¿Recuerdan los ataques Man-in-the-Middle? Pues ahora tenemos una variación que los investigadores de Check Point descubrieron para aplicaciones de Android que aprovecha el almacenamiento externo, denominado ataques Man-in-the-Disk, de tal forma que ponen en riesgo la información de los usuarios de este sistema operativo móvil.
Los dispositivos Android utilizan almacenamiento interno en el que cada aplicación se usa por separado y está segregado por Android Sandbox y almacenamiento externo, que a menudo se realiza a través de una tarjeta SD o una partición lógica dentro del almacenamiento compartido por todas las aplicaciones, pero no usa la protección incorporada de Sandbox de Android, dijeron los investigadores en una publicación de blog del 12 de agosto.
Debido a que los datos de almacenamiento externo no están protegidos, un atacante puede usarlo como un punto de acceso para entrometerse y manipular los datos almacenados allí.
Si una aplicación hace un uso descuidado del almacenamiento externo, puede permitir la instalación silenciosa de aplicaciones maliciosas no solicitadas, y de esta manera, la denegación de servicio para aplicaciones legítimas o causar el bloqueo de aplicaciones que conducen a ataques de inyección de código.
La vulnerabilidad en el OS Android
Los investigadores presenciaron instancias en las que se descargó, actualizó o recibió datos del servidor del proveedor de la aplicación, que pasaron por el almacenamiento externo antes de enviarse a la aplicación, lo que hace que los datos sean vulnerables a que un atacante intente manipularlos antes de que la aplicación los lea de nuevo.
Los atacantes podrían explotar esta falla utilizando una aplicación aparentemente inocente que contiene el script de explotación, que una vez descargado, pediría permiso al usuario para acceder al almacenamiento externo. Esto es muy probable, ya que, como todos sabemos, la tienda de aplicaciones de Android no hace verificación de las apps publicadas.
"El almacenamiento externo, algo que es perfectamente normal para que las aplicaciones lo soliciten, y es poco probable que despierte sospechas en el usuario", dijeron los investigadores en la publicación.
"Desde ese momento, el atacante puede monitorear los datos transferidos entre cualquier otra aplicación en el dispositivo del usuario y el almacenamiento externo, y sobrescribirlo con sus propios datos a su conveniencia, lo que lleva al comportamiento no deseado de la aplicación atacada".
Las recomendaciones
- Se recomienda a los desarrolladores de aplicaciones que buscan utilizar de forma responsable el almacenamiento externo en el almacenamiento aislado para realizar la validación de entrada al manejar datos del almacenamiento externo.
- No almacenar archivos ejecutables o de clase en Almacenamiento externo y asegurarse de que los archivos de almacenamiento externos estén firmados y cifrados antes de la carga dinámica.
Los investigadores probaron Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser y varias aplicaciones adicionales para ver si eran susceptibles a esta superficie de ataque y descubrieron que los desarrolladores de Google Translate, Yandex Translate y Google Voice Typing no validaron la integridad de los datos leídos del almacenamiento externo.
El caso Xiaomi
Xiaomi Browser, en particular, utilizó el almacenamiento externo como recurso de etapas para las actualizaciones de las aplicaciones, lo que permitió a los investigadores reemplazar el código de actualización, lo que provocó la instalación de una aplicación alternativa no deseada en lugar de la actualización legítima.
Xiaomi Browser, en particular, utilizó el almacenamiento externo como recurso de etapas para las actualizaciones de las aplicaciones, lo que permitió a los investigadores reemplazar el código de actualización, lo que provocó la instalación de una aplicación alternativa no deseada en lugar de la actualización legítima.
Los investigadores de Check Point notificaron a Google, Xiaomi y proveedores de otras aplicaciones vulnerables sobre estas vulnerabilidades. Google ha publicado una solución para sus aplicaciones, pero Xiaomi decidió no abordar el problema en este momento. Los usuarios también deben tener en cuenta que los investigadores solo examinaron una pequeña muestra de aplicaciones y que muchas más podrían ser vulnerables a estos ataques.
