BlueStacks indeholdt flere 'alvorlige' sikkerhedssårbarheder: Populær mobil- og pc-Android-emulator tilladt fjernudførelse af kode?
BlueStacks, en af de mest populære og udbredte mobile og pc-Android-emulatorer, havde flere alvorlige sikkerhedssårbarheder. Disse fejl tillod angribere at udføre ekstern udførelse af vilkårlig kode, få adgang til personlige oplysninger og stjæle sikkerhedskopier af VM (Virtual Machine) og dens data.
BlueStacks, den gratis Android-emulator understøttet af investorer, herunder Intel, AMD, Samsung og Qualcomm, afslørede eksistensen af sårbarhederne. Disse fejl, hvis de udnyttes korrekt, kan potentielt give angribere en måde at udføre kode eksternt på sårbare systemer. I betragtning af at BlueStacks er en af de mest anvendte Android-emulatorer, har risikoen for brugerne været ret alvorlig. Hvis det ikke vedrører nok, kan sårbarhederne også give angribere mulighed for eksternt at installere ondsindede Android-apps, der almindeligvis distribueres via APK'er.
Virksomheden bag emulatoren frigav en sikkerhedsrådgivning, der nævnte eksistensen af en alvorlig sikkerhedsfejl. Officielt mærket CVE-2019-12936 findes sårbarheden inden for BlueStacks 'IPC-mekanisme og en IPC-grænseflade. Kernen var manglende eksistens af korrekte og grundige godkendelsesprotokoller. Fejlen har fået en CVSS-score på 7,1, hvilket er meget lavere end Oracle WebLogic Server sikkerhedssårbarhed som vi for nylig rapporterede. Rådgivningen læste: “En angriber kan bruge DNS Rebinding til at få adgang til BlueStacks App Player IPC-mekanismen via en ondsindet webside. Derfra kan forskellige eksponerede IPC-funktioner misbruges. ”
I det væsentlige tillader sikkerhedsfejl angribere at bruge DNS Rebinding. Funktionen er på scriptet på klientsiden for at gøre et måls browser til en proxy til angreb. Fejlen gav adgang til BlueStacks App Player IPC-mekanismen. Når den først blev udnyttet, ville fejlen muliggøre udførelse af funktioner, som derefter kunne bruges til en række forskellige angreb, der spænder fra fjernkørsel af kode til offentliggørelse af oplysninger. Med andre ord kan en vellykket udnyttelse af fejlen føre til fjernudførelse af ondsindet kode, massive informationslækager fra offeret og tyveri af sikkerhedskopier af data i emulatoren. Fejlen kunne også bruges til at installere APK'er uden tilladelse på BlueStacks virtuelle maskine. I øvrigt ser sikkerhedstruslen ud til at være begrænset til offeret og kan tilsyneladende ikke sprede sig ved hjælp af offerets BlueStacks-installation eller maskine som en zombie.
Hvilke BlueStacks-versioner påvirkes af sikkerhedssårbarheden?
Det er chokerende at bemærke, at angrebet kun kræver, at målet besøger et ondsindet websted. Sikkerhedssårbarheden findes i version 4.80 og derunder af BlueStacks App Player. Virksomheden har udstedt en patch for at løse sårbarheden. Plasteret opgraderer versionen af BlueStacks til 4.90. Brugere af emulatoren anbefales at besøge det officielle websted for at installere eller opdatere deres software.
Det er mildt sagt bekymrende at bemærke, at BlueStacks ikke vil portere denne rettelse til version 2 eller 3. Med andre ord udvikler BlueStacks ikke en patch til de arkaiske versioner af emulatoren. Selvom det er meget usandsynligt, at der er mange brugere, der holder sig til disse gamle udgivelser, anbefales det stærkt, at brugerne opdaterer til den nyeste version af BlueStacks tidligst for at beskytte deres installationer og data.
Det er interessant at bemærke, at BlueStacks var sårbar over for et DNS Rebinding-angreb, fordi det udsatte et IPC-interface på 127.0.0.1 uden nogen godkendelse. Dette tillod en hacker at bruge DNS Rebinding til at udføre fjernkommandoer til IPC-serveren i BlueStacks-emulatoren, rapporterede Bleeping Computer. Angrebet tillod også oprettelse af sikkerhedskopi af BlueStacks virtuelle maskine og alle de data, der var indeholdt i den. Det er overflødigt at tilføje, at sikkerhedskopien af data let kan omfatte følsomme oplysninger, herunder loginoplysninger til forskellige websteder og platforme og andre brugerdata også.
BlueStacks har korrekt patchet sikkerhedssårbarheden ved at oprette en IPC-autorisationsnøgle. Denne sikre nøgle er nu gemt i registreringsdatabasen på den computer, hvor BlueStacks er installeret. Fortsat skal enhver IPC-anmodning, som den virtuelle maskine modtager, indeholde den godkendende nøgle. Hvis denne nøgle ikke indeholder, vil IPC-anmodningen blive kasseret og derved forhindre adgang til den virtuelle maskine.