Ataque compromete la tarjeta microSD de Android
5 (100%) 2 votes

Un equipo de investigadores de la firma de seguridad Check Point ha descubierto un nuevo ataque que aprovecha el mal uso que algunas apps de Android hacen del almacenamiento externo para comprometer la tarjeta microSD.

Recibe el nombre de Man-in-the-Disk y puede permitir que un usuario malicioso instale aplicaciones no solicitadas de manera clandestina, así como que bloquee la ejecución o provoque el cierre de apps legítimas.

Un smartphone utiliza dos tipos de almacenamiento, el interno y el externo. El segundo se basa en el uso de tarjetas microSD extraíbles y, dado que es un área pública que cualquier app instalada puede observar y modificar, es muy importante mantenerla segura.

Android no proporciona protecciones integradas para los datos almacenados en la tarjeta microSD, y para velar por su seguridad Google da a los desarrolladores unas pautas de uso del almacenamiento externo en Android. Estas directrices incluyen realizar una validación de entrada al manejar los datos, no guardar archivos ejecutables o de clase, y exigir que los archivos estén firmados y verificados criptográficamente antes de la carga dinámica.

No obstante, de acuerdo con los investigadores de Check Point, hay muchas aplicaciones que ponen en riesgo las tarjetas microSD porque no siguen estas pautas, incumplidas incluso por la propia Google. Entre ellas encontramos apps tan populares como Google Translate, Google Text-to-Speech, Google Voice, Yandex o Xiaomi Browser.

El equipo comunicó los resultados de su investigación a los desarrolladores de estas apps, y tanto Google como otros proveedores afirman que o bien han corregido el problema o bien están trabajando en una solución para implementarla cuanto antes.

Las apps que no siguen las pautas de seguridad de Google para el almacenamiento externo hacen posible el ataque Man-in-the-Disk, que concede a un usuario malintencionado acceso a la tarjeta micro SD de tu móvil Android, dándole vía libre para instalar malware o interferir en el uso de apps legítimas.

Desde Check Point señalan que, para evitar el ataque Man-in-the-Disk, lo más recomendable es que Android implemente protecciones integradas para los datos de la tarjeta micro SD.

Fuente: CheckPoint

Comentarios