Уязвимость под кодовым названием ParseDroid угрожает всем, кто занимается разработкой приложений для Android. Она затрагивает наиболее распространенные интегрированные среды для работы с платформой, такие как IntelliJ, Eclipse, Android Studio, и дает возможность атакующим красть файлы и выполнять вредоносный код на зараженных устройствах.

По словам исследователей из израильской фирмы Check Point, данная проблема присутствует также в исходном коде APKTool — популярного инструмента для анализа и модификации Android-приложений. Эран Вакнин (Eran Vaknin), Галь Эльбаз (Gal Elbaz), Алон Боксинер (Alon Boxiner) и Одед Вануну (Oded Vanunu) обнаружили, что парсер в программе не отключает ссылки на внешние сущности при анализе XML-файла. Это классическая уязвимость XML External Entity (XXE), которая “ставит под удар всю файловую систему пользователей APKTool”.

При создании приложений Android-программисты пользуются хранилищами данных для проектов с открытым исходным кодом, такими как GitHub, Maven, Bitbucket и другими. Эти веб-сервисы помогают найти уже существующий код без необходимости изобретать колесо. Эксперты Check Point продемонстрировали, что злоумышленники могут разместить на таком хостинге вредоносный XML-код, замаскированный под шаблон или библиотеку приложений, и тем самым охватить тысячи пользователей, не тратя на атаки ParseDroid слишком много ресурсов.

“Потенциально атакующие могут добраться до любого файла на компьютере жертвы с помощью вредоносного AndroidManifest.xml”, — говорится в отчете. Файл с таким именем содержат все Android-приложения, что делает его идеальным местом для сокрытия вредоносного кода.

Брешь ParseDroid не зависит от платформы, что позволяет злоумышленникам ориентироваться на разработчиков с любой операционной системой. Кроме того, атака протекает незаметно, и пользователи даже не обратят внимания, что хакеры крадут их конфиденциальные данные.

Поскольку многие разработчики Android-приложений работают на крупные компании, в некоторых взломанных системах могут содержаться закрытые коды, интеллектуальная собственность или коммерческая тайна.

По словам исследователей, они уведомили разработчиков APKTool, Intellij, Eclipse и Android Studio о своей находке в мае, и за прошедшее время все платформы получили обновления, закрывающие данную уязвимость.

 

Категории: Уязвимости