Entwickler, die Googles Android Studio, JetBrains' IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und andere verwenden, laufen Gefahr, Opfer einer Schwachstelle zu werden.
Anzeige
Das Threat Research Team von Check Point Software Technologies Ltd. hat mehrere Schwachstellen in Java- und Android-Entwicklungssoftware gefunden. Dies betrifft Sicherheitslücken in Googles Android Studio, JetBrains' IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und weitere.
Die Sicherheitsforscher haben die Probleme bereits im Mai 2017 an die APKTool-Entwickler und die anderen IDE-Unternehmen kommuniziert. Google und JetBrains haben reagiert und entsprechende Fixes geschrieben und ausgeliefert.
Hintergrund für die Untersuchung war wohl auch, dass mit den WikiLeaks Vault 7-Veröffentlichungen ruchbar wurde, dass die CIA und die NSA Schwachstellen in Produkten von Unternehmen aller Größenordnungen auf der ganzen Welt ausnutzen. Anfang dieses Jahres gab es wohl Vorfälle, in denen der CIA CCleaner, Notepad++ und viele andere Software-Anbieter hackte. Ziel war es, Malware in Organisationen zu verbreiten und Informationen über ihre Benutzer und die Unternehmen selbst zu erhalten.
APKTool
Schwachpunkte im APKTool (Android Application Package Tool) konnten sowohl bei den Funktionen „Decompiling an APK File" als auch bei „Building an APK File" gefunden werden. Bei beiden liegt das Problem beim „LoadDocument". Der XML-Parser schaltet keine externen Entity-Referenzen ab, wenn es eine XML-Datei im Programm parst.
Anzeige
Angreifer könnten dadurch im gesamten File-System des Betriebssystems der APKTool-Nutzer Daten auf dem PC der Opfer aufrufen. Möglich wird dies, indem sie ein bösartiges „AndroidManifest.xml" verwenden, das eine XXE (XML External Entity)-Schwachstelle ausnutzt, um die Datei dann an einen Remote Server des Angreifers zu senden. Dieses Angriffsszenario ist nur eine der möglichen XXE-Attacken.
Entwickler Tools
Schwachpunkte in Entwickler Tools lassen sich ebenfalls auf den XML-Parser zurückführen. Die IDEs, die vor allem für die App-Entwicklung genutzt werden wie Intellij, Eclipse und Android Studio sind alle davon betroffen und lassen sich entsprechend als Einfallstor für Datendiebstahl missbrauchen. Darüber hinaus könnten Angreifer auch eine infizierte Android Archive Library einschleusen, um dann Daten wie Konfigurationsdateien, Source Code oder andere digitale Besitztümer zu kopieren. Eine andere Schwachstelle würde es sogar erlauben, Befehle auf der Betriebssystem-Ebene auszuführen.
„Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler, denn sie können sich nicht darauf verlassen, dass wenn sie selbst Security by Design Grundsätze beachten, die zu entwickelnde App frei von Sicherheitslücken ist. Solche Löcher müssen schnellstens gestopft werden, um künftige Entwicklungsprojekte abzusichern", sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH. Mehr zu diesem Thema findet sich im Check Point-Blog.
Anzeige