19 de agosto de 2018

MAN-IN-THE-DISK. Nuevo ataque ha dejado a millones de teléfonos Android vulnerables

El ataque aprovecha la forma en la que las apps utilizan el sistema de almacenamiento externo para dar como resultado una inyección de código.
Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.
Conceptos base:
Es bien conocido que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y externo.
Google, insta a los desarrolladores a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el 'sandbox' integrado de Android, para almacenar sus archivos o datos confidenciales.
Sin embargo, los investigadores encontraron que muchas aplicaciones usaban almacenamiento externo sin protección al que cualquier aplicación instalada en el mismo dispositivo puede acceder.
Explicación del ataque:
Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de la actualización legítimo de la aplicación se puede reemplazar por uno malicioso.
Demostraciones:
Entre las aplicaciones que han probado se encuentran: Google Translate, Yandex Translate, Google Voice Typing, Lg World, ... entre otras.
Los investigadores recalcan que solo han probado una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más signifitcativo.
Más información:
Fuente: Hispasec