Разрабатываете Android-приложения? Срочно обновляйте IDE! Согласно исследованиям израильской фирмы Check Point, была обнаружена уязвимость ParseDroid, влияющая на самые распространенные IDE для Android, такие как Android Studio, IntelliJ IDEA и Eclipse. Также подвержены риску основные инструменты для проектирования приложений Android: APKTool, Cuckoo-Droid и другие.
Уязвимость ParseDroid ставит под угрозу разработку Android-приложений - 1
Специалисты, просматривая исходный код APKTool, обнаружили уязвимость XML External Entity (XXE), которая затрагивает библиотеку XML. Как оказалось, во время анализа XML-файла парсер не отключает ссылки на внешние источники, что открывает полный доступ к файловой системы, чем и пользуются злоумышленники. Это значит, что любой файл с компьютера жертвы может быть извлечен и отправлен на удаленный сервер с помощью вредоносного файла AndroidManifest.xml.
AndroidManifest.xml содержится во всех Android-приложениях, что делает его идеальным местом для вредоносного кода. Однако заметим, спрятать вредоносный XML-код можно и в других файлах, например, в AAR (Android Archive Library) или любых отрытых кодах и библиотеках на GitHub.
Авторы APKTool, IntelliJ IDEA, Eclipse и Android Studio уже выпустили обновления для своих продуктов, поэтому специалисты настоятельно рекомендуют разработчикам обновить свой код в прошлых и текущих приложениях.
ParseDroid является кросс-платформенной уязвимостью, что позволяет ей ориентироваться на разработчиков, работающих с любой операционной системой. Кроме того, ParseDroid является бесшумной атакой, пользователи останутся в неведении, что кто-то крадет конфиденциальные файлы из систем. Для работников крупных компаний уязвимость в коде может понести за собой взлом систем, содержащих закрытый код, интеллектуальную собственность или коммерческую тайну.

Что еще почитать:

Атака на Android-смартфоны расскажет, что вы там смотрите

Отчёт CITP: крупнейшие сайты знают о своих пользователях слишком много