Les experts en sécurité ont découvert un nouveau mécanisme d'infection Android appelé Man-in-the-Disk attaque. Il profite d'un problème de conception jugé avec le système d'exploitation lui-même qui profite de l'accès au stockage externe. L'abus de cette possibilité peut exposer des données sensibles aux opérateurs criminels.
Android Man-in-the-disque d'attaque permet aux applications d'exposition
Les analystes de sécurité ont détecté un problème de conception dans le système d'exploitation Android qui a conduit à une vulnérabilité. Ceci est rendu possible par un comportement abusif dans les ressources de stockage sont gérées façon. Les analystes notent que “utilisation imprudente” de l'accès de stockage externe peut conduire à des attaques man-in-the-middle. L'utilisation de ces ressources ne déclenche pas la protection de Sandbox qui est un risque de sécurité connue. Le stockage interne du système d'exploitation Android intègre la mémoire intégrée où les données principales de l'application est stockée. lui-même est le stockage externe cloison du stockage interne ou stockage amovible (carte Micro SD).
L'attaque Man-in-the-disque peut être exploité avec presque toute application qui utilise la WRITE_EXTERNAL_STORAGE autorisations. La majorité des applications installées par l'utilisateur populaire utiliser le stockage externe comme un type de mémoire tampon temporaire lors du téléchargement des informations des services Internet. Au fil des années, la pratique de l'utilisation de l'utilisation du stockage externe pour le cache de données de travail est devenu une norme autant de dispositifs ont un espace de stockage interne limité.
La caractéristique unique du stockage externe est que tout processus peut surveiller et donc remplacer les fichiers. Il y a plusieurs scénarios possibles que les acteurs malveillants peuvent tenter:
- Opérations sur les fichiers - Les données et le cache sur la partition trouvé de stockage externe sont accessibles, extrait ou modifié.
- Modification du comportement - En manipulant certaines valeurs des fichiers de configuration ou des paramètres temporaires les pirates peuvent induire un comportement inattendu. Cela peut conduire à des accidents d'application et un changement des applications façon de fonctionner.
Après enquête de l'Homme-in-the-Disk question les analystes ont utilisé une technique de fuzzing afin de tester des vulnérabilités spécifiques. Un test a été fait à l'aide d'un outil adapté lors de l'exécution des bibliothèques natives Android dans un cadre de l'émulateur. Cet environnement permet la démonstration du problème dans plusieurs applications populaires.
Un premier exemple est la Google Translate app qui télécharge et détient les paquets de traduction dans la partition de stockage externe. Quand abusant de l'attaque Man-in-the-disque les pirates potentiels peuvent générer un binaire voyous qui peut remplacer les données d'origine. Cela peut peut planter l'application ou entraîner des modifications des résultats retournés. Une approche similaire est utilisée par Assistance Google Voice.
des applications non-Google sont également touchés, un exemple est le Xiaomi Browser. Il est programmé pour télécharger un fichier APK auto-mise à jour. Cela signifie que les attaquants peuvent écraser les fichiers APK en les remplaçant ainsi avec le code voyous. Deux outils populaires tels que Yandex Traduire et Yandex Recherche ont été trouvés vulnérables.
Cette brève analyse montre que de nombreuses applications peuvent être exploitées par l'homme-in-the-disque Android attaque. Le problème ici est que c'est un problème de conception avec Android. Les applications peuvent affiner leur accès mais cela ne supprime pas la partition de stockage externe, la possibilité d'exploiter la vulnérabilité trouvée. Un cas classique qui peut être exploité est la coordination d'un homme-in-the-disque scénario attaque. Il peut commencer par l'affichage d'une application vulnérable sur le Google Play Store (ou un autre dépôt) à partir de laquelle il peut acquérir des autorisations d'accès de stockage externe, télécharger une application voyous / malveillants qui peuvent dépasser l'hôte infecté. les interactions complexes de logiciels malveillants peuvent inclure une escalade de privilège et d'autres actions.
Mise à jour: Suite à la divulgation publique des vulnerabiliites Google a reconnu qu'ils travaillent avec les développeurs de logiciels pour fixer les applications vulnérables. Les chercheurs en sécurité qui ont été impliqués dans le processus sont également approchent les fabricants de logiciels en les alertant des problèmes. Cependant, certains d'entre eux ont choisi de ne pas aborder les problèmes dans une mise à jour de sécurité urgente poussant la sortie à une date ultérieure avec une version de version mineure à une date ultérieure.