BlueStacks inneholdt flere 'alvorlige' sikkerhetsproblemer: Populær mobil- og PC-Android-emulator tillatt ekstern kjøring av kode?
BlueStacks, en av de mest populære og mest brukte Android- og PC-emulatorene, hadde flere alvorlige sikkerhetsproblemer. Disse feilene tillot angripere å utføre ekstern kjøring av vilkårlig kode, få tilgang til personlig informasjon og stjele sikkerhetskopier av VM (Virtual Machine) og dens data.
BlueStacks, den gratis Android-emulatoren støttet av investorer, inkludert Intel, AMD, Samsung og Qualcomm, avslørte eksistensen av sårbarhetene. Disse feilene, hvis de utnyttes riktig, kan potensielt gi angripere en måte å eksternt utføre kode på sårbare systemer. Gitt at BlueStacks er en av de mest brukte Android-emulatorene, har risikoen for brukerne vært ganske alvorlig. Hvis det ikke er nok, kan sårbarhetene også gjøre det mulig for angripere å installere ondsinnede Android-apper eksternt, ofte distribuert gjennom APK-er.
Selskapet bak emulatoren ga ut en sikkerhetsrådgivning som nevnte eksistensen av en alvorlig sikkerhetsfeil. Offisielt merket CVE-2019-12936, eksisterer sårbarheten i BlueStacks ’IPC-mekanisme og et IPC-grensesnitt. Kjernen var mangelen på korrekte og grundige autentiseringsprotokoller. Feilen har fått en CVSS-poengsum på 7,1, som er mye lavere enn Oracle WebLogic Server sikkerhetsproblem som vi nylig rapporterte. Rådgiveren leste: “En angriper kan bruke DNS Rebinding for å få tilgang til BlueStacks App Player IPC-mekanismen via en ondsinnet webside. Derfra kan ulike eksponerte IPC-funksjoner misbrukes. ”
I hovedsak tillater sikkerhetsfeilen angripere å bruke DNS Rebinding. Funksjonen er på skriptet på klientsiden for å gjøre nettleseren til et mål til en proxy for angrep. Feilen ga tilgang til BlueStacks App Player IPC-mekanisme. Når den først er utnyttet, vil feilen tillate kjøring av funksjoner som deretter kan brukes til en rekke forskjellige angrep, alt fra ekstern kjøring av kode til informasjonsinformasjon. Med andre ord, en vellykket utnyttelse av feilen kan føre til ekstern kjøring av ondsinnet kode, massive informasjonslekkasjer fra offeret og tyveri av datasikkerhetskopier i emulatoren. Feilen kan også brukes til å installere APK-er uten autorisasjon på BlueStacks virtuelle maskin. Forresten ser sikkerhetstrusselen ut til å være begrenset til offeret og kan tilsynelatende ikke spre seg ved å bruke offerets BlueStacks-installasjon eller maskin som en zombie.
Hvilke BlueStacks-versjoner påvirkes av sikkerhetsproblemet?
Det er sjokkerende å merke seg at angrepet bare krever at målet besøker et ondsinnet nettsted. Sikkerhetsproblemet finnes i versjonen 4.80 og nedenfor av BlueStacks App Player. Selskapet har utstedt en oppdatering for å løse sårbarheten. Oppdateringen oppgraderer versjonen av BlueStacks til 4,90. Brukere av emulatoren anbefales å besøke det offisielle nettstedet for å installere eller oppdatere programvaren.
Det er mildt sagt bekymringsfullt å merke seg at BlueStacks ikke vil portere denne løsningen til versjoner 2 eller 3. Med andre ord, BlueStacks vil ikke utvikle en patch for de arkaiske versjonene av emulatoren. Selv om det er svært lite sannsynlig at det er mange brukere som holder seg til disse eldgamle utgivelsene, anbefales det på det sterkeste at brukere tidligst oppdaterer til den nyeste versjonen av BlueStacks for å sikre installasjonene og dataene.
Det er interessant å merke seg at BlueStacks var sårbart for et DNS Rebinding-angrep fordi det eksponerte et IPC-grensesnitt på 127.0.0.1 uten noen godkjenning. Dette tillot en angriper å bruke DNS Rebinding til å utføre eksterne kommandoer til IPC-serveren til BlueStacks-emulatoren, rapporterte Bleeping Computer. Angrepet tillot også oppretting av sikkerhetskopi av BlueStacks virtuelle maskin, og alle dataene som var inneholdt i den. Unødvendig å legge til, kan sikkerhetskopien av data lett inkludere sensitiv informasjon, inkludert påloggingsinformasjon til forskjellige nettsteder og plattformer, og andre brukerdata også.
BlueStacks har patchet sikkerhetsproblemet ved å opprette en IPC-autorisasjonsnøkkel. Denne sikre nøkkelen er nå lagret i registeret til datamaskinen som BlueStacks er installert på. Fremover må alle IPC-forespørsler som den virtuelle maskinen mottar inneholde autentiseringsnøkkelen. Unnlater å inneholde denne nøkkelen, vil IPC-forespørselen kastes, og dermed forhindre tilgang til den virtuelle maskinen.