''Man-in-the-Disk'' napad: Popularne Android aplikacije podložne novoj vrsti napada

Mobilni telefoni, 15.08.2018, 10:00 AM

Neke od najpopularnijih Android aplikacija instaliranih na vašem telefonu mogu biti podložne novoj vrsti napada pod nazivom "Man-in-the-Disk" (MitD) koja može drugoj aplikaciji omogućiti da ih sruši i/ili pokrene zlonamerni kod.

Istraživači firme Check Point objasnili su scenario MitD napada koji se oslanja na mogućnost aplikacije da koristi spoljnu memoriju, a to je jedna od dve metode za skladištenje podataka koje podržava Android OS.

Unutrašnja memorija, poznata i kao sistemska memorija, predstavlja deo Androidovog ugrađenog memorijskog prostora koji čuva sam operativni sistem, sistemske aplikacije, drajvere i izabrane podatke aplikacija koje je instalirao korisnik.

Svaka instalirana aplikacija može sebi da dodeli prostor za interno skladištenje koji je zaštićen sandbox okruženjem, što znači da mu ne može pristupiti bilo koja druga aplikacija.

Neki programeri aplikacija ne vole da koriste previše internog prostora za skladištenje, jer to može sprečiti korisnike da instaliraju aplikacije koje zauzimaju previše prostora na telefonu. Umesto toga, traže dozvolu za pristup spoljnom prostoru za skladištenje i tu skladište fajlove za određene aplikacije, jer ne računaju na ukupnu velicinu instalacije aplikacije.

Spoljna memorija je prostor za skladištenje obično sastavljen od onoga što je ostalo od ugrađenog hard diska telefona i bilo kojih dodatnih SD kartica ili USB uređaja za skladištenje povezanih sa telefonom.

Man-in-the-Disk napad funkcioniše iz dva razloga. Prvo, svaka aplikacija može ometati podatke iz spoljne memorije druge aplikacije. Drugo, pošto skoro sve aplikacije traže ovu dozvolu, korisnici su generalno spremni da je daju, nesvesni bezbednosnih rizika.

Tokom testova, istraživači Check Pointa su rekli da su uspeli da naprave zlonamernu aplikaciju - baterijsku lampu - koja je izgledala kao benigna aplikacija, koja je tražila dozvolu za čuvanje podataka u spoljnoj memoriji i koristila ovu dozvolu za napad na druge aplikacije.

Istraživači kažu da su uspeli da izvedu dve vrste napada - da sruše druge aplikacije i da ažuriraju druge aplikacije u maliciozne verzije.

Prvi napad funkcioniše tako što se ubacuju loši podaci među fajlove spoljne memorije koji dovode do rušenja aplikacije. Ova vrsta napada može se koristiti za sabotiranje konkurentske aplikacije ili za pokretanje rušenja aplikacije koje ostavlja otvorena vrata za iskorišćavanje drugih propusta i ubacivanje zlonamernog koda unutar srušene aplikacije.

Ako je srušena aplikacija imala više dozvola od originalne aplikacije (baterijske lampe), to znači da napadač može povećati svoje dozvole i pristupiti osetljivijim funkcijama telefona preko srušenih aplikacija. To su funkcije za koje bi napadač trebalo da traži dozvole a koje sigurno ne bi dobio za svoju aplikaciju.

Kada je reč o drugoj vrsti MitD napada, istraživači Check Pointa kažu da aplikacija za napad može da nadgleda prostor spoljne memorije čekajući trenutak kada aplikacije dobijaju ažuriranja.

Pošto neke aplikacije koriste spoljnu memoriju za skladištenje privremenih fajlova ažuriranja pre primene ažuriranja, istraživači kažu da napadač može lako da zameni te fajlove u spoljnoj memoriji i prevari aplikaciju da instalira zlonamernu verziju same sebe ili drugu zlonamernu aplikaciju.

Tokom testova, identifikovane su neke veoma popularne aplikacije osetljive na obe verzije MitD napada, uključujući i neke Google aplikacije koje se unapred instaliraju na većini Android uređaja.

Na primer, Google Translate, Google Voice Typing, Yandex Translate i Yandex Search su osetljive na MitD napad, dok je veoma popularan pregledač Xiaomi podložan drugoj vrsti MitD napada sa malicioznim ažuriranjem.

Istraživači kažu da su testirali samo ove aplikacije ali su sigurni da su i mnoge druge aplikacije osetljive na jedan od dva MitD napada, ako ne i na oba.

Prema rečima istraživača, razlogi zašto su MitD napadi mogući, jeste to što programeri aplikacija, čak i oni u Googleu, ne poštuju smernice za sigurnost Androida koje preporučuju jednostavne mere za rad sa spoljnom memorijom.

Check Point preporučuje da programeri aplikacija slede ove smernice kako bi sprečili zlonamerne aplikacije da zloupotrebljavaju deljenu spoljnu memoriju kako bi napale potentnije aplikacije.

Istraživači takođe smatraju da Android treba da bude ojačan kako bi sprečio MitD napade na nivou operativnog sistema i da se ne bi trebalo oslanjati na programere aplikacija da će oni primeniti bezbednosne mere.

"Iz iskustva izgleda da samo smernice nisu dovoljne za proizvođača OS-a da se oslobodi svake odgovornosti za ono što su dizajnirali programeri aplikacija. Umesto toga, obezbeđivanje operativnog sistema je jedino dugoročno rešenje za zaštitu od novog napada koji je okrilo njihovo istraživanje", rekli su istraživači.

Check Point kaže da je kontaktirao Google i Xiaomi i obavestio ih o ranjivostima koje je pronašao u njihovim aplikacijama. Google je već objavio zakrpu za pogodene aplikacije, dok je Xiaomi odlučio da ne rešava problem sa MitD napadom.