Šta se desilo?

Bezbednosni istraživači su otkrili ozbiljnu ranjivost u Apktool verzija 3.0.0 i 3.0.1 - alata koji se koristi za reverzno inženjerstvo Android APK datoteka. Problem je rezultat greške u kodu koji obrađuje resurse iz APK datoteka i omogućava napadaču da upiše datoteke na proizvoljna mesta na sistemu.

Koga pogađa?

Programeri, bezbednosni istraživači i analitičari koji koriste Apktool za analizu Android aplikacija direktno su izloženi riziku. Ako neko koristi ove alate za otpakivanje potencijalno zlonamerne APK datoteke, njegov sistem može biti kompromitovan. Rizik je posebno veliki jer se ranjivost može iskoristiti čitanjem običnih APK datoteka.

Kako se zaštititi?

  • Odmah ažurirajte Apktool na verziju 3.0.2 ili noviju
  • Analizirajte APK datoteke samo od pouzdanih izvora
  • Koristite izolovanu okruženja (virtuelne mašine) pri analizi nepoznatih APK datoteka
  • Ograničite dozvole korisničkog naloga na kojem izvršavate Apktool
  • Pratite službene kanale Apktool projekta za bezbednosna ažuriranja

Tehnički detalji

CVE-2026-39973 sa CVSS skorom 7.1 (visoka ozbiljnost) uključuje Path Traversal ranjivost u `ResFileDecoder.java` komponenti. Problem je prouzrokovan uklanjanjem bezbednosne provere `BrutIO.sanitizePath()` u verziji 3.0.0, što je otvorilo mogućnost da napadač ugradi `../` sekvence u `resources.arsc` Type String Pool sekciju APK datoteke. Na ovaj način se izvršava pobeg iz očekivanog direktorijuma i pisanje datoteka na proizvoljna mesta - uključujući SSH konfiguracije, shell skripte za pokretanje ili direktorijume za Windows startap aplikacije, što može dovesti do izvršavanja proizvoljnog koda (RCE). Verzija 3.0.2 vraća zaštitnu proveru pre nego što se datoteke napišu na disk.

Preporuka Sajber Radara

Ova ranjivost je ozbiljna i zahteva hitno ažuriranje. Ako koristite Apktool u proizvodnom okruženju, prioritizujte nadogradnju na verziju 3.0.2 ili noviju. Bez obzira na verziju koju koristite, nikada ne analizirajte APK datoteke iz nepouzdanih izvora bez prethodnog bezbednosnog skeniranja.