Много потребители използват microSD карти, за да разширят вградената памет в Android смартфоните си. На нея, те съхраняват снимки, видео, музика и всякакво други файлове. Някои Android приложения, могат да записват файлове в microSD картите, въпреки, че на практика са извън протоколите за защита в Android.
Check Point, компания занимаваща се със сигурността, е публикувала доклад, според който има уязвимост в начина, по който някои приложения използват външната памет. И тази уязвимост, може да получи достъп до “правата” на въпросните приложения и дори да инсталира зловреден софтуер.
Според доклада, въпреки указанията на Google за “правилна употреба” на външните памети (основно съображения за сигурност, свързани с криптиране на файловете), разработчиците не се съобразяват и следствието е “Man-in-the-Disk” атаката.
“Man-in-the-Disk” атаката, може да бъде изпълнена ако потребители инсталира на пръв поглед безобидно приложение, но в него да се съдържа зловреден код. Приложението ще поиска достъп до “външната памет” (което е често срещано и повечето потребители го разрешават). Приложението обаче, променя файловете и при следващото им използване, на практика използва променените и “зловредни” файлове. Хакерите се нуждаят точно от това – някой да стартира “техните” файлове. След това, според целите на хакера, може да се постигне почти всичко – промяна на “разрешенията”, извличане на потребителска информация и други.
Check Point са се свързали с Google и те вече са “фикснали” проблема със собствените им Google Translate, Google Voice Typing и Google Text-to-Speech приложения. Все още обаче, не е ясно още колко приложения предоставят въпросния достъп до microSD картите, без да се съобразяват с протоколите за сигурност на Google. Добре е, да се внимава.
