セキュリティの専門家は、Man-in-the-Disk攻撃と呼ばれる新しいAndroid感染メカニズムを発見しました. 外部ストレージアクセスを利用するオペレーティングシステム自体にあることが判明した設計上の問題を利用します. この可能性を悪用すると、機密データが犯罪者に公開される可能性があります.
AndroidのMan-in-the-Disk攻撃により、アプリの露出が可能になります
セキュリティアナリストは、脆弱性につながるAndroidオペレーティングシステムの設計上の問題を検出しました. これは、ストレージリソースの処理方法における不正な動作によって可能になります. アナリストは次のように述べています “不注意な使用” 外部ストレージへのアクセスが中間者攻撃につながる可能性があります. このようなリソースを使用しても、既知のセキュリティリスクであるサンドボックス保護はアクティブになりません。. Androidオペレーティングシステムの内部ストレージは、メインアプリケーションデータが保存されている内蔵メモリを統合します. 外部ストレージ自体は パーティション 内部ストレージまたはリムーバブルストレージの (microSDカード).
Man-in-the-Disk攻撃は、 WRITE_EXTERNAL_STORAGE 権限. 人気のあるユーザーインストールアプリケーションの大部分は、インターネットサービスから情報をダウンロードするときに、一時的なバッファの一種として外部ストレージを使用します. 多くのデバイスの内部スペースストレージが限られているため、長年にわたって、作業データキャッシュに外部ストレージを使用する方法が一般的になっています。.
外部ストレージのユニークな特徴は、どのプロセスでもそれを監視できるため、ファイルを上書きできることです。. 悪意のある攻撃者が試みる可能性のあるいくつかのケースシナリオがあります:
- ファイル操作 —外部ストレージパーティションで見つかったデータとキャッシュにアクセスできます, 取得または変更.
- 行動変容 —構成ファイルまたは一時的な設定の特定の値を操作することにより、ハッカーは予期しない動作を引き起こす可能性があります. これにより、アプリケーションがクラッシュしたり、アプリケーションの実行方法が変更されたりする可能性があります。.
Man-in-the-Diskの問題をさらに調査すると、アナリストは特定の脆弱性をテストするためにファジング手法を使用しました。. エミュレーター設定でネイティブAndroidライブラリーを実行するときに、適合ツールを使用してテストが行われました。. この環境では、いくつかの一般的なアプリケーションで問題を実証できます.
代表的な例は Google翻訳アプリ 外部ストレージパーティションに言語翻訳パッケージをダウンロードして保持します. Man-in-the-Disk攻撃を悪用すると、潜在的なハッカーが元のデータを上書きする可能性のある不正なバイナリを生成する可能性があります. これにより、アプリケーションがクラッシュしたり、返された結果が変更されたりする可能性があります. 同様のアプローチがによって使用されます GoogleVoiceアシスタンス.
Google以外のアプリも影響を受けます, 例は Xiaomiブラウザ. 自己更新されたAPKファイルをダウンロードするようにプログラムされています. これは、攻撃者がAPKファイルを上書きして、不正なコードに置き換えることができることを意味します. 次のような2つの人気のあるツール ヤンデックス翻訳 と Yandex検索 脆弱であることが判明しました.
この簡単な分析は、AndroidMan-in-the-Disk攻撃を介して多くのアプリケーションが悪用される可能性があることを示しています. ここでの問題は、これがAndroidの設計上の問題であるということです. アプリは外部ストレージパーティションへのアクセスを微調整できますが、これによって検出された脆弱性を悪用する可能性が排除されることはありません。. 悪用される可能性のある典型的なケースは、Man-in-the-Disk攻撃シナリオの調整です。. 脆弱なアプリをGooglePlayストアに投稿することから始めることができます (または別のリポジトリ) そこから外部ストレージ権限アクセスを取得できます, 感染したホストを追い抜く可能性のある不正/悪意のあるアプリケーションをダウンロードする. 複雑なマルウェアの相互作用には、特権の昇格やその他の関連するアクションが含まれる場合があります.
アップデート: 脆弱性の公開に続いて、Googleは、脆弱なアプリの修正にソフトウェア開発者と協力していることを認めました. このプロセスに関与したセキュリティ研究者は、ソフトウェアメーカーに問題を警告するように働きかけています。. ただし、一部のユーザーは、緊急のセキュリティ更新プログラムで問題に対処せず、リリースを後日リリースし、マイナーバージョンリリースを後日リリースすることを選択しました。.