Das Threat Research Team von Check Point hat mehrere Schwachstellen in Java- und Android-Entwicklungssoftware gefunden. Betroffen sind Googles Android Studio, JetBrains’ IntelliJ IDEA und Eclipse sowie Reverse Engineering Tools wie APKTool, der Cuckoo-Droid Service und andere.
Die Forscher haben die Probleme bereits im Mai 2017 an die APKTool-Entwickler und die anderen IDE-Unternehmen kommuniziert. Google und JetBrains haben bereits reagiert und entsprechende Fixes geschrieben und ausgeliefert.
APKTool
Schwachpunkte im APKTool (Android Application Package Tool) konnten sowohl bei den Funktionen „Decompiling an APK File“ als auch bei „Building an APK File“ gefunden werden. Bei beiden liegt das Problem beim „LoadDocument“. Der XML-Parser schaltet keine externen Entity-Referenzen ab, wenn es eine XML-Datei im Programm parst.
Angreifer könnten dadurch im gesamten File-System des Betriebssystems der APKTool-Nutzer Daten auf dem PC der Opfer aufrufen indem sie ein bösartiges „AndroidManifest.xml“ verwenden, das eine XXE (XML External Entity)-Schwachstelle ausnutzt, um die Datei dann an einen Remote Server des Angreifers zu senden. Dieses Angriffsszenario ist nur eine der möglichen XXE-Attacken.
Entwickler Tools
Schwachpunkte in Entwickler Tools lassen sich ebenfalls auf den XML-Parser zurückführen. Die IDEs, die vor allem für die App-Entwicklung genutzt werden wie Intellij, Eclipse und Android Studio sind alle davon betroffen und lassen entsprechend als Einfallstor für Datendiebstahl missbrauchen.
Darüber hinaus könnten Angreifer auch eine infizierte Android Archive Library einschleusen, um dann Daten wie Konfigurationsdateien, Source Code oder andere digitale Besitztümer zu kopieren. Eine andere Schwachstelle würde es sogar erlauben, Befehle auf der Betriebssystem-Ebene auszuführen.
„Schwachstellen in App-Entwicklungstools sind ein Alptraum für jeden Entwickler, denn sie können sich nicht darauf verlassen, dass wenn sie selbst Security by Design Grundsätze beachten, die zu entwickelnde App frei von Sicherheitslücken ist. Solche Löcher müssen schnellstens gestopft werden, um künftige Entwicklungsprojekte abzusichern“, sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH.