ParseDroid-Schwachstelle in Java und Android bedroht Entwickler

Entwickler, die Googles Android Studio, JetBrains' IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und andere verwenden, laufen Gefahr, Opfer einer Schwachstelle zu werden.


Anzeige

Das Threat Research Team von Check Point Software Technologies Ltd. hat mehrere Schwachstellen in Java- und Android-Entwicklungssoftware gefunden. Dies betrifft Sicherheitslücken in Googles Android Studio, JetBrains' IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und weitere.

Die Sicherheitsforscher haben die Probleme bereits im Mai 2017 an die APKTool-Entwickler und die anderen IDE-Unternehmen kommuniziert. Google und JetBrains haben reagiert und entsprechende Fixes geschrieben und ausgeliefert.

Hintergrund für die Untersuchung war wohl auch, dass mit den WikiLeaks Vault 7-Veröffentlichungen ruchbar wurde, dass die CIA und die NSA Schwachstellen in Produkten von Unternehmen aller Größenordnungen auf der ganzen Welt ausnutzen. Anfang dieses Jahres gab es wohl Vorfälle, in denen der CIA CCleaner, Notepad++ und viele andere Software-Anbieter hackte. Ziel war es, Malware in Organisationen zu verbreiten und Informationen über ihre Benutzer und die Unternehmen selbst zu erhalten.

APKTool

Schwachpunkte im APKTool (Android Application Package Tool) konnten sowohl bei den Funktionen „Decompiling an APK File" als auch bei „Building an APK File" gefunden werden. Bei beiden liegt das Problem beim „LoadDocument". Der XML-Parser schaltet keine externen Entity-Referenzen ab, wenn es eine XML-Datei im Programm parst.


Anzeige

Angreifer könnten dadurch im gesamten File-System des Betriebssystems der APKTool-Nutzer Daten auf dem PC der Opfer aufrufen. Möglich wird dies, indem sie ein bösartiges „AndroidManifest.xml" verwenden, das eine XXE (XML External Entity)-Schwachstelle ausnutzt, um die Datei dann an einen Remote Server des Angreifers zu senden. Dieses Angriffsszenario ist nur eine der möglichen XXE-Attacken.

Entwickler Tools

Schwachpunkte in Entwickler Tools lassen sich ebenfalls auf den XML-Parser zurückführen. Die IDEs, die vor allem für die App-Entwicklung genutzt werden wie Intellij, Eclipse und Android Studio sind alle davon betroffen und lassen sich entsprechend als Einfallstor für Datendiebstahl missbrauchen. Darüber hinaus könnten Angreifer auch eine infizierte Android Archive Library einschleusen, um dann Daten wie Konfigurationsdateien, Source Code oder andere digitale Besitztümer zu kopieren. Eine andere Schwachstelle würde es sogar erlauben, Befehle auf der Betriebssystem-Ebene auszuführen.

„Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler, denn sie können sich nicht darauf verlassen, dass wenn sie selbst Security by Design Grundsätze beachten, die zu entwickelnde App frei von Sicherheitslücken ist. Solche Löcher müssen schnellstens gestopft werden, um künftige Entwicklungsprojekte abzusichern", sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH. Mehr zu diesem Thema findet sich im Check Point-Blog.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.