BlueStacks Birkaç "Ağır" Güvenlik Açıklığı İçeriyor: Popüler Mobil ve PC Android Emülatörü Uzaktan Kod Yürütülmesine İzin Veriliyor mu?

En popüler ve yaygın olarak kullanılan mobil ve PC Android öykünücülerinden biri olan BlueStacks, birkaç ciddi güvenlik açığına sahipti. Bu hatalar, saldırganların uzaktan rastgele kod yürütmesine, kişisel bilgilere erişmesine ve VM'nin (Sanal Makine) ve verilerinin yedeklerini çalmasına izin verdi.

Intel, AMD, Samsung ve Qualcomm gibi yatırımcılar tarafından desteklenen ücretsiz Android öykünücüsü BlueStacks, güvenlik açıklarının varlığını açıkladı. Bu hatalardan doğru şekilde yararlanılırsa, saldırganlara savunmasız sistemlerde uzaktan kod yürütme olanağı sağlayabilir. BlueStacks'in en yaygın kullanılan Android emülatörlerinden biri olduğu gerçeği göz önüne alındığında, kullanıcılar için risk oldukça ciddi olmuştur. Bu yeterli değilse, güvenlik açıkları saldırganların APK'lar aracılığıyla yaygın olarak dağıtılan kötü amaçlı Android uygulamalarını uzaktan yüklemesine de izin verebilir.

Emülatörün arkasındaki şirket, ciddi bir güvenlik hatasının varlığından bahseden bir güvenlik danışma belgesi yayınladı. Resmi olarak CVE-2019-12936 olarak etiketlenen güvenlik açığı, BlueStacks'in IPC mekanizmasında ve bir IPC arayüzünde bulunmaktadır. Özünde, doğru ve eksiksiz kimlik doğrulama protokollerinin yokluğu vardı. Hataya, 7.1'lik bir CVSS puanı verildi; bu, öncekinden çok daha düşük. Oracle WebLogic Server güvenlik açığı yakın zamanda bildirdiğimiz Danışma belgesinde şunlar yazıyor: "Bir saldırgan, kötü amaçlı bir web sayfası aracılığıyla BlueStacks App Player IPC mekanizmasına erişmek için DNS Yeniden Bağlama'yı kullanabilir. Oradan, açıkta kalan çeşitli IPC işlevleri kötüye kullanılabilir.”

Esasen, güvenlik açığı, saldırganların DNS Yeniden Bağlama kullanmasına izin verir. İşlev, bir hedefin tarayıcısını saldırılar için bir proxy'ye dönüştürmek için istemci tarafı komut dosyasındadır. Hata, BlueStacks App Player IPC mekanizmasına erişim sağladı. Açıktan yararlanıldığında, kusur, daha sonra uzaktan kod yürütmeden bilgi ifşasına kadar çeşitli farklı saldırılar için kullanılabilecek işlevlerin yürütülmesine izin verecektir. Başka bir deyişle, hatadan başarılı bir şekilde yararlanılması, kötü amaçlı kodun uzaktan yürütülmesine, kurbanın büyük bilgi sızıntılarına ve öykünücüdeki veri yedeklerinin çalınmasına neden olabilir. Kusur, BlueStacks sanal makinesine yetkisiz olarak APK yüklemek için de kullanılabilir. Bu arada, güvenlik tehdidi kurbanla sınırlı görünüyor ve görünüşe göre kurbanın BlueStacks kurulumunu veya makinesini zombi olarak kullanarak yayılamıyor.

Güvenlik Açığından Hangi BlueStacks Sürümleri Etkilenir?

Saldırının yalnızca hedefin kötü amaçlı bir web sitesini ziyaret etmesini gerektirdiğini belirtmek şok edicidir. Güvenlik açığı, BlueStacks App Player'ın 4.80 ve altı sürümünde bulunmaktadır. Şirket, güvenlik açığını gidermek için bir yama yayınladı. Yama, BlueStacks sürümünü 4.90'a yükseltiyor. Emülatör kullanıcılarının, yazılımlarını yüklemek veya güncellemek için resmi web sitesini ziyaret etmeleri önerilir.

BlueStacks'in bu düzeltmeyi sürüm 2 veya 3'e geri taşımayacağını belirtmek biraz endişe verici. Başka bir deyişle, BlueStacks öykünücünün eski sürümleri için bir yama geliştirmeyecek. Bu eski sürümlere bağlı kalan pek çok kullanıcının olması pek olası olmasa da, kullanıcıların kurulumlarını ve verilerini korumak için en kısa zamanda BlueStacks'in en son sürümüne güncelleme yapmaları şiddetle tavsiye edilir.

BlueStacks'in 127.0.0.1'de herhangi bir kimlik doğrulaması olmadan bir IPC arayüzünü açığa çıkardığı için DNS Yeniden Bağlama saldırısına karşı savunmasız olduğunu belirtmek ilginçtir. Bleeping Computer, bu, bir saldırganın BlueStacks emülatörünün IPC sunucusuna uzaktan komutlar yürütmek için DNS Yeniden Bağlama özelliğini kullanmasına izin verdi. Saldırı ayrıca BlueStacks sanal makinesinin ve içerdiği tüm verilerin yedeğinin oluşturulmasına da izin verdi. Eklemeye gerek yok, veri yedeklemesi, çeşitli web sitelerine ve platformlara giriş kimlik bilgileri ve diğer kullanıcı verileri de dahil olmak üzere hassas bilgileri kolayca içerebilir.

BlueStacks, bir IPC yetkilendirme anahtarı oluşturarak güvenlik açığını başarıyla düzeltti. Bu güvenli anahtar artık BlueStacks'in kurulu olduğu bilgisayarın Kayıt Defterinde saklanmaktadır. İleriye dönük olarak, sanal makinenin aldığı tüm IPC isteklerinin kimlik doğrulama anahtarını içermesi gerekir. Bu anahtarı içeremezse, IPC isteği atılır ve böylece sanal makineye erişim engellenir.

Facebook Twitter Google Plus Pinterest