Android Studio, IntelliJ IDEA, Eclipse, APKTool ve daha fazlasını içeren geliştirici araçlarında ParseDroid adı verilen yeni bir Android güvenlik açığı türü bulundu.
Android güvenlik açıklarını düşündüğümüzde, genellikle ayrıcalıkları yükseltmek için bazı süreçlerden yararlanan sıfır gün güvenlik açığını hayal ederiz. Bu, akıllı telefonunuzu veya tabletinizi kandırarak kötü amaçlı bir WiFi ağına bağlanmaya veya uzak bir konumdan bir cihazda kod yürütülmesine izin vermeye kadar herhangi bir şey olabilir. Ancak yakın zamanda keşfedilen yeni bir tür Android güvenlik açığı var. ParseDroid olarak adlandırılıyor ve Android Studio, IntelliJ IDEA, Eclipse, APKTool, Cuckoo-Droid hizmeti ve daha fazlasını içeren geliştirici araçlarından yararlanıyor.
Ancak ParseDroid yalnızca Android'in geliştirici araçlarıyla sınırlı değildir ve bu güvenlik açıkları, bugünlerde programcıların kullandığı birden fazla Java/Android aracında bulunmuştur. İndirilebilir bir geliştirici aracı mı yoksa bulutta çalışan bir araç mı kullandığınız önemli değil.
Check Point Research ilk olarak üçüncü taraf tersine mühendislik için en popüler araç hakkında biraz araştırma yaptı Android uygulamaları (APKTool) ve hem kaynak koda dönüştürme hem de APK oluşturma özelliklerinin saldırıya açık olduğunu tespit etti. saldırı. Kaynak kodunu inceledikten sonra araştırmacılar XML Harici Varlık (XXE) güvenlik açığını tanımlamayı başardılar. APKTool'un yapılandırılmış XML ayrıştırıcısı, bir XML ayrıştırılırken harici varlık referanslarını devre dışı bırakmadığı için mümkün dosya.
Güvenlik açığından yararlanıldığında APKTool kullanıcılarının tüm işletim sistemi dosya sistemi açığa çıkar. Bu da saldırganın, XXE güvenlik açığından yararlanan kötü amaçlı bir "AndroidManifest.xml" dosyası kullanarak kurbanın bilgisayarındaki herhangi bir dosyayı almasına olanak tanır. Bu güvenlik açığı keşfedildikten sonra araştırmacılar popüler Android IDE'lerine baktılar ve yalnızca herhangi bir Android projesinin parçası olarak kötü amaçlı bir "AndroidManifest.xml" dosyası oluşturduğunda, IDE'ler, saldırgan.
Check Point Research ayrıca çok sayıda Android geliştiricisini etkileyebilecek bir saldırı senaryosunu da ortaya koydu. XXE verisi içeren kötü amaçlı bir AAR'ı (Android Arşiv Kitaplığı) çevrimiçi depolara enjekte ederek çalışır. Bir kurban veri deposunu klonlarsa, saldırgan, kurbanın işletim sistemi dosya sisteminden potansiyel olarak hassas şirket mülklerine erişebilir.
Son olarak yazarlar, kurbanın makinesinde uzaktan kod çalıştırabilecekleri bir yöntem açıkladılar. Bu, APKTool'daki "APKTOOL.YAML" adlı bir yapılandırma dosyasından yararlanılarak yapılır. Bu dosyanın bir bölümü var Kullanıcıların bir dosyanın yeniden inşası sırasında yerleştirilecek dosya konumlarını belirleyebildiği "unknownFiles" adı verilir APK. Bu dosyalar kurbanın makinesinde "Bilinmeyen" bir klasörde saklanıyor. Saldırgan, bu dosyaların kaydedildiği yolu düzenleyerek istediği dosyayı bu alana enjekte edebilir. APKTool, bilinmeyen dosyaların bir dosyadan çıkarıldığı yolu doğrulamadığından kurbanın dosya sistemi APK.
Saldırganın enjekte ettiği dosyalar, kurbanın makinesinde tam Uzaktan Kod Yürütülmesine yol açar; bu da saldırganın, APKTool yüklü herhangi bir kurbandan, kötü amaçlarla yapılmış bir APK hazırlayarak ve kurbanın kodunu çözmeye çalışmasını sağlayarak yararlanın ve ardından yeniden inşa edin.
Yukarıda bahsedilen tüm IDE'ler ve araçlar platformlar arası ve genel olduğundan, bu güvenlik açıklarından yararlanma potansiyeli yüksektir. Neyse ki Check Point Research, bu IDE'lerin ve araçların her birinin geliştiricileriyle iletişime geçtikten sonra bu araçların artık bu tür saldırılara karşı savunmasız olmadığını doğruladı. Bu araçlardan birinin daha eski bir sürümünü çalıştırıyorsanız, ParseDroid tarzı bir saldırıya karşı kendinizi güvence altına almak için hemen güncelleme yapmanızı öneririz.
Kaynak: Check Point Araştırması