Informática

Falla Crítica En Las Principales Herramientas De Android Para Desarrolladores

Finalmente, aquí tenemos una vulnerabilidad dirigida a desarrolladores de Android e ingenieros inversos, en lugar de estar enfocada a los usuarios de las aplicaciones.

Los investigadores de seguridad han descubierto una vulnerabilidad fácilmente explotable en las herramientas de desarrollo de aplicaciones de Android, tanto descargables como basadas en la nube, que podrían permitir a los atacantes robar archivos y ejecutar código malicioso en sistemas vulnerables de forma remota.

El problema fue descubierto por investigadores de seguridad en el equipo de investigación de Check Point, quienes también lanzaron un ataque de prueba de concepto (PoC), que llamaron ParseDroid.

La vulnerabilidad reside en una popular biblioteca de análisis XML «DocumentBuilderFactory», utilizada por los Entornos de Desarrollo Integrado (IDE) para Android más comunes como Google Android Studio, JetBrains ‘IntelliJ IDEA y Eclipse, así como las principales herramientas de ingeniería inversa para aplicaciones de Android, como APKTool , Cuckoo-Droid y más.

La falla de ParseDroid, técnicamente conocida como vulnerabilidad de Entidad Externa XML (XXE), se activa cuando una herramienta vulnerable de desarrollo o ingeniería inversa de Android decodifica una aplicación y trata de analizar el archivo «AndroidManifest.xml» maliciosamente creado en su interior.

En pocas palabras, todo lo que un atacante necesita para desencadenar la vulnerabilidad es engañar a los desarrolladores e ingenieros de inversa para que carguen un archivo APK creado de forma malintencionada.

     «Simplemente cargando el archivo malicioso ‘AndroidManifest.xml’ como parte de un proyecto de Android, los IDE comienzan a devolver cualquier archivo configurado por el atacante», dijeron los investigadores.

Demostración: XML External Entity (XXE) a Remote Code Execution

Además de esto, la vulnerabilidad XXE también se puede utilizar para inyectar archivos arbitrarios en cualquier lugar de una computadora específica para lograr la ejecución de código remoto completo (RCE), lo que hace que el ataque sea extenso y variado.

Para fines educativos y de demostración, los investigadores también han creado una herramienta de decodificador APK en línea que puede extraer el archivo malicioso de una APK (en este caso utilizaron un shell web PHP), permitiendo al atacante ejecutar comandos de sistema en el servidor de aplicaciones web, como se ha mostrado en el anterior vídeo.

«La forma en que elegimos demostrar esta vulnerabilidad, por supuesto, es solo uno de los muchos métodos de ataque posibles que se pueden usar para lograr RCE completo», escribieron los investigadores de Check Point. «De hecho, el método Path Traversal nos permite copiar cualquier archivo a cualquier ubicación en el sistema de archivos, lo que hace que el ataque sea extenso y variado».

Los investigadores de Check Point, Eran Vaknin, Gal Elbaz, Alon Boxiner y Oded Vanunu descubrieron este problema en mayo de 2017 y lo informaron a todos los principales desarrolladores de IDE y herramientas, incluidos Google, JetBrains, Eclipse y el propietario de APKTool.

La mayoría de los desarrolladores, incluidos Google, JetBrains y el propietario de la herramienta APKTool, desde entonces han solucionado el problema y han liberado las versiones parcheadas.

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

2 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

2 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace