Usuarios de Android expuestos por Man-in-the-Disk

Advertencia

Siempre recomendamos que cualquiera de las actividades descritas haya sido aprobada explícitamente por el (los) objetivo (s) dentro del alcance de una prueba de penetración autorizada y que lleve consigo una copia de una carta de autorización en todo momento.

Toda la información proporcionada en este sitio es solo para fines educativos. El sitio y los autores del sitio web no son responsables en ningún caso del uso indebido de la información.

Categoría: Seguridad informática

Usuarios de Android expuestos por Man-in-the-Disk

by Juan Oliver Publicado el 20 de agosto de 2018

¿Recuerdan los ataques Man-in-the-Middle? Pues ahora tenemos una variación que los investigadores de Check Point descubrieron para aplicaciones de Android que aprovecha el almacenamiento externo, denominado ataques Man-in-the-Disk.

Los dispositivos Android utilizan almacenamiento interno en el que cada aplicación se usa por separado y está segregado por Android Sandbox y almacenamiento externo, que a menudo se realiza a través de una tarjeta SD o una partición lógica dentro del almacenamiento compartido por todas las aplicaciones, pero no usa la protección incorporada de Sandbox de Android, dijeron los investigadores en una publicación de blog del 12 de agosto.

Debido a que los datos de almacenamiento externo no están protegidos, un atacante puede usarlo como un punto de acceso para entrometerse y manipular los datos almacenados allí.

Si una aplicación hace un uso descuidado del almacenamiento externo, puede permitir la instalación silenciosa de aplicaciones maliciosas no solicitadas, la denegación de servicio para aplicaciones legítimas o causar el bloqueo de aplicaciones que conducen a ataques de inyección de código.

Los investigadores presenciaron instancias en las que se descargó, actualizó o recibió datos del servidor del proveedor de la aplicación, que pasaron por el almacenamiento externo antes de enviarse a la aplicación, lo que hace que los datos sean vulnerables a que un atacante intente manipularlos antes de que la aplicación los lea de nuevo.

Figura 1. Flujo del ataque Man-in-the-Disk

Los atacantes podrían explotar esta falla utilizando una aplicación aparentemente inocente que contiene el script de explotación, que una vez descargado, pediría permiso al usuario para acceder al almacenamiento externo.

"El almacenamiento externo, algo que es perfectamente normal para que las aplicaciones lo soliciten, y es poco probable que despierte sospechas en el usuario", dijeron los investigadores en la publicación. "Desde ese momento, el atacante puede monitorear los datos transferidos entre cualquier otra aplicación en el dispositivo del usuario y el almacenamiento externo, y sobrescribirlo con sus propios datos a su conveniencia, lo que lleva al comportamiento no deseado de la aplicación atacada".

Se recomienda a los desarrolladores de aplicaciones que buscan utilizar de forma responsable el almacenamiento externo en el almacenamiento aislado para realizar la validación de entrada al manejar datos del almacenamiento externo, no almacenar archivos ejecutables o de clase en Almacenamiento externo y asegurarse de que los archivos de almacenamiento externos estén firmados y cifrados antes de la carga dinámica.

Los investigadores probaron Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser y varias aplicaciones adicionales para ver si eran susceptibles a esta superficie de ataque y descubrieron que los desarrolladores de Google Translate, Yandex Translate y Google Voice Typing no validaron la integridad de los datos leídos del almacenamiento externo.

Xiaomi Browser, en particular, utilizó el almacenamiento externo como recurso de etapas para las actualizaciones de las aplicaciones, lo que permitió a los investigadores reemplazar el código de actualización, lo que provocó la instalación de una aplicación alternativa no deseada en lugar de la actualización legítima.

Los investigadores de Check Point notificaron a Google, Xiaomi y proveedores de otras aplicaciones vulnerables sobre estas vulnerabilidades. Google ha publicado una solución para sus aplicaciones, pero Xiaomi decidió no abordar el problema en este momento. Los usuarios también deben tener en cuenta que los investigadores solo examinaron una pequeña muestra de aplicaciones y que muchas más podrían ser vulnerables a estos ataques.

Compartir