E安全12月7日訊 以色列網(wǎng)絡(luò)安全公司Check Point軟件技術(shù)有限公司發(fā)現(xiàn)，Android開發(fā)人員使用的工具中存在一系列高危安全漏洞，允許攻擊者竊取文件并在脆弱設(shè)備上執(zhí)行惡意代碼。研究人員12月4日公布PoC，并將這種攻擊途徑稱之為“ParseDroid”。

涉及哪些Android開發(fā)工具？

多款常見Android開發(fā)工具受漏洞影響，包括谷歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse。這些漏洞亦會影響到各逆向工程工具，例如APKTool以及Cuckoo-Droid服務(wù)等。

研究人員在發(fā)布的報告中指出，ParseDroid影響AFKTool、IntelliJ、Eclipse和Android Studio等項目中包含的XML解析庫。這個庫在解析一個XML文件時不會禁用外部實體引用，因此攻擊者能夠利用這個典型的XML外部實體 (XXE) 漏洞。這一問題的根源在于各類流行開發(fā)工具所廣泛采用的XML解析器“DocumentBuilderFactory”存在安全漏洞。

危害性

研究人員們反復(fù)強(qiáng)調(diào)，攻擊者能夠有效傳送Payload，而后在無需驚動受害者的前提下順利竊取受保護(hù)文件。這種攻擊途徑亦被克隆至其它多種不同開發(fā)環(huán)境與工具當(dāng)中。

APKTool配置文件中的另一項安全漏洞則允許攻擊者在受害者計算機(jī)上遠(yuǎn)程執(zhí)行代碼，從而將控制權(quán)全面移交到黑客手中。

研究人員指出，漏洞影響用戶的整個OS文件系統(tǒng)，攻擊者可以通過惡意AndroidManifest.xml文件檢索受害者電腦中的任何文件。所有Android應(yīng)用程序都包含一個AndroidManifest.xml文件，而它卻是隱藏惡意代碼的絕佳之地。如果使用APKTool、IntelliJ、Eclipse或Android Studio打開含有惡意AndroidManifest.xml的文件，攻擊者便可以竊取本地文件。

部分補(bǔ)丁

Check Point今年5月向APKTool的開發(fā)人員和其它IDE公司報告了漏洞，谷歌和JetBrains已陸續(xù)發(fā)布相關(guān)修復(fù)程序。

過去一年中，多輪供應(yīng)鏈網(wǎng)絡(luò)攻擊輪番襲來，其中也包括針對CCleaner與Notepad++的攻擊活動。其目標(biāo)在于首先獲取接入通道，而后再對用戶及企業(yè)實施打擊。Check Point公司發(fā)現(xiàn)的安全漏洞亦曝光了全球規(guī)模最大的軟件開發(fā)者社區(qū)——Android開發(fā)者群體所面臨的一系列潛在攻擊，以及由此給最終用戶帶來的廣泛風(fēng)險。

E安全注：本文系E安全獨(dú)家編譯報道，轉(zhuǎn)載請聯(lián)系授權(quán)，并保留出處與鏈接，不得刪減內(nèi)容。