El nuevo ataque Man-in-the-Disk deja a millones de teléfonos Android vulnerables


Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Apodado Man-in-the-Disk , el ataque aprovecha la forma en que las aplicaciones de Android utilizan el sistema de «Almacenamiento externo» para almacenar datos relacionados con la aplicación, que si se manipulan podrían dar como resultado la inyección de código en el contexto privilegiado de la aplicación seleccionada.

Cabe señalar que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y almacenamiento externo.

Google mismo ofrece pautas a los desarrolladores de aplicaciones de Android instándoles a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el sandbox integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones populares, incluido Google Translate, junto con Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser, usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder. .

¿Cómo funciona el ataque Man-in-the-Disk en Android?

Similar al ataque «man-in-the-middle», el concepto de ataque «man-in-the-disk» (MitD) implica la interceptación y manipulación de datos intercambiados entre el almacenamiento externo y una aplicación, que si se reemplaza con un derivado cuidadosamente elaborado «conduciría a resultados perjudiciales».

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

«Se descubrió que el navegador Xiaomi usaba el almacenamiento externo como un recurso de preparación para las actualizaciones de aplicaciones», dijeron los investigadores en una publicación de blog .

«Como resultado, nuestro equipo pudo llevar a cabo un ataque mediante el cual se reemplazó el código de actualización de la aplicación, lo que resultó en la instalación de una aplicación alternativa no deseada en lugar de la actualización legítima».

De esta forma, los atacantes pueden obtener una posición de man-in-the-disk, desde donde pueden controlar los datos transferidos entre cualquier otra aplicación en el teléfono inteligente del usuario y el almacenamiento externo y sobrescribirlo con su propia versión maliciosa para manipular o bloquear ellos.

También se puede abusar del ataque para instalar otra aplicación maliciosa en el fondo sin el conocimiento del usuario, que eventualmente puede usarse para escalar privilegios y obtener acceso a otras partes del dispositivo Android, como cámara, micrófono, lista de contactos y más.

Man-en-the-Disk Attack Video de demostración

Los investigadores de Check Point también lograron poner en peligro los archivos y bloquear Google Translate, Google Voice-to-Text y Yandex Translate porque esas aplicaciones tampoco validaron la integridad de los datos utilizados en el almacenamiento externo de Android.

 

Google, que a su vez no sigue sus pautas de seguridad, reconoció y corrigió algunas aplicaciones afectadas y también está en el proceso de arreglar otras aplicaciones vulnerables, dijo Check Point.

Además de Google, los investigadores también se acercaron a los desarrolladores de otras aplicaciones vulnerables, pero algunos, incluido Xiaomi, no quisieron solucionar el problema, según los investigadores.

«Tras descubrir estas vulnerabilidades de aplicaciones, nos pusimos en contacto con Google, Xiaomi y proveedores de otras aplicaciones vulnerables para actualizarlas y solicitar su respuesta», dijeron los investigadores de Check Point.

«Poco después se lanzó una solución a las aplicaciones de Google, se están actualizando aplicaciones vulnerables adicionales y se darán a conocer una vez que el parche esté disponible para sus usuarios, mientras que Xiaomi decidió no abordarlo en este momento».

Los investigadores destacaron que solo probaron una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más significativo de aplicaciones de Android que lo que notaron explícitamente, dejando a millones de usuarios de Android potencialmente vulnerables a las amenazas cibernéticas.

Vía |TH

 

log in

reset password

Back to
log in