主要安卓工具针对开发者和逆向工程师的关键缺陷

安全研究人员在可下载和基于云的Android application developer工具中发现了一个容易被攻击的漏洞，攻击者可以通过该漏洞远程窃取文件并在易受攻击的系统上执行恶意代码。

Check Point研究团队的安全研究人员发现了这个问题，他们还发布了一个概念验证（PoC）攻击，他们称之为ParseDroid。
该漏洞存在于一个流行的XML解析库“DocumentBuilderFactory”中，该库由最常见的Android集成开发环境（IDE）使用，如谷歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse，以及用于Android应用的主要反向工程工具，如APKTool、布谷鸟机器人等。
ParseDroid漏洞在技术上称为XML外部实体（XXE）漏洞，当易受攻击的Android开发或反向工程工具解码应用程序并试图解析其中恶意构建的“AndroidManifest.XML”文件时，会触发该漏洞。

换句话说，攻击者只需诱使开发人员和逆向工程师加载恶意构建的APK文件即可触发该漏洞。

研究人员说：“只要将恶意的‘AndroidManifest.xml’文件作为Android项目的一部分加载，IDE就会开始吐出攻击者配置的任何文件”。

演示：XML外部实体（XXE）到远程代码执行

除此之外，XXE漏洞还可用于在目标计算机上的任何位置注入任意文件，以实现完全远程代码执行（RCE），这使得攻击面广且多样。
此外，正如研究人员所说，攻击者不需要直接以受害者为目标“另一种攻击场景可以在野外使用，通过向存储库中注入包含XXE有效载荷的恶意AAR（Android Archive Library）来攻击大量Android开发者”。
出于教育和演示目的，研究人员还创建了一个在线APK解码器工具，可以从APK中提取恶意文件（在本例中，他们使用了PHP web shell），允许攻击者在web应用程序服务器上执行系统命令，如视频所示。

Check Point研究人员写道：“当然，我们选择的证明这种漏洞的方式只是可以用来实现完全RCE的许多可能攻击方法之一”。“实际上，路径遍历方法允许我们将任何文件复制到文件系统上的任何位置，从而使攻击面更广、更多样”。

Check Point研究人员Eran Vaknin、Gal Elbaz、Alon Boxiner和Oded Vanunu在2017年5月发现了这个问题，并向所有主要IDE和工具开发人员报告了这些问题，包括谷歌、JetBrains、Eclipse和APKTool所有者。

大多数开发者，包括谷歌、JetBrains和APKTool所有者，都已经修复了这个问题，并发布了补丁版本。

由于研究人员展示的所有攻击方法都是跨平台的，因此强烈建议开发人员和逆向工程师更新他们的工具，如果他们还没有更新的话。