info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری اندرویدی در ابزارهای مهندسی معکوس و توسعه‌ي اندروید

خلاصه: محققان امنیتی یک آسیب‌پذیری را در ابزارهای توسعه‌ی برنامه‌های اندرویدی کشف‌کردند که به‌ سادگی قابل اکسپلویت بوده و به هکرها این امکان را می‌دهد که فایل‌ها را دزدیده و کد مخرب را بر روی سیستم‌های آسیب‌پذیر از راه دور اجرا کنند. این آسیب‌پذیری در کتابخانه‌ی محبوب تجزیه‌ی XML  که توسط بیشتر IDEها مانند android studio، JetBrain، InteliJ IDEA و همچنین در بیشتر ابزارهای مهندسی معکوس مانند APKTool و Cuckoo-Droid،  استفاده می‌شود قرار دارد.

محققان امنیتی یک آسیب‌پذیری را در ابزارهای توسعه‌ی برنامه‌های اندرویدی کشف‌ کردند که به‌راحتی قابل اکسپلویت بوده و به هکرها این امکان را می‌دهد که فایل‌ها را دزدیده و کد مخرب را بر روی سیستم‌های آسیب‌پذیر از راه دور اجرا کند.

این مشکل توسط محققان امنیتی چک‌پوینت کشف شد و برای آن یک حمله‌ی اثبات نیز منتشر شده‌است که آن را ParseDroid نامیدند.

این آسیب‌پذیری در کتابخانه محبوب تجزیهXML  به ‌نام DocumentBuilderFactory که توسط بیشتر IDEها مانند android studio، JetBrain، InteliJ IDEA و  همچنین در بیشتر ابزارهای مهندسی معکوس مانند APKTool و Cuckoo-Droid استفاده می‌شود قرار دارد.

آسیب‌پذیری ParseDroid به‌صورت فنی به‌عنوان آسیب‌پذیری XML External Entity  ‪(XXE)‬ شناخته می‌شود و زمانی که یک ابزار توسعه‌ی اندروید یا مهندسی معکوس آسیب‌پذیر کدگشایی یک اپلیکیشن را انجام می‌دهد راه‌اندازی می‌شود و برای تجزیه‌ی یک فایل  androidManifest.xml مخرب ساخته‌شده‌ی داخل آن تلاش می‌کند.

به ‌عبارت دیگر تنها کاری که هکر نیاز دارد تا برای راه‌اندازی آسیب‌پذیری انجام دهد این است که توسعه‌ دهنده یا مهندس معکوس را برای بارگذاری یک فایل APK ساخته‌شده گول بزند.

علاوه ‌بر این، آسیب‌پذیری XXE می‌تواند برای تزریق فایل‌های دلخواه روی هر نقطه از کامپیوتر هدف برای دست یافتن به اجرای کد از راه دور استفاده شود.

علاوه بر این مهاجم نیازی ندارد تا قربانی را به ‌صورت مستقیم مورد هدف قرار دهد به‌ عنوان مثال محققان به « یک سناریوی حمله‌ی دیگر که می‌تواند به‌ صورت گسترده برای حمله به محدوده‌ی وسیعی از توسعه‌دهندگان اندروید با تزریق AAR مخرب (Android Archive Library) شامل پیلود XXE به مخازن استفاده شود.» اشاره می‌کنند.

برای اهدف آموزشی و اثبات، محققان یک ابزار دیکد APK آنلاین ساختند که می‌تواند فایل مخرب را از یک APK استخراج کند و به مهاجمان امکان اجرای دستورات سیستمی روی سرور وب‌اپلیکیشن را بدهد.

محققان چک‌پوینت این آسیب‌پذیری را در ماه می ۲۰۱۷ کشف کردند و آن را به توسعه‌دهندگان ابزارها وIDEهای مهم شامل گوگل، JetBrains، Eclipse و صاحب APKTool  گزارش کردند.

بیشتر توسعه‌دهندگان مانند گوگل، JetBrain و صاحب APKTool  این مشکل را رفع کرده و برای آن نسخه‌های وصله‌شده‌ای را منتشر کردند.

توصیه می‌شود که همه‌ی توسعه‌دهندگان و مهندسان معکوس برای رفع این آسیب‌پذیری  ابزارهایشان را به‌روزرسانی کنند.