以色列網絡安全公司Check Point軟件技術有限公司發現，Android開發人員使用的工具中存在一系列高危安全漏洞，允許攻擊者竊取文件并在脆弱設備上執行惡意代碼。研究人員12月4日公布PoC，并將這種攻擊途徑稱之為“ParseDroid”。

多款常見Android開發工具受漏洞影響，包括谷歌的Android Studio、JetBrains的IntelliJ IDEA和Eclipse。這些漏洞亦會影響到各逆向工程工具，例如APKTool以及Cuckoo-Droid服務等。

研究人員在發布的報告中指出，ParseDroid影響AFKTool、IntelliJ、Eclipse和Android Studio等項目中包含的XML解析庫。這個庫在解析一個XML文件時不會禁用外部實體引用，因此攻擊者能夠利用這個典型的XML外部實體 (XXE) 漏洞。這一問題的根源在于各類流行開發工具所廣泛采用的XML解析器“DocumentBuilderFactory”存在安全漏洞。

研究人員們反復強調，攻擊者能夠有效傳送Payload，而后在無需驚動受害者的前提下順利竊取受保護文件。這種攻擊途徑亦被克隆至其它多種不同開發環境與工具當中。

APKTool配置文件中的另一項安全漏洞則允許攻擊者在受害者計算機上遠程執行代碼，從而將控制權全面移交到黑客手中。

研究人員指出，漏洞影響用戶的整個OS文件系統，攻擊者可以通過惡意AndroidManifest.xml文件檢索受害者電腦中的任何文件。所有Android應用程序都包含一個AndroidManifest.xml文件，而它卻是隱藏惡意代碼的絕佳之地。如果使用APKTool、IntelliJ、Eclipse或Android Studio打開含有惡意AndroidManifest.xml的文件，攻擊者便可以竊取本地文件。

Check Point今年5月向APKTool的開發人員和其它IDE公司報告了漏洞，谷歌和JetBrains已陸續發布相關修復程序。

過去一年中，多輪供應鏈網絡攻擊輪番襲來，其中也包括針對CCleaner與Notepad++的攻擊活動。其目標在于首先獲取接入通道，而后再對用戶及企業實施打擊。Check Point公司發現的安全漏洞亦曝光了全球規模最大的軟件開發者社區——Android開發者群體所面臨的一系列潛在攻擊，以及由此給最終用戶帶來的廣泛風險。