Onderzoeker Slava Makkaveev heeft op de Def Con-beveiligingsconferentie een aanval op Android-smartphones getoond. Deze gebruikt de externe opslag van Android om de sandbox van apps binnen te dringen en bijvoorbeeld een kwaadaardige app te installeren.

 

 

Makkaveev, verbonden aan beveiligingsbedrijf Check Point, legde tijdens zijn presentatie uit dat hij met externe opslag een partitie binnen de interne opslag van Android-telefoons bedoelt, die door alle apps op het toestel wordt gedeeld. Hoewel in de Android-richtlijnen is opgenomen dat appontwikkelaars deze opslag met de nodige beveiligingsmaatregelen moeten gebruiken, kwam hij erachter dat een aantal grote ontwikkelaars zich niet aan deze aanbevelingen houden, waaronder Google, LG en Xiaomi. Dat maakt het volgens hem mogelijk om de sandbox van kwetsbare Android-apps binnen te dringen. Voor zijn aanval is het vereist dat er al een 'onschuldige' app op het toestel aanwezig is met de rechten om naar de externe opslag te schrijven.

Een van de aanbevelingen voor Android-ontwikkelaars luidt bijvoorbeeld dat ze inputvalidatie moeten toepassen als ze gegevens gebruiken die opgeslagen zijn op de externe opslag. Hij liet zien dat dit bijvoorbeeld niet gebeurt bij Google Translate, dat pakketten voor offlinevertalingen op de externe opslag plaatst. Door deze bestanden te vervangen kon hij de Translate-app laten crashen op het moment dat deze een poging doet om een vertaling uit te voeren. Dat zou vervolgens weer een weg banen naar het injecteren van code die binnen de kwetsbare app wordt uitgevoerd.

Een andere aanbeveling is dat ontwikkelaars geen uitvoerbare bestanden op de externe opslag plaatsen. In het geval van de Application Manager van LG en de Xiaomi Browser gebeurde dat bijvoorbeeld wel. Op die manier was het voor Makkaveev mogelijk om een gedownload updatebestand aan te passen, zodat er uiteindelijk een kwaadaardige app heimelijk op de telefoon werd geïnstalleerd in plaats van de update. De onderzoeker noemt zijn aanval man-in-the-disk en heeft een fuzzer ontwikkeld om dit soort kwetsbaarheden op te sporen. Check Point heeft na de presentatie een blogpost gepubliceerd.

Reacties mogelijk gemaakt door CComment