Эксперты Check Point выявили ошибку в библиотеке парсинга XML, которая включена в такие утилиты для разработки, как Android Studio, APKTool, Eclipse и IntelliJ. Уязвимость ParseDroid дает хакеру возможность красть файлы и выполнять код на уязвимой системе.
Как утверждают специалисты, ParseDroid дает киберпреступнику доступ к файловой системе и позволяет извлекать любую информацию с устройства, используя вредоносный файл AndroidManifest.xml.
Кибератака является несложной в организации, поскольку вредоносный код XML может быть скрыт как в AndroidManifest.xml, так и в других файлах. Также в Android есть возможность клонировать приложения других разработчиков, что может быть использовано злоумышленником. Например, он может опубликовать на GitHub и иных схожих ресурсах вредоносный код, замаскированный под открытые шаблоны приложений и библиотеки, и провести атаку на тысячи пользователей, не затрачивая большой объем ресурсов.
Специалисты сообщили разработчиков уязвимых утилит о проблеме. Патчи, устраняющие ошибку, уже появились в открытом доступе. Разработчики, пользующиеся Android Studio, APKTool, Eclipse и IntelliJ, должны обновить эти инструменты.
