E安全12月7日訊 以色列網(wǎng)絡安全公司Check Point軟件技術有限公司發(fā)現(xiàn)，Android開發(fā)人員使用的工具中存在一系列高危安全漏洞，允許攻擊者竊取文件并在脆弱設備上執(zhí)行惡意代碼。研究人員12月4日公布PoC，并將這種攻擊途徑稱之為“ParseDroid”。

涉及哪些Android開發(fā)工具？

多款常見Android開發(fā)工具受漏洞影響，包括谷歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse。這些漏洞亦會影響到各逆向工程工具，例如APKTool以及Cuckoo-Droid服務等。

研究人員在發(fā)布的報告中指出，ParseDroid影響AFKTool、IntelliJ、Eclipse和Android Studio等項目中包含的XML解析庫。這個庫在解析一個XML文件時不會禁用外部實體引用，因此攻擊者能夠利用這個典型的XML外部實體 (XXE) 漏洞。這一問題的根源在于各類流行開發(fā)工具所廣泛采用的XML解析器“DocumentBuilderFactory”存在安全漏洞。

危害性

研究人員們反復強調(diào)，攻擊者能夠有效傳送Payload，而后在無需驚動受害者的前提下順利竊取受保護文件。這種攻擊途徑亦被克隆至其它多種不同開發(fā)環(huán)境與工具當中。

APKTool配置文件中的另一項安全漏洞則允許攻擊者在受害者計算機上遠程執(zhí)行代碼，從而將控制權全面移交到黑客手中。

研究人員指出，漏洞影響用戶的整個OS文件系統(tǒng)，攻擊者可以通過惡意AndroidManifest.xml文件檢索受害者電腦中的任何文件。所有Android應用程序都包含一個AndroidManifest.xml文件，而它卻是隱藏惡意代碼的絕佳之地。如果使用APKTool、IntelliJ、Eclipse或Android Studio打開含有惡意AndroidManifest.xml的文件，攻擊者便可以竊取本地文件。

部分補丁

Check Point今年5月向APKTool的開發(fā)人員和其它IDE公司報告了漏洞，谷歌和JetBrains已陸續(xù)發(fā)布相關修復程序。

過去一年中，多輪供應鏈網(wǎng)絡攻擊輪番襲來，其中也包括針對CCleaner與Notepad++的攻擊活動。其目標在于首先獲取接入通道，而后再對用戶及企業(yè)實施打擊。Check Point公司發(fā)現(xiàn)的安全漏洞亦曝光了全球規(guī)模最大的軟件開發(fā)者社區(qū)——Android開發(fā)者群體所面臨的一系列潛在攻擊，以及由此給最終用戶帶來的廣泛風險。

E安全注：本文系E安全獨家編譯報道，轉載請聯(lián)系授權，并保留出處與鏈接，不得刪減內(nèi)容。