Istraživači su otkrili novi vektor napada na Android uređaje. Tzv. Man-in-the-Disk (MitD) napad omogućava napadačima da neprimetno zaraze uređaj malicioznom aplikacijom ili da pokrenu DDoS napade.

Aplikacije u Android uređajima mogu svoje podatke da čuvaju u internom ili eksternom skladištu. Problem se nalazi u načinu na koji Android aplikacije koriste eksterno skladište za čuvanje svojih podataka zbog čega napadači mogu da ubace maliciozni sadržaj u “privileged context“ ciljane aplikacije.

Google u svojim smernicama programere Android aplikacija savetuje da koriste interno skladište. Interno skladište predstavlja izolovan prostor u kome su osetljivi fajlovi i podaci aplikacija zaštićeni ugrađenim Android sandboxom. Međutim, brojne poznate aplikacije, uključujući i Google Translate, koriste nebezbedno eksterno skladište kome može pristupiti bilo koja aplikacija koja je instalirana na uređaju. Pored Google Translate, isti problem se javlja i kod Yandex Translate, Google Voice Typing, Google Text-to-Speech, LG Application Manager, LG World i Xiaomi Browsera.

Treba napomenuti da su istraživači testirali samo nekolicinu poznatih aplikacija pa se opravdano može pretpostaviti da problem postoji i kod brojnih drugih aplikacija što milione Android korisnika čini potencijalnim metama napada.

Kako funkcioniše Man-in-the-Disk napad?

MitD napad je sličan Man-in-the-Middle napadu, jer uključuje presretanje i izmenu podataka koji se razmenjuju između eksternog skladišta i aplikacije. Ukoliko se umesto legitimnog ubaci dobro osmišljeni maliciozni sadržaj, napad može ostaviti značajne posledice.

Na primer, istraživači su otkrili da Xiaomi browser downloaduje ažuriranja u eksterno skladište uređaja pre nego što ih instalira. Kako aplikacija ne uspeva da validira integritet podataka, moguće je zameniti legitimni kod ažuriranja malicioznim. Napadači u ovoj situaciji zatim mogu da prate koji se podaci razmenjuju između bilo koje druge aplikacije na uređaju korisnika i eksternog skladišta i da legitimni sadržaj zamene malicioznim kako bi manipulisali ili izazvali probleme u funkcionisanju aplikacije.

MitD napadom hakeri mogu da instaliraju druge maliciozne aplikacije u pozadini bez znanja korisnika što kasnije mogu iskoristiti za dobijanje privilegija odnosno pristupa i drugim delovima Android uređaja (kameri, mikrofonu, listi kontakata itd.).

Video demonstracija MitD napada

Google (koji se ne pridržava sopstvenih smernica) je priznao da postoji problem i napravio fix za neke od svojih aplikacija, a radi i na rešavanju problema i za svoje preostale aplikacije. Xiaomi trenutno ne namerava da reši problem.

Izvor: The Hacker News