BlueStacks innehöll flera ”svåra” säkerhetsproblem: Populär mobil- och PC-Android-emulator tillåten fjärrkörning av kod?

BlueStacks, en av de mest populära och mest använda Android- och PC-Android-emulatorerna, hade flera allvarliga säkerhetsproblem. Dessa buggar tillät angripare att utföra exekvering av godtycklig kod fjärråtkomst, få tillgång till personlig information och stjäla säkerhetskopior av den virtuella datorn (Virtual Machine) och dess data.

BlueStacks, den gratis Android-emulatorn som stöds av investerare inklusive Intel, AMD, Samsung och Qualcomm, avslöjade att det finns sårbarheter. Dessa fel, om de utnyttjas korrekt, kan potentiellt ge angripare ett sätt att fjärrköra kod på utsatta system. Med tanke på att BlueStacks är en av de mest använda Android-emulatorerna har risken för användarna varit ganska allvarlig. Om det inte räcker tillräckligt kan sårbarheterna också göra det möjligt för angripare att fjärrinstallera skadliga Android-appar som vanligtvis distribueras via APK-filer.

Företaget bakom emulatorn släppte en säkerhetsrådgivning som nämnde förekomsten av en allvarlig säkerhetsbugg. Officiellt märkt CVE-2019-12936 finns sårbarheten inom BlueStacks IPC-mekanism och ett IPC-gränssnitt. Kärnan var att det inte fanns några korrekta och noggranna autentiseringsprotokoll. Felet har fått en CVSS-poäng på 7.1, vilket är mycket lägre än Oracle WebLogic Server säkerhetsproblem som vi nyligen rapporterade. Rådgivningen lyder: ”En angripare kan använda DNS Rebinding för att få tillgång till BlueStacks App Player IPC-mekanism via en skadlig webbsida. Därifrån kan olika exponerade IPC-funktioner missbrukas. ”

I huvudsak tillåter säkerhetsfel angripare att använda DNS Rebinding. Funktionen finns på klientsidan för att förvandla ett måls webbläsare till en proxy för attacker. Felet gav åtkomst till BlueStacks App Player IPC-mekanism. När den väl utnyttjats skulle felet möjliggöra körningar av funktioner som sedan kan användas för en mängd olika attacker, allt från exekvering av fjärrkod till offentliggörande av information. Med andra ord kan ett lyckat utnyttjande av felet leda till fjärrkörning av skadlig kod, massiva informationsläckor från offret och stöld av säkerhetskopior av data i emulatorn. Felet kan också användas för att installera APK-filer utan tillstånd på BlueStacks virtuella maskin. För övrigt verkar säkerhetshotet begränsat till offret och kan tydligen inte spridas med offrets BlueStacks-installation eller maskin som en zombie.

Vilka BlueStacks-versioner påverkas av säkerhetsproblemet?

Det är chockerande att notera att attacken bara kräver att målet besöker en skadlig webbplats. Säkerhetsproblemet finns i version 4.80 och nedan av BlueStacks App Player. Företaget har utfärdat en korrigeringsfil för att lösa sårbarheten. Plåstret uppgraderar versionen av BlueStacks till 4,90. Användare av emulatorn rekommenderas att besöka den officiella webbplatsen för att installera eller uppdatera sin programvara.

Det är milt bekymmersamt att notera att BlueStacks inte kommer att portera denna fix till version 2 eller 3. Med andra ord kommer BlueStacks inte att utveckla en patch för de arkaiska versionerna av emulatorn. Även om det är mycket osannolikt att det finns många användare som håller fast vid dessa forntida versioner, rekommenderas det starkt att användare uppdaterar till den senaste versionen av BlueStacks tidigast för att skydda sina installationer och data.

Det är intressant att notera att BlueStacks var sårbart för en DNS Rebinding-attack eftersom den exponerade ett IPC-gränssnitt 127.0.0.1 utan någon autentisering. Detta gjorde det möjligt för en angripare att använda DNS Rebinding för att utföra fjärrkommandon till IPC-servern i BlueStacks-emulatorn, rapporterade Bleeping Computer. Attacken gjorde det också möjligt att skapa säkerhetskopiering av BlueStacks virtuella maskin och all data som fanns i den. Det behöver inte läggas till att säkerhetskopian av data enkelt kan inkludera känslig information inklusive inloggningsuppgifter till olika webbplatser och plattformar och andra användardata också.

BlueStacks har framgångsrikt korrigerat säkerhetsproblemet genom att skapa en IPC-auktoriseringsnyckel. Den här säkra nyckeln lagras nu i registret på den dator där BlueStacks är installerad. Framåt måste alla IPC-förfrågningar som den virtuella maskinen tar emot innehålla autentiseringsnyckeln. Om den här nyckeln inte innehåller kommer IPC-förfrågan att kasseras och därmed förhindras åtkomst till den virtuella maskinen.

Facebook Twitter Google Plus Pinterest