Especialistas em segurança descobriram um novo mecanismo de infecção Android chamado de Man-in-the-Disk ataque. Ela tira proveito de um problema de design encontrado para ser com o próprio sistema operacional que tira proveito do acesso de armazenamento externo. O abuso dessa possibilidade pode expor dados confidenciais aos operadores criminosos.
Android Man-in-the-Disk Attack permite a exposição de aplicativos
Os analistas de segurança detectaram um problema de design no sistema operacional Android que levou a uma vulnerabilidade. Isso é possível devido a um comportamento abusivo na forma como os recursos de armazenamento são tratados. Os analistas observam que “uso descuidado” do acesso ao armazenamento externo pode levar a ataques man-in-the-middle. O uso de tais recursos não ativa a proteção Sandbox, que é um risco de segurança conhecido. O armazenamento interno do sistema operacional Android integra a memória interna onde os principais dados do aplicativo são armazenados. o próprio armazenamento externo é o partição do armazenamento interno ou armazenamento removível (cartão microSD).
O ataque Man-in-the-Disk pode ser explorado com quase qualquer aplicativo que utiliza o WRITE_EXTERNAL_STORAGE permissões. A maioria dos aplicativos populares instalados pelo usuário usa o armazenamento externo como um tipo de buffer temporário ao baixar informações de serviços de Internet. Ao longo dos anos, a prática de usar o armazenamento externo para o cache de dados de trabalho tornou-se uma norma, pois muitos dispositivos têm um espaço de armazenamento interno limitado.
A característica única do armazenamento externo é que qualquer processo pode monitorá-lo e, portanto, sobrescrever arquivos. Existem vários cenários de casos possíveis que os agentes mal-intencionados podem tentar:
- Operações de arquivo - Dados e cache encontrados na partição de armazenamento externo podem ser acessados, recuperado ou modificado.
- Modificação comportamental - Ao manipular certos valores de arquivos de configuração ou configurações temporárias, os hackers podem induzir um comportamento inesperado. Isso pode levar a travamentos do aplicativo e uma mudança na forma como os aplicativos são executados.
Após uma investigação mais aprofundada do problema Man-in-the-Disk, os analistas usaram uma técnica de difusão para testar vulnerabilidades específicas. Um teste foi feito usando uma ferramenta adaptada ao executar bibliotecas nativas do Android em uma configuração de emulador. Este ambiente permite a demonstração do problema em vários aplicativos populares.
Um bom exemplo é a App Google Tradutor que baixa e mantém os pacotes de tradução de idioma na partição de armazenamento externo. Ao abusar do ataque Man-in-the-Disk, os hackers em potencial podem gerar um binário desonesto que pode sobrescrever os dados originais. Isso pode travar o aplicativo ou resultar em modificações dos resultados retornados. Uma abordagem semelhante é usada por Assistência Google Voice.
Apps de terceiros também são afetados, um exemplo é o Navegador Xiaomi. É programado para baixar um arquivo APK autoatualizado. Isso significa que os invasores podem sobrescrever os arquivos APK, substituindo-os por um código invasor. Duas ferramentas populares, como Yandex Translate e Yandex Search foram encontrados vulneráveis.
Esta breve análise mostra que muitos aplicativos podem ser explorados por meio do ataque Android Man-in-the-Disk. O problema aqui é que se trata de um problema de design com o Android. Os aplicativos podem ajustar seu acesso à partição de armazenamento externo, no entanto, isso não removerá a possibilidade de explorar a vulnerabilidade encontrada. Um caso clássico que pode ser explorado é a coordenação de um cenário de ataque Man-in-the-Disk. Ele pode começar postando um aplicativo vulnerável na Google Play Store (ou outro repositório) de onde pode adquirir permissões de acesso de armazenamento externo, baixar aplicativos desonestos / maliciosos que podem invadir o host infectado. As interações de malware complexas podem incluir escalonamento de privilégios e outras ações relacionadas.
Atualizar: Após a divulgação pública das vulnerabilidades, o Google reconheceu que eles estão trabalhando com os desenvolvedores de software para consertar os aplicativos vulneráveis. Os pesquisadores de segurança que estiveram envolvidos no processo também estão abordando os fabricantes de software para alertá-los sobre os problemas. No entanto, alguns deles optaram por não resolver os problemas em uma atualização de segurança urgente empurrando o lançamento para uma data posterior com um lançamento de versão secundária em uma data posterior.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: