นโดยเพียงแค่โหลดไฟล์ ไฟล์ “AndroidManifest.xml” ที่เป็นอันตรายซึ่งเป็นส่วนหนึ่งของโปรเจ็กต์ Android ใดๆ IDE จะเริ่มแยกไฟล์ใดๆ ที่กำหนดค่าโดย ผู้โจมตี
การวิจัยจุดตรวจสอบยังแสดงให้เห็นถึงสถานการณ์การโจมตีที่อาจส่งผลกระทบต่อนักพัฒนา Android จำนวนมาก มันทำงานโดยการฉีด AAR (Android Archive Library) ที่เป็นอันตรายซึ่งมีเพย์โหลด XXE ลงในที่เก็บข้อมูลออนไลน์ หากเหยื่อทำการโคลนพื้นที่เก็บข้อมูล ผู้โจมตีก็จะสามารถเข้าถึงทรัพย์สินของบริษัทที่อาจมีความละเอียดอ่อนจากระบบไฟล์ OS ของเหยื่อได้
ในที่สุด ผู้เขียนได้อธิบายวิธีการที่พวกเขาสามารถรันโค้ดระยะไกลบนเครื่องของเหยื่อได้ ซึ่งทำได้โดยใช้ไฟล์การกำหนดค่าใน APKTool ชื่อ "APKTOOL.YAML" ไฟล์นี้มีส่วน เรียกว่า "unknownFiles" ซึ่งผู้ใช้สามารถระบุตำแหน่งไฟล์ที่จะถูกวางไว้ระหว่างการสร้างไฟล์ เอพีเค ไฟล์เหล่านี้ถูกจัดเก็บไว้ในเครื่องของเหยื่อในโฟลเดอร์ "ไม่ทราบ" ด้วยการแก้ไขเส้นทางที่ไฟล์เหล่านี้ถูกบันทึกไว้ ผู้โจมตีสามารถแทรกไฟล์ใดๆ ที่พวกเขาต้องการลงไปได้ ระบบไฟล์ของเหยื่อเนื่องจาก APKTool ไม่ได้ตรวจสอบเส้นทางที่แยกไฟล์ที่ไม่รู้จักออกจากไฟล์ เอพีเค
ไฟล์ที่ผู้โจมตีฉีดเข้าไปจะนำไปสู่การเรียกใช้โค้ดระยะไกลเต็มรูปแบบบนเครื่องของเหยื่อ ซึ่งหมายความว่าผู้โจมตีสามารถทำได้ ใช้ประโยชน์จากเหยื่อด้วย APKTool ที่ติดตั้งโดยการสร้าง APK ที่สร้างขึ้นโดยมีเจตนาร้ายและให้เหยื่อพยายามถอดรหัสแล้ว สร้างมันขึ้นมาใหม่
เนื่องจาก IDE และเครื่องมือทั้งหมดที่กล่าวถึงข้างต้นเป็นแบบข้ามแพลตฟอร์มและเป็นแบบทั่วไป โอกาสที่จะใช้ประโยชน์จากช่องโหว่เหล่านี้จึงมีสูง โชคดีที่หลังจากติดต่อผู้พัฒนา IDE และเครื่องมือแต่ละรายการแล้ว Check Point Research ได้ยืนยันว่าเครื่องมือเหล่านี้ไม่เสี่ยงต่อการโจมตีประเภทนี้อีกต่อไป หากคุณใช้เครื่องมือเหล่านี้เวอร์ชันเก่า เราขอแนะนำให้คุณอัปเดตทันทีเพื่อป้องกันตัวเองจากการโจมตีแบบ ParseDroid
ที่มา: การวิจัยจุดตรวจ