Πρόβλημα στο Android επιτρέπει τις επιθέσεις man-in-the-disk, σύμφωνα με έρευνα της Checkpoint.
Η CheckPoint μετά από διεξοδική έρευνα ανακάλυψε ένα ελάττωμα σχεδιασμού στο Sandbox του Android που επιτρέπει στους επιτιθέμενους να εκμεταλλευτούν με δόλιο τρόπο την εξωτερική αποθήκευση των συσκευών και κατά συνέπεια να προβούν σε καίρια χτυπήματα εναντίον των ανυποψίαστων χρηστών.
Αυτές οι επιθέσεις θα μπορούσαν να οδηγήσουν σε ανεπιθύμητα αποτελέσματα, όπως η κρυφή εγκατάσταση ανεπιθύμητων και δυνητικά κακόβουλων εφαρμογών στο τηλέφωνο του χρήστη. Θα μπορούσαν να χρησιμοποιηθούν για άρνηση εξυπηρέτησης στις νόμιμες εφαρμογές και να προκαλέσουν αιφνίδια διακοπή λειτουργίας των εφαρμογών, ανοίγοντας την πόρτα σε ενδεχόμενη έγχυση κώδικα, που μεταφράζεται σε πλήρη κατάληψη της συσκευής από τους χάκερς
Ο Slava Makkaveev ερευνητής στην εταιρεία CheckPoint δήλωσε: Οι επιθέσεις “Man-in-the-Disk” καθίστανται δυνατές όταν οι εφαρμογές είναι κακά σχεδιασμένες, όσον αφορά τη χρήση κοινόχρηστων χώρων αποθήκευσης με αρνητικό αντίκτυπο να μη λαμβάνουν την κατάλληλη προστασία παρέχεται από το sandbox του Android, αφού προφανώς οι προγραμματιστές των εφαρμογών δεν φρόντισαν να εφαρμόσουν από μόνοι τους τις απαραίτητες προφυλάξεις αναφορικά με αυτό το ζήτημα.
Στο εσωτερικό του λειτουργικού συστήματος Android υπάρχουν δύο τύποι αποθήκευσης: Ο εσωτερικός χώρος αποθήκευσης, στον οποίο κάθε εφαρμογή το χρησιμοποιεί ξεχωριστά και διαχωρίζεται αυτόματα από το Sandbox Android. Και η εξωτερική αποθήκευση, συχνά μέσω μιας κάρτας SD, όπου το μοιράζονται όλες οι εφαρμογές.
Ο εξωτερικός χώρος αποθήκευσης χρησιμοποιείται κυρίως για την κοινή χρήση αρχείων μεταξύ εφαρμογών. Για παράδειγμα, για να αποστέλλει μια εφαρμογή ανταλλαγής μηνυμάτων μια φωτογραφία από το ένα άτομο στο άλλο, η εφαρμογή πρέπει να έχει πρόσβαση στα αρχεία πολυμέσων που είναι αποθηκευμένα στο εξωτερικό αποθηκευτικό χώρο.
Υπάρχουν και άλλοι λόγοι για τους οποίους ένας προγραμματιστής εφαρμογών θα επέλεγε να χρησιμοποιήσει το εξωτερικό χώρο αποθήκευσης αντί για το εσωτερικό με το sandbox. Τέτοιοι λόγοι κυμαίνονται από την έλλειψη επαρκούς χωρητικότητας στην εσωτερική αποθήκευση, τις απαιτήσεις συμβατότητας με παλαιότερες συσκευές ή από το να μην θέλει η εφαρμογή να φαίνεται ότι χρησιμοποιεί υπερβολικό χώρο, απλώς και μόνο από τεμπελιά του κατασκευαστή να μην ακολουθεί τα πρότυπα το android.
Όποια και αν είναι η αιτία, όταν χρησιμοποιείτε την εξωτερική αποθήκευση, απαιτούνται ορισμένες προφυλάξεις. Η τεκμηρίωση του Android αναφέρει ότι οι προγραμματιστές εφαρμογών οφείλουν να έχουν διαβάσει τους όρους χρήσης και να είναι ενημερωμένοι για τον τρόπο χρήσης του εξωτερικού χώρου αποθήκευσης στις εφαρμογές τους. Ορισμένες από αυτές τις οδηγίες περιλαμβάνουν τη διεξαγωγή δοκιμών επικύρωσης, την αποθήκευση εκτελέσιμων αρχείων σε εξωτερικό αποθηκευτικό χώρο και την επαλήθευση ότι τα αρχεία έχουν υπογραφεί και έχουν κρυπτογραφηθεί πριν από τη φόρτωση.
Η CheckPoint ανέφερε: «Ωστόσο, έχουμε δει μερικά παραδείγματα όπου η Google και ορισμένοι προγραμματιστές τρίτου μέρους δεν ακολουθούν αυτές τις οδηγίες στο λειτουργικό σύστημα Android, και όλες αυτές οι παραλείψεις έχουν ως αποτέλεσμα να επιτρέπονται οι επιθέσεις Man-in-the-Disk, προσφέροντας την ευκαιρία στους κυβερνοεγκληματίες να επιτεθούν σε οποιαδήποτε εφαρμογή που φυλάσσει άσκοπα δεδομένα στην εξωτερική αποθήκευση».
Οι επιτιθέμενοι μπορούν να εισέλθουν και να παρεμβαίνουν στα δεδομένα που είναι αποθηκευμένα στο εξωτερικό χώρο αποθήκευσης. Χρησιμοποιώντας μια αθώα εφαρμογή που αναζητά ο χρήστης, ο επιτιθέμενος μπορεί να παρακολουθεί τα δεδομένα που μεταφέρονται μεταξύ οποιασδήποτε άλλης εφαρμογής και του εξωτερικού χώρου αποθήκευσης και να τα αντικαταστήσει με άλλα δεδομένα.
Τα αποτελέσματα των επιθέσεων μπορεί να διαφέρουν, ανάλογα με την επιθυμία και την εμπειρία του εισβολέα. Η CheckPoint παρουσίασε τη δυνατότητα εγκατάστασης ανεπιθύμητης εφαρμογής στο παρασκήνιο, χωρίς την άδεια του χρήστη.
Μεταξύ των εφαρμογών που δοκιμάστηκαν για αυτή τη νέα επίθεση ήταν το Google Translate, το Yandex Translate, το Google Voice Typing, το LG Application Manager, το LG World, το Google Text-to-Speech και το Xiaomi Browser.
