Goodnews.ua


Уязвимость ParseDroid ставит под угрозу разработчиков Android-приложений

Декабрь 07
07:17 2017

Специалисты компании Check Point обнаружили уязвимость в библиотеке парсинга XML, входящей в состав популярных инструментов для разработки, в том числе APKTool, IntelliJ, Eclipse и Android Studio. Проблема, получившая название ParseDroid, позволяет атакующим похищать файлы и выполнять произвольный код на уязвимых системах.
ParseDroid представляет собой кроссплатформенную XXE-уязвимость, которую легко можно проэксплуатировать. По словам исследователей, ParseDroid предоставляет злоумышленнику возможность получить доступ к файловой системе и извлечь любой файл с компьютера жертвы при помощи вредоносного файла AndroidManifest.xml.
Атака проста в исполнении, так как вредоносный код XML может быть спрятан не только в AndroidManifest.xml, но и в других файлах, например, AAR (Android Archive Library). Более того, экосистема Android позволяет клонировать приложения сторонних разработчиков, чем может воспользоваться атакующий. К примеру, он может разместить вредоносный код под видом открытых шаблонов приложений или библиотек на GitHub и других подобных сайтах и атаковать тысячи пользователей без затраты большого количества ресурсов. Ниже представлено видео с демонстрацией атак

Эксперты проинформировали разработчиков уязвимых инструментов о проблеме. Патчи, исправляющие уязвимость, уже доступны. Разработчикам, использующим APKTool, IntelliJ, Eclipse и Android Studio, рекомендуется обновить свои среды разработки.
Помимо ParseDroid, инструмент APKTool подвержен еще одной уязвимости, проэксплуатировав которую атакующий может выполнить произвольный код на уязвимых системах. Таким образом, атакующий сможет не только извлечь данные, но и загрузить на устройство вредоносное ПО.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Украинский рынок кибербезопасности вырос — Финансы bigmir)net

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua