BlueStacks bevatte verschillende 'ernstige' beveiligingsproblemen: populaire mobiele en pc-Android-emulator toegestaan ​​uitvoering van externe code?

BlueStacks, een van de meest populaire en meest gebruikte Android-emulator voor mobiel en pc, had verschillende ernstige beveiligingsproblemen. Door deze bugs konden aanvallers op afstand willekeurige code uitvoeren, toegang krijgen tot persoonlijke informatie en back-ups van de VM (virtuele machine) en zijn gegevens stelen.

BlueStacks, de gratis Android-emulator ondersteund door investeerders, waaronder Intel, AMD, Samsung en Qualcomm, maakte het bestaan ​​van de kwetsbaarheden bekend. Deze bugs kunnen, indien correct misbruikt, aanvallers een manier bieden om op afstand code uit te voeren op kwetsbare systemen. Gezien het feit dat BlueStacks een van de meest gebruikte Android-emulators is, was het risico voor gebruikers behoorlijk groot. Als dat nog niet genoeg is, kunnen de kwetsbaarheden aanvallers ook in staat stellen om op afstand kwaadaardige Android-apps te installeren die vaak worden verspreid via APK's.

Het bedrijf achter de emulator heeft een beveiligingsadvies uitgebracht waarin melding wordt gemaakt van een ernstige beveiligingsbug. Officieel gelabeld CVE-2019-12936, de kwetsbaarheid bestaat binnen het IPC-mechanisme van BlueStacks en een IPC-interface. De kern was het ontbreken van correcte en grondige authenticatieprotocollen. De bug heeft een CVSS-score van 7,1 gekregen, wat een stuk lager is dan de Beveiligingsprobleem in Oracle WebLogic Server dat we onlangs meldden. Het advies luidde: “Een aanvaller kan DNS Rebinding gebruiken om via een kwaadaardige webpagina toegang te krijgen tot het BlueStacks App Player IPC-mechanisme. Van daaruit kunnen verschillende blootgestelde IPC-functies worden misbruikt.”

In wezen stelt de beveiligingsfout aanvallers in staat DNS Rebinding te gebruiken. De werking bevindt zich op het client-side script om de browser van een doelwit om te zetten in een proxy voor aanvallen. De fout verleende toegang tot het BlueStacks App Player IPC-mechanisme. Eenmaal misbruikt, zou de fout uitvoeringen van functies mogelijk maken die vervolgens zouden kunnen worden gebruikt voor een verscheidenheid aan verschillende aanvallen, variërend van het uitvoeren van externe code tot het vrijgeven van informatie. Met andere woorden, een succesvolle exploitatie van de bug kan leiden tot het op afstand uitvoeren van kwaadaardige code, massale informatielekken van het slachtoffer en de diefstal van gegevensback-ups in de emulator. De fout kan ook worden gebruikt om APK's zonder toestemming te installeren op de virtuele BlueStacks-machine. Overigens lijkt de beveiligingsdreiging beperkt tot het slachtoffer en kan het zich blijkbaar niet verspreiden met behulp van de BlueStacks-installatie of -machine van het slachtoffer als een zombie.

Welke BlueStacks-versies worden beïnvloed door het beveiligingslek?

Het is schokkend om op te merken dat de aanval alleen vereist dat het doelwit een kwaadwillende website bezoekt. Het beveiligingslek bestaat in versie 4.80 en lager van de BlueStacks App Player. Het bedrijf heeft een patch uitgebracht om de kwetsbaarheid op te lossen. De patch upgrade de versie van BlueStacks naar 4.90. Gebruikers van de emulator wordt aangeraden de officiële website te bezoeken om hun software te installeren of bij te werken.

Het is enigszins verontrustend om op te merken dat BlueStacks deze fix niet terug zal porten naar versie 2 of 3. Met andere woorden, BlueStacks zal geen patch ontwikkelen voor de archaïsche versies van de emulator. Hoewel het hoogst onwaarschijnlijk is dat veel gebruikers zich aan deze oude releases houden, wordt het ten zeerste aanbevolen dat gebruikers op zijn vroegst naar de nieuwste versie van BlueStacks updaten om hun installaties en gegevens te beschermen.

Het is interessant om op te merken dat BlueStacks kwetsbaar was voor een DNS Rebinding-aanval omdat het een IPC-interface op 127.0.0.1 blootlegde zonder enige authenticatie. Hierdoor kon een aanvaller DNS Rebinding gebruiken om externe opdrachten uit te voeren naar de IPC-server van de BlueStacks-emulator, meldde Bleeping Computer. De aanval maakte het ook mogelijk een back-up te maken van de virtuele BlueStacks-machine en alle gegevens die erop stonden. Het is onnodig om toe te voegen dat de gegevensback-up gemakkelijk gevoelige informatie kan bevatten, waaronder inloggegevens voor verschillende websites en platforms, en ook andere gebruikersgegevens.

BlueStacks heeft het beveiligingslek met succes gepatcht door een IPC-autorisatiesleutel te maken. Deze beveiligde sleutel wordt nu opgeslagen in het register van de computer waarop BlueStacks is geïnstalleerd. Verderop moeten alle IPC-verzoeken die de virtuele machine ontvangt, de authenticatiesleutel bevatten. Als deze sleutel niet aanwezig is, wordt het IPC-verzoek genegeerd, waardoor toegang tot de virtuele machine wordt verhinderd.

Facebook Twitter Google Plus Pinterest