JavaRush /Java блог /Android /Уязвимость ParseDroid ставит под угрозу разработку Androi...

Уязвимость ParseDroid ставит под угрозу разработку Android-приложений

Статья из группы Android
Разрабатываете Android-приложения? Срочно обновляйте IDE! Согласно исследованиям израильской фирмы Check Point, была обнаружена уязвимость ParseDroid, влияющая на самые распространенные IDE для Android, такие как Android Studio, IntelliJ IDEA и Eclipse. Также подвержены риску основные инструменты для проектирования приложений Android: APKTool, Cuckoo-Droid и другие.
Уязвимость ParseDroid ставит под угрозу разработку Android-приложений - 1
Специалисты, просматривая исходный код APKTool, обнаружили уязвимость XML External Entity (XXE), которая затрагивает библиотеку XML. Как оказалось, во время анализа XML-файла парсер не отключает ссылки на внешние источники, что открывает полный доступ к файловой системы, чем и пользуются злоумышленники. Это значит, что любой файл с компьютера жертвы может быть извлечен и отправлен на удаленный сервер с помощью вредоносного файла AndroidManifest.xml.
AndroidManifest.xml содержится во всех Android-приложениях, что делает его идеальным местом для вредоносного кода. Однако заметим, спрятать вредоносный XML-код можно и в других файлах, например, в AAR (Android Archive Library) или любых отрытых кодах и библиотеках на GitHub.
Авторы APKTool, IntelliJ IDEA, Eclipse и Android Studio уже выпустили обновления для своих продуктов, поэтому специалисты настоятельно рекомендуют разработчикам обновить свой код в прошлых и текущих приложениях.
ParseDroid является кросс-платформенной уязвимостью, что позволяет ей ориентироваться на разработчиков, работающих с любой операционной системой. Кроме того, ParseDroid является бесшумной атакой, пользователи останутся в неведении, что кто-то крадет конфиденциальные файлы из систем. Для работников крупных компаний уязвимость в коде может понести за собой взлом систем, содержащих закрытый код, интеллектуальную собственность или коммерческую тайну.
Комментарии
ЧТОБЫ ПОСМОТРЕТЬ ВСЕ КОММЕНТАРИИ ИЛИ ОСТАВИТЬ КОММЕНТАРИЙ,
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ