'Man-in-the-Disk': La nueva gran amenaza cibernética.

Android

Se ha logrado demostrar que aplicaciones de Android comunes son susceptibles a un ciberataque llamado 'Man-in-the-Disk'.

Según se ha conocido este ataque permite que una aplicación de terceros controle o cierre otras aplicaciones y (o) ejecute un código malicioso en el teléfono.

De acuerdo con 'Check Point Research', aparentemente hay un defecto de diseño en el Sandbox de Android, que está llevando al almacenamiento externo de los teléfonos con Android como un camino directo hacia el ataque MitD. Estos ataques, posiblemente, podrían tener resultados peligrosos. Las instalaciones ocultas de aplicaciones no deseadas, maliciosas y no solicitadas, la denegación de servicio a otras aplicaciones genuinas y la caída de las aplicaciones, solo por nombrar algunas. Esto podría llevar a la inyección de código infectado que podría hacer que la aplicación se ejecute de la manera que el atacante quiere.

Se hace aún mas alto el riesgo cuando usuarios descuidados dejan que una aplicación desconocida use su almacenamiento.

Cómo funciona un ataque 'Man-in-the-Disk'.

Cualquiera de las aplicaciones disponibles en la tienda podría interferir con los datos de almacenamiento de otra aplicación, lo cual se constituye en una de las causas de este ataque. Por otra parte, sin preocuparse demasiado por los riesgos de seguridad, los usuarios dejan muy descuidadamente que las aplicaciones tengan el acceso a su almacenamiento.


Los investigadores de Check Point realizaron varias pruebas; durante una de ellas, lograron crear una aplicación maliciosa que podría dar la impresión de ser una aplicación de linterna. Esa aplicación luego fue utilizada por los investigadores para obtener acceso al espacio de almacenamiento externo. Se realizaron dos tipos de ataques al final de las distintas pruebas, uno de ellos podría bloquear otras aplicaciones y el otro podría actualizar las aplicaciones en sus formas maliciosas.

En el primer tipo de ataque, produce una invasión en los archivos de almacenamiento externo de otra aplicación mediante la inserción de datos maliciosos que se traduce en el bloqueo de la aplicación. Este ataque podría explotar las aplicaciones rivales y podría aprovechar fácilmente el diseño defectuoso y los códigos maliciosos podrían ser inyectados.

La aplicación bloqueada pedirá más permisos que la original y, si es así, el atacante tendría la oportunidad de acabar con su habilidad para acercarse a funciones más sensibles. Estos permisos son tales que no son recibidos en absoluto por la aplicación original.

Existen aplicaciones que colocan archivos de actualización en el almacenamiento externo, antes de que la actualización esté completa. Esos archivos podrían reemplazarse fácilmente con las versiones maliciosas de ellos mismos o de una aplicación de terceros, en total. Este es el caso, en el segundo tipo, cuando las aplicaciones obtienen actualizaciones; hay una aplicación de atacante que supervisa el espacio del almacenamiento externo.

Cómo evitar el ataque

1. Al tratar con datos del almacenamiento externo, realice la validación de entrada.

2. El almacenamiento externo no debe llenarse con archivos de clase o 'ejecutables'.

3. Antes de la carga dinámica, los archivos de almacenamiento externo deben estar firmados y verificados criptográficamente.

Según Check Point, se detectaron algunas aplicaciones bastante populares con los dos tipos de ataque
'Man-in-the-Disk'. Para citar algunos ejemplos, Google Translate, Yandex Search, Yandex Translate, Google Voice Typing y el supermoderno Xiaomi son las aplicaciones que están expuestas al ataque tipo actualización maliciosa.

La razón principal por la que estas aplicaciones de Android están siendo atacadas es porque los desarrolladores de aplicaciones han pasado por alto las Directrices de seguridad de Android que incluyen los métodos básicos para trabajar con el almacenamiento externo.

Xiaomi decidió no tomar acciones ante esta situación
, mientras que, afortunadamente, Google, al darse cuenta del problema, ya lanzó un parche para las aplicaciones afectadas.

 

Síguenos en FacebookTwitterunete a nuestro chat en Matrix y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila