Gefahr für Entwickler

ParseDroid-Lücke trifft Android-Entwicklungstools

| Redakteur: Peter Schmitz

Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler.
Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler. (Bild: Pixabay / CC0)

Sicherheitsexperten von Check Point haben Schwachstellen im XML-Parser in den meistgenutzten Android-Entwicklungstools entdeckt. Betroffen sind Googles Android Studio, JetBrains’ IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und andere.

Das Threat Research Team von Check Point Software Technologies hat mehrere Schwachstellen in XML-Parsern in Java- und Android-Entwicklungssoftware gefunden. Entdeckt wurden die als „ParseDroid“ bezeichneten Sicherheitslücken in Googles Android Studio, JetBrains’ IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und weitere. Die Forscher haben die Probleme bereits im Mai 2017 an die APKTool-Entwickler und die anderen IDE-Unternehmen kommuniziert. Google und JetBrains haben bereits reagiert und entsprechende Fixes geschrieben und ausgeliefert.

APKTool

Schwachpunkte im APKTool (Android Application Package Tool) konnten sowohl bei den Funktionen „Decompiling an APK File“ als auch bei „Building an APK File“ gefunden werden. Bei beiden liegt das Problem beim „LoadDocument“. Der XML-Parser schaltet keine externen Entity-Referenzen ab, wenn es eine XML-Datei im Programm parst. Angreifer könnten dadurch im gesamten File-System des Betriebssystems der APKTool-Nutzer Daten auf dem PC der Opfer aufrufen indem sie ein bösartiges „AndroidManifest.xml“ verwenden, das eine XXE (XML External Entity)-Schwachstelle ausnutzt, um die Datei dann an einen Remote Server des Angreifers zu senden. Dieses Angriffsszenario ist nur eine der möglichen XXE-Attacken.

Entwickler Tools

Schwachpunkte in Entwickler Tools lassen sich ebenfalls auf den XML-Parser zurückführen. Die IDEs, die vor allem für die App-Entwicklung genutzt werden wie Intellij, Eclipse und Android Studio sind alle davon betroffen und lassen entsprechend als Einfallstor für Datendiebstahl missbrauchen. Darüber hinaus könnten Angreifer auch eine infizierte Android Archive Library einschleusen, um dann Daten wie Konfigurationsdateien, Source Code oder andere digitale Besitztümer zu kopieren. Eine andere Schwachstelle würde es sogar erlauben, Befehle auf der Betriebssystem-Ebene auszuführen.

„Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler, denn sie können sich nicht darauf verlassen, dass wenn sie selbst Security by Design Grundsätze beachten, die zu entwickelnde App frei von Sicherheitslücken ist. Solche Löcher müssen schnellstens gestopft werden, um künftige Entwicklungsprojekte abzusichern“, sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45047131 / Sicherheitslücken)