ParseDroid, una vulnerabilità che espone gli sviluppatori Android

Ricercatori di CheckPoint hanno scoperto dei bug all'interno di un parser XML, che consentono ad un utente malevolo di ottenere file da dispositivi Android infetti. APKTool contiene, inoltre, una remote-code execution sfruttabile su PC

Roma – La società israeliana di sicurezza informatica CheckPoint Software Technologies ha pubblicato nei giorni scorsi i risultati di un’investigazione effettuata lo scorso maggio , che ha portato alla scoperta di gravi vulnerabilità riguardanti gli strumenti di sviluppo di applicazioni Android .

Nello specifico, i prodotti affetti da questa vulnerabilità – chiamata ParseDroid – sono i principali IDE utilizzati per sviluppare applicazioni Android: IntelliJ IDEA, Android Studio (il quale è basato sul precedente), Eclipse; sono inoltre vulnerabili diversi strumenti di reverse-engineering , come APKTool ed il servizio di analisi dei malware Cuckoo-Droid .

All’inizio, i ricercatori hanno riscontrato la vulnerabilità nel codice di APKTool, precisamente all’interno della classe DocumentBuilderFactory, un parser di file XML che va a gestire anche il file AndroidManifest.xml , il descrittore di ogni applicazione Android: questo parser non va ad ignorare eventuali entità esterne presenti all’interno del file, il cui contenuto viene quindi processato.

file manifest infetto

Un cyber-criminale potrebbe sfruttare questa vulnerabilità di tipo XXE (XML eXternal Entity) in due modi: pubblicando un file AndroidManifest.xml infetto all’interno di un repository su GitHub, oppure caricando una libreria AAR infetta all’interno di un repository Maven pubblico. In questo modo, il cyber-criminale sarebbe in grado di ottenere qualsiasi file presente all’interno del file system di un dispositivo infetto , ricevendolo direttamente sul suo server HTTP.

Ulteriori indagini effettuate dai ricercatori su APKTool hanno consentito di riscontrare un’ulteriore vulnerabilità, che in questo caso consente l’esecuzione remota di comandi sul computer su cui viene utilizzato il software ; la sezione “unknownFiles” del file APKTOOL.YML non prevede una validazione dei campi, che in questo caso sono path di file : sfruttando i path relativi ( Path Traversal Attack ), un attaccante sarebbe in grado di scaricare un file in qualsiasi path di sistema, ad esempio una shell PHP all’interno della root di un server HTTP.

I ricercatori di CheckPoint hanno dichiarato che, nel momento in cui scriviamo, tutti i prodotti affetti da queste vulnerabilità sono stati patchati con successo : si raccomanda quindi di utilizzare esclusivamente le ultime versioni disponibili degli IDE Android e degli strumenti di sviluppo e di debug.

Elia Tufarolo

Fonte Immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • guglyfree scrive:
    Articolo un po' superficiale?
    Sinceramente un pezzo così superficiale sul "fenomeno" bitcoin me lo sarei aspettato su un'altra qualsiasi testata generica. Non su punto informatico :(
    • Alvaro Vitali scrive:
      Re: Articolo un po' superficiale?
      Temo che per parlare con competenza di Bitcoin siano necessarie le stesse conoscenze matematiche di John Nash.Forse, solo uno come lui sarebbe stato in grado di capire cosa c'è dietro questa moneta virtuale.
      • Stemby scrive:
        Re: Articolo un po' superficiale?
        Rifiuto la definizione di "moneta virtuale". Moneta digitale, moneta matematica, criprovaluta, quel che volete. Ma l'aggettivo "virtuale" lasciatelo per la valuta fiat (euro, dollaro, ecc.).
  • xte scrive:
    Una nota
    Moneta/ricchezza virtuale? Bé non è che dopo l'abbandono dell'equivalenza con l'oro le altre monete siano reali eh! La sola, importante, differenza tangibile è che il bitcoin sono solo bit, mentre le altre monete virtuali han anche una *piccola* frazione stampata su carta e metallo ovvero accumulabile e scambiabile senza tecnologie né strumenti particolari, almeno limitandosi per alcune valute ai cambi di banconota/moneta.Per me è solo una "guerra" tra il potere "classico" bancario e il nuovo potere "informativo" della silicon valley che pensa di poter far a meno del sistema bancario sostituendosi a quest'ultimo. Dopotutto anche il sistema bancario oramai è digitale ovvero ha bisogno di ferro e software che è almeno per l'hw ed i fw del caso in mano a 4 gatti.
    • ... scrive:
      Re: Una nota
      - Scritto da: xte
      ovvero accumulabile e scambiabile senza
      tecnologie né strumenti particolari,Ma di quali tecnologie e strumenti particolari parli?Un qualsiasi smartphone/tablet da 100/200 euro è più che sufficiente per gestire tutti i wallets che vuoi.La connessione dici? Nulla vieta di usare wifi aperti, se non si vuol spendere per 3g/4g.Dove la vedi tutta sta tecnologia/strumentazione inaccessibile, lo sai solo te.
    • 29848cfea1f scrive:
      Re: Una nota

      Per me è solo una "guerra" tra il potere
      "classico" bancario eNonostante i prezzi gonfiati oggi bitcoin capitalizza 270 miliardi di dollari che è una piccola frazione della massa monetaria di una nazione nella media dell'economia mondiale. Questo significa che un piccolo gruppo di istituzioni finanziarie può far ballare il suo valore molto più facilmente in confronto ad una moneta classica. Come lotta di potere non è ad armi pari.
      il nuovo potere
      "informativo" della silicon valley che pensa di
      poter far a meno del sistema bancario
      sostituendosi a quest'ultimo. Mica tanto. La Sylicon Valley tra Pay Pal e i vari sistemi di pagamento via smartphone sotto il controllo delle loro corporations sono in concorrenza con le criptovalute tanto quanto le vecchie istituzioni finanziarie.
    • FDG scrive:
      Re: Una nota
      - Scritto da: xte
      Moneta/ricchezza virtuale? Bé non è che dopo
      l'abbandono dell'equivalenza con l'oro le altre
      monete siano reali eh! La sola, importante,
      differenza tangibile è che il bitcoin sono solo
      bit, mentre le altre monete virtuali han anche
      una *piccola* frazione stampata su carta...E il fatto che, al contrario dei BitCoin, l'emissione sia controllata dalla banca centrale non ti pare una rilevante differenza?
  • quiz scrive:
    bit
    quanti bit servono per scrivere wwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwww wwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwww wwwwwwwwwww wwwwwwwwwwwwwwwww wwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwww ?
  • Stelvio Brunazzi scrive:
    ......
    Dio c'è!
  • codice antispam 184170 scrive:
    codice antispam 184170
    codice antispam 184170
  • codice antispam 006226 scrive:
    codice antispam 006226
    codice antispam 006226
  • codice antispam 658242 scrive:
    codice antispam 658242
    codice antispam 658242
  • codice antispam 838121 scrive:
    codice antispam 838121
    codice antispam 838121
  • codice antispam 469802 scrive:
    codice antispam 469802
    codice antispam 469802
  • codice antispam 670057 scrive:
    codice antispam 670057
    codice antispam 670057
  • Leo Garlsperi scrive:
    La veritá é che rosicate e basta
    C erano un sacco di soldi da fare. E invece siete a belare le stesse XXXXXXX da 9 anni.Ps: sto portando a casa mezzo milione di euro. Ciao polli!
    • ... scrive:
      Re: La veritá é che rosicate e basta
      [img]http://cipe72.files.wordpress.com/2015/02/y1qp9o.jpg[/img]
    • collione scrive:
      Re: La veritá é che rosicate e basta
      tutta la finanza è uno schema Ponzi, indipendentemente da Bitcoinuno dei pochi personaggi che abbia espresso un parere razionale a riguardo, fu l'ex presidente iraniano quando definì la finanza "un casinò legalizzato"
    • pollone scrive:
      Re: La veritá é che rosicate e basta
      - Scritto da: Leo Garlsperi
      Ps: sto portando a casa mezzo milione di euro.
      Ciao polli!Il pollo sei tu, che pensi di essere furbo ad incassare adesso, quando tra 5-10 anni bitcoin varrà almeno 100 volte tanto.
    • evangelizza tore scrive:
      Re: La veritá é che rosicate e basta
      - Scritto da: Leo Garlsperi
      C erano un sacco di soldi da fare. E invece siete
      a belare le stesse XXXXXXX da 9
      anni.

      Ps: sto portando a casa mezzo milione di euro.
      Ciao
      polli!trollata scarsa 1/10
    • FDG scrive:
      Re: La veritá é che rosicate e basta
      - Scritto da: Leo Garlsperi
      Ps: sto portando a casa mezzo milione di euro.
      Ciao
      polli!Portateli subito, prima che scoppi la bolla. Altrimenti rischi di finire con un pugno di mosche in mano.
  • Leo Garlsperi scrive:
    Che articolo penoso
    É veramente un peccato vedere che a distanza di 9 anni ancora non abbiate capito cosa é la blockchain e cosa é la rivoluzionein atto.Siete come la maestra delle elementari che dieva che i pc non servono ad un XXXXX... ahahaha
    • ... scrive:
      Re: Che articolo penoso
      [img]http://primadisvanire.it/wp-content/uploads/2015/03/rzmxpr-300x188.jpg[/img]
    • bubba scrive:
      Re: Che articolo penoso
      - Scritto da: Leo Garlsperi
      É veramente un peccato vedere che a distanza di 9
      anni ancora non abbiate capito cosa é la
      blockchain e cosa é la rivoluzionein
      atto.

      Siete come la maestra delle elementari che dieva
      che i pc non servono ad un XXXXX...
      ahahahadicevano la stessa cosa i tizi dentro btc-e, mtgox, Tradehill, eccTra l'altro l'affaire mtgox si e' "concluso"... il piu gigantico giro di hacking e riciclaggio del pianeta... neanche a dirlo il ladrone e' un russo.. alexander vinnik ... con la collusione di btc-e e altro..
  • 3918faf50a6 scrive:
    Venghino siori
    Si sventolano i guadagni dei fratelli Winklevoss come se fossero lustrini, si fa finta di criticare la bolla speculativa, ma si fa credere ai lettori che ci sono milioni di deficienti che si stanno buttando sulla bolla speculativa. Così senza sXXXXXrsi le mani si fa balenare nella mente dei lettori il miraggio di possibili guadagni speculando sulla stupidità degli altri. Mi sembra tanto di rivedere gli articoli che si pubblicavano poco prima che scoppiasse la bolla della new economy.
    • bubba scrive:
      Re: Venghino siori
      - Scritto da: 3918faf50a6
      Si sventolano i guadagni dei fratelli Winklevoss
      come se fossero lustrini, si fa finta di
      criticare la bolla speculativa, ma si fa credere
      ai lettori che ci sono milioni di deficienti che
      si stanno buttando sulla bolla speculativa. Così
      senza sXXXXXrsi le mani si fa balenare nella
      mente dei lettori il miraggio di possibili
      guadagni speculando sulla stupidità degli altri.

      Mi sembra tanto di rivedere gli articoli che si
      pubblicavano poco prima che scoppiasse la bolla
      della new
      economy.e il bitcoin e' niente... pensa chi spinge i cfd sui bitcoin :) fuffa elevato fuffa
      • collione scrive:
        Re: Venghino siori
        infatti io aspetto cosa succederà domenicagiuro che se Bitcoin non crolla, mi butto pure io nell'affaretanto ormai s'è capito che faranno come per il debito sovrano degli Stati, ovvero calceranno il barattolo ingrossando la bolla ( fin dove possibile )
        • bubba scrive:
          Re: Venghino siori
          - Scritto da: collione
          infatti io aspetto cosa succederà domenica

          giuro che se Bitcoin non crolla, mi butto pure io
          nell'affareperche' proprio domenica? qui tanto ci sono dei pump'n'dump giornalieri (sulle crypto in generale e pure con gli strumenti della finanza 'normale' ormai... cfd, aftermarket, futures )

          tanto ormai s'è capito che faranno come per il
          debito sovrano degli Stati, ovvero calceranno il
          barattolo ingrossando la bolla ( fin dove
          possibile
          )con la differenza che qui e' tutto molto piu' instabile...
          • bubba scrive:
            Re: Venghino siori
            - Scritto da: bubba
            - Scritto da: collione

            infatti io aspetto cosa succederà domenica



            giuro che se Bitcoin non crolla, mi butto pure
            io

            nell'affare
            perche' proprio domenica? mi auto quoto. ah si i futures dei mericani... in effetti si paventa un pump'n'dump al cubo cosi'.. yigh
          • Adam Smith scrive:
            Re: Venghino siori
            Il problema saranno le varie banche che speculando con i future sui bit coin daranno premi miliardari ai manager, quando scoppierà la bolla sarà lo stato a doverli risanare perchè a rischio bancarotta.Dalla bolla dei subprime non è cambiato nulla.
        • FDG scrive:
          Re: Venghino siori
          - Scritto da: collione
          giuro che se Bitcoin non crolla, mi butto pure io
          nell'affareIl problema è capire quando scoppierà la bolla. Tu ci riesci?
          • ... scrive:
            Re: Venghino siori
            - Scritto da: FDG
            Il problema è capire quando scoppierà la bolla.
            Tu ci riesci?Non c'è nessuna bolla. Qui è tutto determinato da principi economico-matematici semplici e chiari.Il valore attuale del BitCoin infatti, è sostanzialmente equivalente al suo market-cap fratto 21 milioni (che è la quantità massima di bitcoins che possono esistere/circolare).Il risultato del suddetto conto, alla capitalizzazione attuale, è di circa $13.3k. Cioè uno scostamento di poco più di $3k dal suo prezzo attuale che si attesta sui $16,6k. Scostamento chiaramente dovuto all'ottimissmo del momento causato dal recente trend al rialzo.
  • bubba scrive:
    e intanto un altro morto...
    e intanto un altro morto...www.nicehash.com (a cryptomining marketplace) e' stato "misteriosamente" hackato... e 62M$ volati via.... altro inside-job o hacker russi?
    • ... scrive:
      Re: e intanto un altro morto...
      - Scritto da: bubba
      altro inside-job o hacker russi?Non si sa, per ora.Certo che usare il loro "finto wallet" interno per risparmiare qualche cents sulle transazioni è da sciocchi.
      • bubba scrive:
        Re: e intanto un altro morto...
        - Scritto da: ...
        - Scritto da: bubba

        altro inside-job o hacker russi?

        Non si sa, per ora.
        Certo che usare il loro "finto wallet" interno
        per risparmiare qualche cents sulle transazioni è
        da
        sciocchi.mah sai... DOPO che e' sucXXXXX qualche disastro, spesso si additano gli utenti come dei XXXXXni che dovevano andare da un altra parte... il problema e' che c'e' un disastro (magari piccolo) al giorno :)
    • collione scrive:
      Re: e intanto un altro morto...
      - Scritto da: bubba
      e intanto un altro morto...
      www.nicehash.com (a cryptomining marketplace) e'
      stato "misteriosamente" hackato... e 62M$ volati
      via.... altro inside-job o hacker
      russi?non hai letto Biden oggi? gli acherrussi hanno pure fatto perdere il referendum costituzionale al bombaquindi si, sono stati gli acherrussi anche in questo casosarà stato Buterin perchè è invidioso dei successi di Bitcoin (rotfl)
      • bubba scrive:
        Re: e intanto un altro morto...
        - Scritto da: collione
        - Scritto da: bubba

        e intanto un altro morto...

        www.nicehash.com (a cryptomining
        marketplace)
        e'

        stato "misteriosamente" hackato... e 62M$
        volati

        via.... altro inside-job o hacker

        russi?

        non hai letto Biden oggi? gli acherrussi hanno
        pure fatto perdere il referendum costituzionale
        al
        bombano.... ho letto pero' di Seleznev jr (il megacarder russo) condannato una seconda volta.... il paparino e' un politico russo amico di putin e non e' molto contento :P
        quindi si, sono stati gli acherrussi anche in
        questo
        casoa proposito di coin slavi... ho letto non so dove che gli sbirri bulgari che avevano fermato una gang autoctona tempo fa, ora si ritrovano i bitcoin sequestrati col valore decuplicato... sara' il caso di venderli, no? :)
        sarà stato Buterin perchè è invidioso dei
        successi di Bitcoin
        (rotfl)naaa butin ha i suoi cfd a cipro che pompano sulle crypto.. lui e' a posto :)
      • FDG scrive:
        Re: e intanto un altro morto...
        - Scritto da: collione
        non hai letto Biden oggi? gli acherrussi hanno
        pure fatto perdere il referendum costituzionale
        al bombaOvviamente #hastatoputin
  • Giuseppe Rossi scrive:
    Messaggio
    Per quei deficenti che mi chiamano per chiedermi di comperarne.Ficcateveli tutti su per l'orifizio degli scarti organici personali!
    • ... scrive:
      Re: Messaggio
      Vuoi scriverne un altro di messaggio per ribadire il concetto? No perché con due mica abbiamo ancora capito.E mi raccomando la XXXXX, non vorrai mica farla mancare nel prossimo messaggio.
  • Giuseppe Rossi scrive:
    Il letame quanto vale?
    Da una analisi oggettiva un pezzo di letame, vale più di tutti i bitcoin e le altre criptovalute.Valore reale zero non c'è nessun bene dietro il bitcoin se non la demenza degli uomini. Niente fiducia niente controvalore. Attendiamo che il morto passi sul fiume.A oriente sono saggi a occidente piace baloccarci con queste schifezze che non valgono realmente nulla!
    • giuseppe chi scrive:
      Re: Il letame quanto vale?
      - Scritto da: Giuseppe Rossi
      Valore reale zero non c'è nessun bene dietro il
      bitcoin se non la demenza degli uomini. Niente
      fiducia niente controvalore.Ma ci sei o ci fai?Il controvalore sta nei $/ che la gente continua a buttarci dentro sugli exchange. Piglia il market-cap attuale e dividilo per la quantità massima possibile di moneta circolante, se non ci credi.
    • collione scrive:
      Re: Il letame quanto vale?
      non c'è nessun bene neanche dietro euro, dollaro, yen, yuan, rubloquindi? la presenza degli Stati come backers non vale molto, dato che le regole le fanno gli oligarchi, molti dei quali sono sicuro hanno comprato Bitcoin a man bassa in questi anni
      • caccia gli script scrive:
        Re: Il letame quanto vale?
        se uno che si chiama collione è sicuro, siamo a posto !!!
      • FDG scrive:
        Re: Il letame quanto vale?
        - Scritto da: collione
        la presenza degli Stati come backers non vale moltoInfatti vale non tanto lo stato in se ma l'economia che ci sta dietro la moneta. Vuoi comprare un bene USA? Compri dollari, quindi li spendi.I bitcoin varranno in funzione della necessità di usarli come moneta per transazioni reali. In un futuro forse varrà. Per ora è una bolla.IMHO, il fatto che non ci sia dietro una banca centrale, preferibilmente sotto controllo democratico, non consente di usare i Bitcoin per farci politica monetaria ed econimica. E questo non mi piace, almeno per certi usi.
Chiudi i commenti