E安全12月7日訊 以色列網路安全公司Check Point軟體技術有限公司發現, Android開發人員使用的工具中存在一系列高危安全性漏洞, 允許攻擊者竊取檔並在脆弱設備上執行惡意程式碼。 研究人員12月4日公佈PoC, 並將這種攻擊途徑稱之為“ParseDroid”。
涉及哪些Android開發工具?多款常見Android開發工具受漏洞影響, 包括穀歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse。 這些漏洞亦會影響到各逆向工程工具, 例如APKTool以及Cuckoo-Droid服務等。
研究人員在發佈的報告中指出, ParseDroid影響AFKTool、IntelliJ、Eclipse和Android Studio等項目中包含的XML解析庫。 這個庫在解析一個XML檔時不會禁用外部實體引用, 因此攻擊者能夠利用這個典型的XML外部實體 (XXE) 漏洞。 這一問題的根源在於各類流行開發工具所廣泛採用的XML解析器“DocumentBuilderFactory”存在安全性漏洞。
危害性
研究人員們反復強調, 攻擊者能夠有效傳送Payload, 而後在無需驚動受害者的前提下順利竊取受保護檔。 這種攻擊途徑亦被克隆至其它多種不同開發環境與工具當中。
APKTool設定檔中的另一項安全性漏洞則允許攻擊者在受害者電腦上遠端執行代碼, 從而將控制權全面移交到駭客手中。
研究人員指出, 漏洞影響用戶的整個OS檔案系統, 攻擊者可以通過惡意AndroidManifest.xml檔檢索受害者電腦中的任何檔。 所有Android應用程式都包含一個AndroidManifest.xml文件, 而它卻是隱藏惡意程式碼的絕佳之地。 如果使用APKTool、IntelliJ、Eclipse或Android Studio打開含有惡意AndroidManifest.xml的檔, 攻擊者便可以竊取本地檔。
部分補丁
Check Point今年5月向APKTool的開發人員和其它IDE公司報告了漏洞, 穀歌和JetBrains已陸續發佈相關修復程式。
過去一年中, 多輪供應鏈網路攻擊輪番襲來, 其中也包括針對CCleaner與Notepad++的攻擊活動。 其目標在於首先獲取接入通道, 而後再對用戶及企業實施打擊。 Check Point公司發現的安全性漏洞亦曝光了全球規模最大的軟體發展者社區——Android開發者群體所面臨的一系列潛在攻擊,
E安全注:本文系E安全獨家編譯報導, 轉載請聯繫授權, 並保留出處與連結, 不得刪減內容。