Os analistas das Check Point descobriram um erro na segurança do armazenamento externo do Android. Esta nova forma de ataque permite que o atacante entre no seu telemóvel sem se aperceber e tenha acesso aos seus dados.
O uso descuidado do armazenamento externo por aplicações pode abrir portas a um número sem fim de resultados não desejados. Como por exemplo, com a instalação oculta de aplicações não solicitadas, que são potencialmente maliciosas, no telemóvel do utilizador pode levar à rejeição do serviço das aplicações legítimas, e até fazer com que as aplicações bloqueiem. Dando a possibilidade de uma possível inserção de código na aplicação infetada.
Estes ataques, apelidados de Man-in-the-Disk, são possíveis quando as aplicações não têm cuidado com a utilização do armazenamento partilhado. Algo que é visível em todas as aplicações que não têm a proteção da filosofia SandBox do Android e não seguem as normas de segurança de forma individual.
Armazenamento externo e o ataque Man-in-the-Disk
O novo ataque encontrado pelos analistas da Check Point permite que um atacante entre e interfira com os dados guardados no armazenamento externo. Ao utilizar uma aplicação inocente que o utilizador fez download, o atacante pode monitorizar os dados que são transferidos entre aplicações e o armazenamento externo, e a seu tempo substituir com os seus próprios dados, levando a aplicação atacada a agir de forma indesejada.
Depois de fazer o download da aplicação ‘inocente’ do atacante, o utilizador recebe um pedido para ter acesso ao Armazenamento Externo, algo perfeitamente normal numa aplicação, e assim não levanta suspeitas. A partir desse momento, o código malicioso do atacante começa a monitorizar o Armazenamento Externo e toda a sua informação. Desta forma, o atacante tem o seu ‘Man-in-the-Disk’ a procurar formas na qual pode intercetar tráfego e informações exigidas nas outras aplicações para depois manipulá-las ou fazê-las bloquear.
Os resultados podem variar dependendo da intenção e conhecimento do atacante. A Check Point Research demonstrou com é possível instalar uma aplicação não desejada sem a autorização do utilizador. Também ficou demonstrada a capacidade de causar um bloqueio nas aplicações, bloqueando o serviço. Uma vez que a aplicação bloqueia, as suas defesas estão em baixo, permitindo que o atacante insira um código na aplicação que lhe dê autorização e privilégios para depois controlar outras partes do dispositivo, como a câmara e o microfone.
Quais são as precauções que os programadores devem ter?
Quando se utiliza o armazenamento externo, é preciso tomar certas precauções. De acordo com a documentação Android da Google, os programadores são aconselhados na forma que utilizam o armazenamento externo das suas aplicações.
Algumas das diretrizes incluem:
- “Desempenhar uma validação de input quando se trata de informações no armazenamento externo”
- “Não guarde executáveis ou classes de ficheiros no armazenamento externo”
- “Os ficheiros no armazenamento externo devem ser assinados e verificados criptograficamente depois de ser carregado”
Causa e Efeito
Tendo em conta que os detalhes deste ataque podem parecer complexos, a Check Point numera as últimas falhas do Android:
- O armazenamento externo de um dispositivo Android é um espaço público que pode ser visto ou modificados por qualquer aplicação do mesmo dispositivo.
- O Android não oferece proteção para os dados guardados no armazenamento externo. Apenas dá aos programadores de aplicações diretrizes sobre os uso correto.
- Os programadores nem sempre se preocupam com segurança e os possíveis riscos, nem seguem as diretrizes de segurança.
- Algumas das aplicações pré-instaladas y populares ignoram as diretrizes do Android e guardam os dados confidenciais do desprotegido armazenamento externo.
- Isto pode proporcionar um ataque Man-in-the-Disk o qual pode levar à manipulação e/ou abuso dos dados não protegidos.
- A modificação dos dados pode oferecer resultados não desejados no dispositivo do utilizador.
Proteger-se contra o ‘The Man’
Estas falhas no desenho da arquitetura aplicacional deixa os utilizadores de Android numa situação vulnerável a ciberameaças, mas não é claro quem deve ser culpado e quem deve fazer as correções. Por um lado, apesar dos programadores de Android criarem diretrizes para os programadores de aplicações seguirem e terem um produto seguro, também devem ser conscientes que é complicado contruir aplicações completamente seguras perante as ameaças futuras.
Podemos ver que ter apenas diretrizes não é suficiente para os vendedores de sistemas operativos se exonerarem de toda a responsabilidade pelo que é feito pelos programadores. No entanto, manter a base do sistema operativo seguro é a única solução para uma proteção a longo prazo contra este mais recente ataque divulgado pela Check Point.
Comentários