Sus herramientas de desarrollo de Android, tanto locales como basadas en la nube, podrían estar abiertas a la explotación, la piratería o la ejecución remota de código (RCE), según una nueva investigación de Check Point.

Los desarrolladores de Android y Java que usan entornos de desarrollo integrado (IDE) populares como Google Android Studio, IntelliJ y Eclipse, así como aquellos que usan herramientas de ingeniería inversa de APK como APKTool y Cuckoo-Droid, podrían sufrir robos de datos, ingresar a las máquinas de forma remota. y ser malicioso. código ejecutado en ellos.

Es un truco simple que se puede hacer tan fácilmente como incluir un archivo AndroidManifest.xml falso en un paquete. Luego, el atacante puede simplemente sentarse y esperar a que los datos lleguen a ellos.

Índice
  • Una hazaña seria
  • Los archivos desconocidos causan problemas conocidos
  • Apéguese a los IDE parcheados
  • Una hazaña seria

    Check Point explica que la vulnerabilidad comienza en APKTool y plataformas similares, que se utilizan para desglosar los APK para las comprobaciones de compatibilidad de plataformas y las pruebas de aplicaciones. Muchas aplicaciones populares de esta categoría no bloquean las referencias de entidad externa XML (XXE), que permiten a un atacante ver todo el contenido de la computadora de la víctima.

    En este punto, todo lo que un atacante debe hacer es crear un AndroidManifest.xml malicioso que explote la vulnerabilidad XXE, y los datos de la máquina de la víctima se transmiten al atacante.

    VER: 15 libros que todo programador debería leer (PDF gratuito) (TechRepublic)

    Este archivo XML malicioso, cuando se carga en uno de los IDE afectados como parte de un proyecto de Android, "comienza a escupir cualquier archivo configurado por el atacante". No solo archivos dentro del alcance del IDE, tampoco: cualquier cosa en cualquier lugar de una unidad conectada.

    Los investigadores también descubrieron que también era posible inyectar el archivo XML malicioso en los repositorios de Android dentro de una biblioteca de archivos de Android (AAR). Una vez extraído del repositorio, el AAR y el archivo XML malicioso se ponen a trabajar explotando la misma vulnerabilidad para transmitir lo que quiera el atacante.

    Los archivos desconocidos causan problemas conocidos

    Finalmente, los investigadores de Check Point descubrieron otra vulnerabilidad en APKTool que permitía RCE (ejecución de código arbitrario) en las máquinas afectadas.

    Los usuarios avanzados de APKTool pueden estar familiarizados con la sección UnknownFiles de APKTOOL.YML. Es un pequeño fragmento de código que permite a los usuarios agregar código desde una ubicación atípica y colocarlo en el lugar correcto cuando se compila el APK.

    También es una incursión en la ejecución remota de código.

    VER: El curso completo para desarrolladores de Android: de principiante a avanzado (Academia TechRepublic)

    Manejo de la sección UnknownFiles, según Check Point, “[means] es posible inyectar archivos arbitrarios en cualquier parte del sistema de archivos. Este código se puede ejecutar para permitir que un atacante tenga capacidades RCE.

    ¿A quién afecta esta vulnerabilidad? Cualquiera que, sin saberlo, decodifique un APK malicioso. Así que cualquiera.

    Apéguese a los IDE parcheados

    Google, Jetbrains y el equipo detrás de APKTools le dijeron a Check Point que arreglaron las fallas que los hacían vulnerables. Check Point dijo que "otras compañías de IDE" también han reparado la vulnerabilidad, pero sin especificar quién, no está claro si todavía está en riesgo.

    Por ahora, quédese con un IDE y un conjunto de herramientas que solucionaron el problema. La alternativa podría ser devastadora.