Android开发工具中存在高危安全漏洞，ParseDroid攻击曝光

据国外网络安全公司的研究人员发现，在Android开发人员所使用的工具当中被发现存在高危级别的安全漏洞，攻击者能够利用该漏洞窃取开发者文件并在设备上执行恶意代码，这种攻击方式被称之为ParseDroid。

据悉，多款常用的Android开发工具都会受到该漏洞影响，其中包括谷歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse开发工具。该漏洞同样还会影响到这些开发工具的逆向工程工具，例如APKTool服务等。

研究人员在报告中还指出，ParseDroid攻击触发的原因是由于影响了各个项目当中的XML解析库，该解析库在解析一个XML文件时并不会禁用外部实体应用，因此攻击者就能够利用该XML外部实体漏洞(XEE)。

据研究发现，攻击者利用ParseDroid能够有效传送Payload，因此能在受害者未知的情况下窃取受保护的文件，这种攻击方式同样被克隆至多种不同的开发环境与工具当中。同时APKTool配置文件中还存在另一项安全漏洞，该漏洞能允许攻击者在受害用户的计算机上远程执行代码来获取计算机的控制权。

更令人担忧的是，攻击者还可以通过恶意AndroidManifest.xml文件检索受害用户电脑中的任意文件，这是由于Android的所有应用都包含了一个AndroidManifest.xml文件，殊不知该文件也成了恶意代码的藏身之处。另需要提醒的是，如果使用APKTool、Android Studio等开发工具打开恶意AndroidManifest.xml文件时，攻击者就能够窃取本地文件。

目前受影响开发工具的部分公司都推出了修复补丁，但是并非所有开发工具都推出了。有相关疑问的开发者可以移步至开发工具网站进一步了解。