นักพัฒนาแอปแอนดรอยด์ต้องอ่าน! แจ้งเตือนช่องโหว่ "ParseDroid" บนเครื่องมือพัฒนาแอปชื่อดัง
นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบช่องโหว่บนเครื่องมือสำหรับพัฒนาแอปบนแอนดรอยด์หลายรายการซึ่งส่งผลให้ผู้โจมตีสามารถเข้าขโมยไฟล์หรือรันโค้ดที่เป็นอันตรายบนระบบที่ใช้เครื่องมือดังกล่าวได้
ช่องโหว่ ParseDroid แท้จริงนั้นอยู่บนไลบรารีสำหรับอ่านข้อมูล XML ซึ่งใช้กันอยู่ในหลายโปรแกรม โดยไลบรารีดังกล่าวนั้นไม่ได้มีการปิดการอ้างอิงค่าจากภายนอกเมื่อมีการอ่านข้อมูลจากไฟล์ XML และส่งผลให้เกิดการโจมตีที่เรียกว่า XML External Entity (XXE) ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่แก้ไขไฟล์ XML ซักไฟล์ซึ่งอยู่ในแอปและเป็นไฟล์ที่มักจะถูกอ่านโดยโปรแกรมที่มีการใช้งานไลบรารีที่มีช่องโหว่ เช่น ไฟล์ AndroidManifest.xml โดยทันทีที่ไฟล์ XML นั้นถูกอ่าน ผู้โจมตีก็สามารถดำเนินการเข้าถึงและสั่งการระบบดังกล่าวได้ทันที
CheckPoint ยังตรวจพบช่องโหว่ใน APKTool ซึ่งทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้อีกด้วย
โปรแกรมที่ได้รับผลกระทบได้แก่ APKTool, IntelliJ, Eclipse และ Android Studio โดยช่องโหว่นี้ไม่ส่งผลกระทบต่อผู้ใช้งาน แนะนำให้อัพเดตโปรแกรมเป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าวโดยด่วน
Recommendation
แนะนำให้อัพเดตโปรแกรมเป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าวโดยด่วน
ที่มา : bleepingcomputer
You must be logged in to post a comment.