Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/08/2018
Descoberta nova tècnica d'atac en Android
Aquest atac aprofita l’ús insegur de l’emmagatzematge que fan moltes aplicacions Android.
Man-in-the-Disk és el nom d’aquest nou vector d’atac descobert per investigadors de seguretat de CheckPoint, que es basa en explotar les opcions que ofereix Android a les aplicacions per a emmagatzemar els seus recursos.
Android ofereix per defecte dues alternatives per a emmagatzemar els seus recursos: emmagatzematge intern, protegit per la sandbox del SO i accessible només per la mateixa aplicació, i emmagatzematge extern, obert i accessible per totes les aplicacions del sistema.
Aquest últim cas és el que hauria de preocupar-nos, ja que encara que Google recomana als desenvolupadors utilitzar l’emmagatzematge intern per a emmagatzemar informació sensible, els investigadors han detectat que moltes aplicacions emmagatzemen aquesta informació sensible en l’emmagatzematge extern, per la qual cosa qualsevol altra aplicació instal·lada en el terminal pot accedir a aquesta informació.
Més informació en el blog unaaldia d’Hispasec i en el blog de CheckPoint.