В інструментах розробника, включаючи Android Studio, IntelliJ IDEA, Eclipse, APKTool тощо, виявлено новий тип уразливості Android під назвою ParseDroid.
Коли ми думаємо про вразливості Android, ми зазвичай представляємо вразливість нульового дня, яка використовує певний процес для підвищення привілеїв. Це може бути що завгодно: від обману змусити ваш смартфон або планшет підключитися до зловмисної мережі WiFi або дозволу виконання коду на пристрої з віддаленого місця. Однак нещодавно було виявлено новий тип уразливості Android. Він називається ParseDroid і використовує інструменти розробника, включаючи Android Studio, IntelliJ IDEA, Eclipse, APKTool, службу Cuckoo-Droid тощо.
Однак ParseDroid не є ізольованим лише для інструментів розробника Android, і ці вразливості були виявлені в багатьох інструментах Java/Android, якими зараз користуються програмісти. Немає значення, чи використовуєте ви інструмент розробника, який можна завантажити, чи той, який працює в хмарі, Дослідження Check Point
Check Point Research спочатку трохи покопався в найпопулярнішому інструменті для зворотного проектування третьої сторони Програми для Android (APKTool) і виявили, що функції декомпіляції та створення APK уразливі до напад. Переглянувши вихідний код, дослідникам вдалося виявити вразливість XML External Entity (XXE), яка можливо, тому що його налаштований аналізатор XML APKTool не вимикає посилання на зовнішні сутності під час аналізу XML файл.
Після використання вразливість відкриває всю файлову систему ОС користувачів APKTool. У свою чергу, це потенційно дозволяє зловмиснику отримати будь-який файл на ПК жертви за допомогою шкідливого файлу «AndroidManifest.xml», який використовує вразливість XXE. Після того, як цю вразливість було виявлено, дослідники переглянули популярні IDE Android і виявили, що просто завантаживши шкідливий файл «AndroidManifest.xml» як частину будь-якого проекту Android, IDE починає викидати будь-який файл, налаштований нападник.
Дослідження Check Point також продемонстрували сценарій атаки, який потенційно може вплинути на велику кількість розробників Android. Він працює шляхом введення шкідливого AAR (бібліотеки Android Archive Library), що містить корисне навантаження XXE, в онлайн-репозиторії. Якщо жертва клонує репозиторій, тоді зловмисник отримає доступ до потенційно конфіденційної власності компанії з файлової системи ОС жертви.
Нарешті, автори описали метод, за допомогою якого вони можуть виконувати віддалений код на машині жертви. Це робиться за допомогою файлу конфігурації в APKTool під назвою «APKTOOL.YAML». Цей файл має розділ називається "unknownFiles", де користувачі можуть вказати розташування файлів, які будуть розміщені під час відновлення APK. Ці файли зберігаються на машині жертви в папці «Невідомо». Редагувавши шлях, де зберігаються ці файли, зловмисник може вставити будь-який файл, який забажає файлова система жертви, оскільки APKTool не перевірив шлях, де невідомі файли витягуються з APK.
Файли, які зловмисник вводить, призводять до повного віддаленого виконання коду на комп’ютері жертви, тобто зловмисник може використовувати будь-яку жертву з інстальованим APKTool, створивши зловмисно створений APK і спробувавши жертву декодувати, а потім перебудувати його.
Оскільки всі IDE та інструменти, згадані вище, є кросплатформними та загальними, потенціал для використання цих уразливостей високий. На щастя, звернувшись до розробників кожного з цих IDE та інструментів, Check Point Research підтвердив, що ці інструменти більше не вразливі до такого роду атак. Якщо ви використовуєте старішу версію одного з цих інструментів, радимо негайно оновити його, щоб захистити себе від атак у стилі ParseDroid.
Джерело: Check Point Research