当前位置:安全资讯 >> 全文

警惕!安卓开发人员易遭ParseDroid漏洞攻击

发布时间:2017-12-6 8:49 标签: ParseDroid,安卓,开发
分享到 0

代号为ParseDroid的漏洞影响安卓app开发人员所使用的开发工具,并且能导致攻击者窃取文件且在易受攻击的机器上执行恶意代码。

以色列安全公司Check Point发现了这个漏洞。研究人员在发布的报告中指出,ParseDroid影响AFKToolIntelliJEclipseAndroid Studio等项目中包含的XML解析库。研究人员指出这个库在解析一个XML文件时不会禁用外部实体引用,因此攻击者能够利用这个典型的XML外部实体 (XXE) 漏洞。

攻击者从运行易受攻击IDE的电脑中窃取文件

研究人员指出,“这个漏洞暴露受影响用户的整个OS文件系统,从而导致攻击者可能通过一个恶意的AndroidManifest.xml文件检索受害者计算机中的任何文件。”所有安卓app都包含一个AndroidManifest.xml文件,而这个文件是隐藏恶意代码的绝佳之地。

使用APKToolIntelliJEclipseAndroid Studio打开含有恶意AndroidManifest.xml文件的开发人员可能会遭攻击者窃取本地文件。

Check Point公司指出已经通知所有受影响的产品,并且已经发布了修复这个ParseDroid缺陷的更新。使用这些攻击编译或反编译安卓APK文件的安卓app开发人员和安全研究员都应该更新IDE

另外,APKTool也已遭第二个漏洞的攻击。该漏洞能让攻击者在易受攻击的系统上执行攻击者的代码,从而导致攻击者的攻击从盲目的数据渗透扩大到涉及在目标计算机上释放更多进阶性恶意软件的复杂攻击。

ParseDroid攻击易于实施

通过ParseDroid攻击开发人员易于实施的原因在于恶意XML代码可隐藏在很多其它地方,而不仅仅是AndroidManifest.xml文件中。例如,恶意代码可隐藏在AAR文件中。

另外,安卓开发生态系统用于从多种第三方网站中克隆app。攻击者会发现非常容易就能将恶意代码伪装成GitHub上的开源app模板以及库和其它仓库中,从而在无需太多资源的情况下就触及数千名用户。攻击的演示视频可见原文。

ParseDroid还是一个跨平台bug,能让攻击者攻击运行任何操作系统的开发人员。另外,ParseDroid还是一种静默攻击,用户不会注意到攻击者从系统中窃取敏感文件。

由于很多安卓app开发人员为大公司服务,因此很多被黑系统可能会包含闭源代码、知识财产或商业机密。

普通的安卓app用户并不受ParseDroid漏洞的影响。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/android-app-developers-at-risk-of-attacks-via-parsedroid-vulnerability/
参与讨论,请先 登录 | 注册

用户评论