Android App Developers at Risk of Attacks via ParseDroid Vulnerability

นักพัฒนาแอปแอนดรอยด์ต้องอ่าน! แจ้งเตือนช่องโหว่ "ParseDroid" บนเครื่องมือพัฒนาแอปชื่อดัง

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบช่องโหว่บนเครื่องมือสำหรับพัฒนาแอปบนแอนดรอยด์หลายรายการซึ่งส่งผลให้ผู้โจมตีสามารถเข้าขโมยไฟล์หรือรันโค้ดที่เป็นอันตรายบนระบบที่ใช้เครื่องมือดังกล่าวได้

ช่องโหว่ ParseDroid แท้จริงนั้นอยู่บนไลบรารีสำหรับอ่านข้อมูล XML ซึ่งใช้กันอยู่ในหลายโปรแกรม โดยไลบรารีดังกล่าวนั้นไม่ได้มีการปิดการอ้างอิงค่าจากภายนอกเมื่อมีการอ่านข้อมูลจากไฟล์ XML และส่งผลให้เกิดการโจมตีที่เรียกว่า XML External Entity (XXE) ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่แก้ไขไฟล์ XML ซักไฟล์ซึ่งอยู่ในแอปและเป็นไฟล์ที่มักจะถูกอ่านโดยโปรแกรมที่มีการใช้งานไลบรารีที่มีช่องโหว่ เช่น ไฟล์ AndroidManifest.

Read more