Clicky

Nuevo ataque Man-in-the-Disk deja vulnerables a millones de teléfonos Android

ataque Man-in-the-Disk

Afecta a populares aplicaciones como el traductor de Google

Investigadores de seguridad de Check Point Software Technologies han descubierto un nuevo vector de ataque contra el sistema operativo Android que podría permitir a los atacantes infectar silenciosamente sus teléfonos inteligentes con aplicaciones maliciosas o lanzar ataques de denegación de servicio.

Denominado Man-in-the-Disk, el ataque aprovecha la forma en que utilizan las aplicaciones de Android el sistema de "Almacenamiento externo" para almacenar datos relacionados con la aplicación, que si se manipulan podrían dar como resultado la inyección de código en el contexto privilegiado de la aplicación seleccionada.

Cabe señalar que las aplicaciones en el sistema operativo Android pueden almacenar sus recursos en el dispositivo en dos ubicaciones: almacenamiento interno y almacenamiento externo.

Google mismo ofrece pautas a los desarrolladores de aplicaciones de Android instándoles a usar el almacenamiento interno, que es un espacio aislado asignado a cada aplicación protegida usando el sandbox integrado de Android, para almacenar sus archivos o datos confidenciales.

Sin embargo, los investigadores encontraron que muchas aplicaciones populares, incluido Google Translate, junto con Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser, estaban usando almacenamiento externo sin protección al que puede acceder cualquier aplicación instalada en el mismo dispositivo.

¿Cómo funciona el ataque Man-in-the-Disk (hombre en el disco) de Android?

funcionamiento del ataque Man in the Disk

Similar al ataque "man-in-the-middle (hombre en el medio)", el concepto de ataque "hombre en el disco" (MitD) implica la interceptación y manipulación de datos intercambiados entre el almacenamiento externo y una aplicación, que si se reemplaza con un derivado cuidadosamente elaborado "conduciría a resultados perjudiciales".

Por ejemplo, los investigadores encontraron que el navegador web Xiaomi descarga su última versión en el almacenamiento externo del dispositivo antes de instalar la actualización. Dado que la aplicación no puede validar la integridad de los datos, el código de actualización legítimo de la aplicación se puede reemplazar por uno malicioso.

"Se descubrió que el navegador Xiaomi usaba el almacenamiento externo como un recurso de preparación para las actualizaciones de aplicaciones", dijeron los investigadores en una publicación de blog.

"Como resultado, nuestro equipo pudo llevar a cabo un ataque mediante el cual se reemplazó el código de actualización de la aplicación, lo que resultó en la instalación de una aplicación alternativa no deseada en lugar de la actualización legítima".

De esta forma, los atacantes pueden obtener una posición de hombre en el disco, desde donde pueden controlar los datos transferidos entre cualquier otra aplicación en el teléfono inteligente del usuario y el almacenamiento externo y sobrescribirlo con su propia versión maliciosa para manipular o bloquearlas.

También se puede abusar del ataque para instalar otra aplicación maliciosa en el fondo sin el conocimiento del usuario, que eventualmente puede usarse para escalar privilegios y obtener acceso a otras partes del dispositivo Android, como cámara, micrófono, lista de contactos y más.

Demostración en vídeo del ataque Man-in-the-Disk

Los investigadores de Check Point también lograron poner en peligro los archivos y bloquear Google Translate, Google Voice-to-Text y Yandex Translate porque esas aplicaciones tampoco validaron la integridad de los datos utilizados en el almacenamiento externo de Android.


Entre las aplicaciones que los investigadores de Check Point probaron para este nuevo ataque de MitD se encuentran Google Translate, Yandex Translate, Google Voice Typing, LG Application Manager, LG World, Google Text-to-Speech y Xiaomi Browser.

Google, que a su vez no sigue sus pautas de seguridad, reconoció y corrigió algunas aplicaciones afectadas y también está en el proceso de arreglar otras aplicaciones vulnerables, dijo Check Point.

Además de Google, los investigadores también se acercaron a los desarrolladores de otras aplicaciones vulnerables, pero algunos, incluido Xiaomi, no quisieron solucionar el problema, según los investigadores.

"Tras descubrir estas vulnerabilidades de aplicaciones, nos pusimos en contacto con Google, Xiaomi y proveedores de otras aplicaciones vulnerables para actualizarlas y solicitar su respuesta", dijeron los investigadores de Check Point.

"Poco después se lanzó una solución a las aplicaciones de Google, se están actualizando aplicaciones vulnerables adicionales y se darán a conocer una vez que el parche esté disponible para sus usuarios, mientras que Xiaomi decidió no abordarlo en este momento".

Los investigadores destacaron que solo probaron una pequeña cantidad de aplicaciones importantes y, por lo tanto, esperan que el problema afecte a un número más significativo de aplicaciones de Android que lo que notaron explícitamente, dejando a millones de usuarios de Android potencialmente vulnerables a las amenazas cibernéticas.

Jesus_Caceres