Security experts ontdekten een nieuwe Android-infectie mechanisme genaamd de Man-in-the-Disk aanval. Het maakt gebruik van een ontwerp probleem blijkt te zijn met het besturingssysteem zelf die gebruik maakt van de externe toegang tot opslag. Misbruik van deze mogelijkheid kan gevoelige gegevens bloot te stellen aan de criminele exploitanten.
Android Man-in-the-Disk Attack Hiermee Apps Exposure
Veiligheid analisten ontdekte een ontwerpprobleem in het Android besturingssysteem dat heeft geleid tot een kwetsbaarheid. Dit wordt mogelijk gemaakt via een misbruik in de manier waarop storage resources worden behandeld. De analisten er rekening mee dat “onzorgvuldig gebruik” van de externe opslag toegang kan leiden tot de aanslagen man-in-the-middle. Het gebruik van dergelijke middelen niet activeren van de Sandbox bescherming die is een bekend gevaar voor de veiligheid. De interne opslag van het Android besturingssysteem integreert het interne geheugen waarin de hoofdtoepassing worden opgeslagen. de externe opslag zelf het tussenschot van het interne geheugen of verwisselbare opslagmedia (micro SD kaart).
The Man-in-the-Disk aanval kan worden benut met vrijwel elke app die het gebruik WRITE_EXTERNAL_STORAGE permissies. De meerderheid van de populaire gebruiker geïnstalleerde applicatie gebruik maken van de externe opslag als een soort tijdelijke buffer bij het downloaden van informatie van Internet diensten. In de loop der jaren is de praktijk van het gebruik van het gebruik van de externe opslag voor het werk data cache is uitgegroeid tot een norm zo veel apparaten hebben een beperkte binnenruimte opslag.
Het unieke kenmerk van de externe opslag is dat elk proces kan controleren en dus overschrijven bestanden. Er zijn verschillende mogelijke scenario's die schadelijke acteurs kan proberen:
- file Operations - Gegevens en cache vinden op de externe opslag partitie kan worden benaderd, opgehaald of gemodificeerde.
- Gedragswijziging - Door het manipuleren van bepaalde waarden van configuratiebestanden of tijdelijke instellingen de hackers kan onverwacht gedrag veroorzaken. Dit kan leiden tot toepassing vastloopt en een verandering van de manier waarop applicaties draaien.
Bij nader onderzoek van de kwestie Man-in-the-Disk de analisten gebruik gemaakt van een fuzzing techniek om te testen voor specifieke kwetsbaarheden. Een test werd gedaan met behulp van een aangepast hulpmiddel bij het uitvoeren van inheemse Android bibliotheken in een emulator omgeving. Deze omgeving zorgt voor een demonstratie van het probleem in een aantal populaire toepassingen.
Een goed voorbeeld is de Google Translate-app welke downloads en houdt de vertaling pakketten in de externe opslagpartitie. Bij misbruik maken van de Man-in-the-Disk aanval potentiële hackers kan een schurkenstaat binaire dat de oorspronkelijke data kunnen overschrijven genereren. Dit kan kan de applicatie crashen of resulteren in de wijzigingen van de geretourneerde resultaten. Een vergelijkbare aanpak wordt gebruikt Google Voice Assistance.
Niet-Google-apps worden ook beïnvloed, Een voorbeeld is de Xiaomi Browser. Het is geprogrammeerd om een self-bijgewerkte APK-bestand te downloaden. Dit betekent dat de aanvallers de APK-bestanden kan daardoor overschrijven te vervangen door malafide code. Twee populaire tools zoals Yandex Translate en Yandex Search zijn kwetsbaar gevonden.
Deze korte analyse blijkt dat vele toepassingen kan worden benut via de Android Man-in-the-Disk aanval. Het probleem hier is dat dit is een ontwerp probleem met Android. Apps kunnen fine-tunen van hun toegang tot de externe opslag partitie maar dit zal de mogelijkheid om de gevonden beveiligingslek niet verwijderen. Een klassiek geval die kan worden benut is de coördinatie van een Man-in-the-Disk aanval scenario. Het kan beginnen met het plaatsen van een kwetsbaar app op de Google Play Store (of een andere opslagplaats) uit waarin zij externe opslag permissies toegang kunnen krijgen, het downloaden van een rogue / kwaadaardige toepassingen die de geïnfecteerde gastheer kan inhalen. Complex malware interacties kunnen omvatten privilege escalatie en soortgelijke acties.
Update: Na de openbaarmaking van de vulnerabiliites Google heeft toegegeven dat ze werken met de software-ontwikkelaars in de vaststelling van de kwetsbare apps. De security onderzoekers die betrokken zijn geweest bij het proces worden ook naderen software makers in hen te waarschuwen van de kwesties. Echter, sommige van hen hebben ervoor gekozen niet om de problemen in een dringende beveiligingsupdate duwen de release naar een latere datum met een minderjarige uitgebrachte versie op een later tijdstip aan te pakken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: