El nuevo ataque Man-in-the-Disk deja a millones de teléfonos Android vulnerables a través de aplicaciones que usan opciones de ‘almacenamiento externo’

Los investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Apodado «Man-in-the-Disk», el ataque aprovecha la forma en que las aplicaciones de Android utilizan el sistema de «Almacenamiento externo» para almacenar datos relacionados con la aplicación, que si se alteran podrían dar lugar a la inyección de código en el contexto privilegiado de la aplicación seleccionada. Google mismo ofrece pautas a los desarrolladores de aplicaciones de Android instándoles a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el sandbox integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones populares, incluido Google Translate, junto con Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser, usaban almacenamiento externo sin protección al que podían acceder cualquier aplicación instalada en el mismo dispositivo.

Similar al ataque «man-in-the-middle» u «hombre en el medio», el concepto de ataque «hombre en el disco» (MitD) implica la interceptación y manipulación de datos intercambiados entre el almacenamiento externo y una aplicación, que si se reemplaza con un derivado cuidadosamente elaborado «conduciría a resultados perjudiciales». Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Como la aplicación no valida la integridad de los datos, el código de actualización legítimo de la aplicación se puede reemplazar por uno malicioso.