Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/08/2018
Descubierta nueva técnica de ataque en Android
Este ataque aprovecha el uso inseguro del almacenamiento que hacen muchas aplicaciones Android.
Man-in-the-Disk es el nombre de este nuevo vector de ataque descubirerto por investigadores de seguridad de CheckPoint, que se basa en explotar las opciones que ofrece Android a las aplicaciones para almacenar sus recursos.
Android ofrece por defecto dos alternativas para almacenar sus recursos: almacenamiento interno, protegido por la sandbox del SO y accesible sólo por la propia aplicación, y almacenamiento externo, abierto y accesible por todas las aplicaciones del sistema.
Es este último caso el que debería preocuparnos, ya que aunque Google recomienda a los desarrolladores utilizar el almacenamiento interno para almacenar información sensible, los investigadores han detectado que muchas aplicaciones almacenan esa información sensible en el almacenamiento externo, por lo que cualquier otra aplicación instalada en el terminal puede acceder a dicha información.
Más información en el blog unaaldia de Hispasec y en el blog de CheckPoint.