Plusieurs vulnérabilités ont été identifiées par checkpoint sur des outils de développement Android

Une nouvelle étude de Checkpoint révèle que quelques outils de développement Android, locaux et basés sur le cloud, seraient vulnérables à un piratage ou à une exécution de code à distance.

Les développeurs Android et Java qui utilisent des environnements de développement intégrés (IDE) tels que Google Android Studio, IntelliJ et Eclipse, ainsi que ceux qui utilisent des outils de rétro-ingénierie tels que APKTool et Cuckoo-Droid, peuvent subir un vol de données, ou une exécution de code arbitraire.

Checkpoint explique que la vulnérabilité est présente dans APKTool et les plates-formes similaires, qui sont utilisées pour décomposer les fichiers APK pour vérifier la compatibilité de la plate-forme et tester les applications. La plupart des applications populaires de cette catégorie ne parviennent pas à bloquer les références d'entités externes XML (XXE), ce qui permet à un attaquant de pouvoir consulter l'intégralité du contenu de la machine de la victime.

Tout ce que l'attaquant doit faire pour exploiter la vulnérabilité est de créer un fichier AndroidManifest.xml malveillant qui exploite la vulnérabilité XXE, et les données de la machine de la victime sont transmises à l'attaquant.

Les chercheurs ont également découvert qu'il est possible d'injecter le fichier XML malveillant dans des dépôts Android à l'intérieur d'une bibliothèque d'archives Android (AAR). Une fois extrait du dépôt, l'AAR et le fichier XML malveillant vont exploiter la même vulnérabilité pour transmettre tout ce que l'attaquant veut. Voici une vidéo de démonstration de cette vulnérabilité : https://www.youtube.com/watch?v=w8Lg8ptpVpQ

Les chercheurs de Checkpoint ont trouvé une autre vulnérabilité dans APKTool qui pourrait permettre une exécution de code arbitraire sur les machines affectées.

Les utilisateurs avancés d'APKTool peuvent être familiers avec la section UnknownFiles de APKTOOL.YML. Ce système de fichiers permet aux utilisateurs d'ajouter du code à partir d'un emplacement atypique et de le placer au bon endroit lorsque l'APK est compilé. Cette vulnérabilité permet d'injecter des fichiers n'importe où sur le système de fichiers. Ce code peut ensuite être exécuté pour permettre à un attaquant d'obtenir un accès sur la machine.

Checkpoint a informé Google, les développeurs d'APKTool, et les autres éditeurs d’outils de développement intégré (IDE) des vulnérabilités, qui ont été corrigées par plusieurs éditeurs.