セキュリティ研究者は、Android プログラマーが使用する開発ツールと環境にいくつかの欠陥を発見しました。
この欠陥が悪用されると、ハッカーが開発環境を悪用し、正規のアプリの開発者に知られることなく、悪意のあるコード(アドウェアや暗号通貨マイナーなど)を正規のアプリに挿入できるようになります。
Avastは、ハッキングされたビルドボックスがCCleanerの災害を引き起こした後、開発者にツールチェーンのセキュリティ保護を促している。
続きを読む
Check Pointのセキュリティ研究者によると、Java/Androidプログラマーが企業のビジネスアプリケーション開発に使用しているダウンロード型およびクラウドベースのツールに脆弱性があるという。幸いにも、ソフトウェアツールメーカーによる迅速な対応により、今年初めにAvastが誤ってCleanerツールのバックドア版を提供してしまったようなセキュリティ上の失態の再発は防がれた。
具体的には、Check Point のチームは、最も一般的な Android 統合開発環境 (IDE) である Google の Android Studio、JetBrains の IntelliJ IDEA および Eclipse、さらに APKTool、Cuckoo-Droid サービスなど Android アプリケーションの主要なリバース エンジニアリング ツールに影響する複数の脆弱性を発見しました。
研究者らの最初の発見はAPKToolで、設定されたXMLパーサーがプログラム内でXMLファイルを解析する際に外部エンティティ参照を無効化していなかったことが判明しました。Check Point社は、「この脆弱性により、APKToolユーザーのOSファイルシステム全体が危険にさらされた」と述べています。
チームはさらに、他のプロジェクト、具体的には Android アプリケーションの構築に使用される最も一般的な IDE 内で、XML パーサーの複数の脆弱な実装を発見しました。
Check Point 社は、2017 年 5 月に APKTool 開発者と他の IDE 企業にこの発見を報告しました。Google 社と JetBrains 社はセキュリティ問題を検証して認識し、その後、製品のセキュリティを強化するために修正プログラムを導入しました。
Check Point チームは APKTool 開発者および IDE 企業にも連絡を取り、セキュリティ問題を修正して製品の更新バージョンをリリースしてもらいました。®
