Zero
Una nuova tecnica di attacco chiamato “Man-in-the-Disco”, sfrutta incurante protocolli di storage in applicazioni di terze parti al fine di crash di una vittima dispositivo mobile Android.
Quando consideriamo mobile vettori di attacco, malware, vulnerabilità del software, e campagne di phishing può venire in mente.
Tuttavia, il modo in cui gli smartphone e i tablet di gestire sistemi di storage può anche rivelarsi un trascurata in cui i malintenzionati potrebbero facilmente bersaglio con gravi conseguenze.
Archiviazione esterna è una risorsa condivisa da tutta la maggioranza di applicazioni mobile, e non si applica per Android sandbox di archiviazione protezioni. In confronto, la memoria interna è di meglio protetti come sandbox si applicano restrizioni.
Secondo i ricercatori di Check Point, ci sono “difetti” come sistema operativo Android di Google utilizza esterni delle risorse di storage. Quando le applicazioni di terze parti e gli sviluppatori sono negligenti, come dispositivo di archiviazione viene gestito, questo può portare a quello che la squadra si chiama “Man-in-the-Disco” attacchi.
Archiviazione esterna è formata attraverso una partizione oppure tramite una scheda SD ed è condiviso da tutte le applicazioni. Man-in-the-Disco attacchi si concentrano su di memorizzazione esterno aspetto di dispositivi mobili Android.
“In mancanza di impiegare misure di sicurezza sulle loro foglie applicazioni vulnerabili ai rischi di dannoso per la manipolazione dei dati, il” team dice.
Check Point, dice che alcune app di scegliere esterna interna di archiviazione a causa di una mancanza di capacità di archiviazione interna, i problemi di compatibilità, o ciò che l’azienda chiama “mera pigrizia.”
Quando storage esterno è preferito, Google suggerisce che gli sviluppatori assicurarsi di convalida dell’input è a posto, eseguibili non sono memorizzati esternamente, e dice anche che il file deve essere firmato e crittograficamente verificato prima del caricamento dinamico.
Tuttavia, i ricercatori dicono che gli sviluppatori di app-e anche Google stessa, non seguono queste linee guida, lasciando gli utenti Android aperta per l’attacco.
Un certo numero di applicazioni, una volta scaricato, aggiornare o ricevere informazioni da parte dello sviluppatore del server. A causa di preferenze per lo storage esterno, questi dati spesso passano attraverso di memorizzazione esterno prima di entrare in app stessa.
Questo corso fornisce un’opportunità per la minaccia attori di intercettare e manipolare queste informazioni prima di passare attraverso un app. Ila è simile a Man-in-The-Middle (MiTM) attacchi il monitor online comunicazione tra browser e server, allo scopo di sottrarre o manomettere i dati utente.
TechRepublic: meglio Il Samsung Galaxy Note 9 alternative per meno di $600
Un problema con questo vettore di attacco è che le app che chiedono il permesso di accedere a storage esterno è incredibilmente comune, ed è improbabile che desta alcun sospetto.
Pertanto, se un utente Android il download di un innocente app che è in realtà laden con codice dannoso che chiede tali autorizzazioni, sono propensi ad accettare.
“Da quel punto l’aggressore è in grado di monitorare i dati trasferiti tra tutte le altre app sul dispositivo dell’utente e la memoria esterna, e sovrascrivere con i propri dati in modo tempestivo, il leader non graditi comportamento di attaccato applicazione,” dicono i ricercatori.
Se un dispositivo Android è sfruttata in questo modo, questo potrebbe portare a minacciare l’installazione di applicazioni indesiderate, denial-of-service, l’iniezione di codice che permetterebbe l’esecuzione di codice dannoso in ambito privilegiato di applicazione compromesso, così come i potenziali incidenti.
Il Man-in-the-Disco vettore di attacco può essere utilizzato anche per intercettare il traffico dati e informazioni relativi ad altre applicazioni.
Vedi anche: 25 modelli di smartphone Android che contengono grave vulnerabilità off the shelf
Check Point testato una varietà di applicazioni per la vulnerabilità di questo vettore di attacco. Nel caso di Google Translate, Google Translate, Google Digitazione Vocale, gli sviluppatori non sono riuscito a convalidare l’integrità dei dati letti dalla memoria esterna, mentre Xiaomi Browser utilizzato di archiviazione esterna per gli aggiornamenti delle app.
Quando messi a conoscenza dei risultati, Google ha rilasciato un fix per risolvere i problemi all’interno della propria app. Tuttavia, Xiaomi “ha scelto di non affrontare in questo momento”, secondo i ricercatori.
Altre applicazioni senza nome sono stati trovati anche di essere vulnerabili e fornitori sono stati contattati. Una volta che le correzioni sono state rese disponibili agli utenti i loro nomi saranno comunicati.
CNET: Google ‘non risolvere’ un Android P bug che uccide Pixel XL di ricarica veloce
Il terreno di prova incluso solo un piccolo numero di applicazioni, ma l’azienda dice che questo esempio porta a credere che “molte altre applicazioni di usare la memoria esterna risorsa con noncuranza, e possono, pertanto, essere sensibili a simili attacchi.”
“Semplici linee guida non sono abbastanza per OS fornitori di scagionare se stessi di tutte le responsabilità per quello che è stato progettato dagli sviluppatori di app,” Check Point, dice. “Invece, la protezione del sistema operativo sottostante, è l’unica soluzione a lungo termine per la protezione contro questo nuovo attacco di superficie scoperta dalla nostra ricerca.”
Aggiornamento 16.09 BST: Xiaomi portavoce ha detto a ZDNet:
“A Xiaomi, la sicurezza è la nostra priorità e siamo in possesso di noi stessi, per i più alti standard. Un aggiornamento per questo problema verrà rilasciato entro la fine di questo mese.
Ci scusiamo per questo e ci permetterà di migliorare i nostri processi per gestire questo tipo di vulnerabilità, in futuro.”
ZDNet ha raggiunto fuori a Google e aggiornerà se sentiamo di ritorno.
Precedente e relativa copertura
Gli hacker possono rubare i dati delle aziende utilizzando solo un numero di fax, L’futuro dell’internet degli Oggetti? Attacchi promossi dallo stato, dicono i professionisti della sicurezza di Apple macOS vulnerabilità spiana la strada per danneggiare il sistema con un solo clic
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0