Исследователи из компании Check Point обнаружили новый тип атаки на Android-устройства и показали его на примере приложений Google, Yandex и Xiaomi. Техника получила название «человек в диске» (Man in the Disk, MitD). Она эксплуатирует особенность организации данных во внешней памяти устройства и позволяет злоумышленникам вызывать критические сбои приложений и тайно загружать вредоносное ПО.

Если программы, использующие внутреннюю память Android-смартфона (защищенную зону, в которой работает в том числе сама ОС), недоступны для стороннего ПО, то во внешней памяти этого ограничения нет. Приложения могут запрашивать разрешение на чтение и модификацию данных своих «соседей», и, как правило, пользователь им это разрешение дает.

С помощью специально разработанного зловреда, замаскированного под легитимное приложение, специалисты по информационной безопасности продемонстрировали два сценария атаки на продукты Google, Yandex и Xiaomi. Исследователи подчеркнули, что некоторые из сервисов предустановлены на большинстве Android-устройств, то есть система по умолчанию уязвима.

В случае Google Translate, Google Voice Typing и «Яндекс.Переводчика» экспертам удалось подменить служебные данные и вызвать критический сбой программы. По словам исследователей, в результате такой атаки злоумышленник может выполнить на устройстве сторонний код или получить привилегии уязвимого приложения и эксплуатировать другие бреши.

Второй тип атаки возможен, если приложение при обновлении сохраняет во внешней памяти временные файлы. Эксперты продемонстрировали этот метод на примере Xiaomi Browser. Исследователи подменили временные файлы и установили скомпрометированную версию приложения. Как заявляют аналитики, таким образом на устройство жертвы можно скрытно доставить любое ПО, в том числе вредоносное.

Исследователи отмечают, что приложения уязвимы в первую очередь из-за небрежности программистов. Разработчики приложений, в том числе создатели сервисов Google, не до конца следуют официальному руководству. Согласно этому документу, во внешней памяти запрещено хранить исполняемые файлы приложений, а прочие объекты должны иметь цифровую подпись.

Эксперты утверждают, что выполнение этих правил значительно снизит вероятность MitD-атак. В качестве дополнительных мер они советуют Google ужесточить требования к защите на уровне ОС, чтобы безопасность пользователей не зависела от производителей смартфонов и мобильных разработчиков.

Уязвимости Android, которые позволяют выполнять сторонний код, вызывать отказ в обслуживании или повышать привилегии взломщика, регулярно попадают в ежемесячные наборы патчей Google. Так, в июле компания устранила десятки подобных брешей, включая 11 критических.

Категории: Аналитика, Уязвимости