Af Torben B. Sørensen, 07/12/17
Sikkerhedsforskere har fundet alvorlige sårbarheder i værktøjer til at udvikle apps til Android.
Sikkerhedsforskere fra Check Point har fundet flere sårbarheder i de mest udbredte udviklingsmiljøer til Android: Android Studio, Intellij IDEA og Eclipse. Også værktøjer som APKTool og Cuckoo-Droid er sårbare.
Udviklerne af værktøjerne fik besked om problemerne i maj. De har siden udsendt opdaterede versioner.
Blandt sårbarhederne er en af typen XXE (XML External Entity) i APKTool. Angribere kan udnytte den til at få fat i filer på offerets pc. En tilsvarende sårbarhed findes i udviklingsmiljøerne.
Check Point kalder sårbarheden for ParseDroid.
Anbefaling
Opdater til en rettet version af udviklingsværktøjerne.
Links
- ParseDroid: Targeting The Android Development & Research Community, Check Point
- Beware the IDEs of Android: three biggies have vulnerabilities, artikel fra The Register
- Android App Developers at Risk of Attacks via ParseDroid Vulnerability, artikel fra Bleeping Computer
- Android developer apps suffered from multiple severe vulnerabilities, artikel fra Cyberscoop
- Android Development Tools Riddled with Nasty Vulnerabilities, artikel fra SecurityWeek