Man-in-the-Disk (MitD) napad - nova opasnost za Android uređaje
Mnoge Android aplikacije, uključujući i Google Translate, imaju manu koja omogućava MitD napade.
Istraživači su otkrili novi vektor napada na Android uređaje. Tzv. Man-in-the-Disk (MitD) napad omogućava napadačima da neprimetno zaraze uređaj malicioznom aplikacijom ili da pokrenu DDoS napade.
Aplikacije u Android uređajima mogu svoje podatke da čuvaju u internom ili eksternom skladištu. Problem se nalazi u načinu na koji Android aplikacije koriste eksterno skladište za čuvanje svojih podataka zbog čega napadači mogu da ubace maliciozni sadržaj u “privileged context“ ciljane aplikacije.
Google u svojim smernicama programere Android aplikacija savetuje da koriste interno skladište. Interno skladište predstavlja izolovan prostor u kome su osetljivi fajlovi i podaci aplikacija zaštićeni ugrađenim Android sandboxom. Međutim, brojne poznate aplikacije, uključujući i Google Translate, koriste nebezbedno eksterno skladište kome može pristupiti bilo koja aplikacija koja je instalirana na uređaju. Pored Google Translate, isti problem se javlja i kod Yandex Translate, Google Voice Typing, Google Text-to-Speech, LG Application Manager, LG World i Xiaomi Browsera.
Treba napomenuti da su istraživači testirali samo nekolicinu poznatih aplikacija pa se opravdano može pretpostaviti da problem postoji i kod brojnih drugih aplikacija što milione Android korisnika čini potencijalnim metama napada.
Kako funkcioniše Man-in-the-Disk napad?
MitD napad je sličan Man-in-the-Middle napadu, jer uključuje presretanje i izmenu podataka koji se razmenjuju između eksternog skladišta i aplikacije. Ukoliko se umesto legitimnog ubaci dobro osmišljeni maliciozni sadržaj, napad može ostaviti značajne posledice.
Na primer, istraživači su otkrili da Xiaomi browser downloaduje ažuriranja u eksterno skladište uređaja pre nego što ih instalira. Kako aplikacija ne uspeva da validira integritet podataka, moguće je zameniti legitimni kod ažuriranja malicioznim. Napadači u ovoj situaciji zatim mogu da prate koji se podaci razmenjuju između bilo koje druge aplikacije na uređaju korisnika i eksternog skladišta i da legitimni sadržaj zamene malicioznim kako bi manipulisali ili izazvali probleme u funkcionisanju aplikacije.
MitD napadom hakeri mogu da instaliraju druge maliciozne aplikacije u pozadini bez znanja korisnika što kasnije mogu iskoristiti za dobijanje privilegija odnosno pristupa i drugim delovima Android uređaja (kameri, mikrofonu, listi kontakata itd.).
Video demonstracija MitD napada
Google (koji se ne pridržava sopstvenih smernica) je priznao da postoji problem i napravio fix za neke od svojih aplikacija, a radi i na rešavanju problema i za svoje preostale aplikacije. Xiaomi trenutno ne namerava da reši problem.
Izvor: The Hacker News
![Mala škola SSL-a / Lekcija 1.1: Da li je SSL isto što i TLS? [VIDEO]](/images/8/d/8/9/4/8d894073bac024e0660618630488f341b75de85c-1-da-li-je-ssl-isto-sto-i-tls.png "Mala škola SSL-a / Lekcija 1.1: Da li je SSL isto što i TLS? [VIDEO]")
![Kako prepoznati skimer na bankomatu [VIDEO]](/images/0/6/a/7/2/06a726afa754d01641349c320ebde67139e0ce99-1keypad.jpg "Kako prepoznati skimer na bankomatu [VIDEO]")
