La empresa de seguridad Check Point ha publicado un estudio detallando un nuevo tipo de ataque destinado a móviles Android y al que ha bautizado como Man-in-the-Disk y se aprovecha de aplicaciones que guardan datos importantes en la tarjeta de memoria.
Los desarrolladores Android pueden elegir entre guardar los datos en la memoria interna del teléfono, donde están a buen recaudo y otras apps no pueden modificarlos o en la memoria externa, y es ahí donde radica el problema. Una app malintencionada puede modificar estos datos para instalar aplicaciones, bloquear apps u obtener control del dispositivo.
¿Qué es Man-In-The-Disk?
Así es como ha bautizado Check Point a este tipo de ataque, inspirado en Man-In-The-Middle, un tipo de ataque en el que un proceso malicioso se coloca en medio de la comunicación, interceptando todos los datos. Aquí el atacante no se coloca realmente en medio, sino en el disco, donde espera pacientemente la oportunidad para llevar a cabo el ataque, y de ahí el nombre.
El concepto es en realidad bastante sencillo. Según los permisos de Android, una aplicación puede acceder al almacenamiento externo después de que le otorgues el permiso apropiado, y una vez le has otorgado ese permiso, es barra libre. En el almacenamiento no hay distinción entre los datos que han sido guardados por una app y los de otra, como sí sucede en el almacenamiento interno.
Este tipo de ataque implica que una aplicación de apariencia ofensiva logre engañarte para que le otorgues acceso al almacenamiento externo. Esto realmente no es complicado, pues es necesario otorgarlo por ejemplo para leer las fotos del móvil y en ocasiones lo otorgamos casi sin querer. Después, la app se quedaría a la espera de poder modificar datos en el almacenamiento externo.
Un ejemplo citado por Check Point es el Traductor de Google, que almacena la traducción offline en la tarjeta de memoria. Una app maliciosa podría detectar cuándo se ha descargado un paquete de idioma y reemplazarlo por otro que haga que el traductor deje de funcionar. Esto ya ha sido parcheado por Google después de haber sido contactado por Check Point.
Aun más peligroso son las aplicaciones que descargan actualizaciones directamente desde Internet y las guardan temporalmente en el almacenamiento externo. Allí, una aplicación maliciosa podría reemplazar el instalable original por una app maliciosa, que sería la que se acabaría instalando.
¿Qué hacer para protegerte?
Esta vulnerabilidad tiene más de feature que de bug, pues funciona por el modo en el que funciona el almacenamiento externo en Android. No parece que Google tenga intención de cambiarlo en un futuro cercano y tendría muchos daños colaterales, así que no parece que vaya a haber un parche mágico en un futuro que lo evite por completo, en todos los casos.
En verdad la pelota no está completamente en el tejado de Google, sino más bien en la de los desarrolladores de cada aplicación. Android les proporciona modo de guardar los datos de forma segura para evitar que sean fruto de este tipo de ataques, y de seguirlas no debería ser posible que otra app pueda interferir con ellos.
Por el momento, no pierdas mucho sueño al respecto pues este tipo de ataque es bastante avanzado y depende de varios factores, como que tengas otra app instalada que use el almacenamiento externo de forma no segura. Siempre y cuando te dediques a instalar apps oficiales desde Google Play (sin rebuscar mucho por los bajos fondos de la tienda de Google, tampoco, por si acaso), no deberías tener ningún problema.
Más información | Check Point
En Xataka Android | RAMpage, una vulnerabilidad por la cual una app puede robar tus datos a base de "amartillar" tu RAM
Ver todos los comentarios en https://www.xatakandroid.com
VER 1 Comentario