Man-in-the-Disk: Neuer Angriff auf Android-Apps per Speicherkarte

Forscher von Check Point haben eine neue Angriffsmethode für Android-Smartphones und -Tablets entwickelt. Zu lasche Regeln bei Umgang mit externen Speichern beziehungsweise fehlende Sicherheitsmaßnahmen erlauben es unter Umständen, schädliche Apps einzuschleusen, Updates zu manipulieren oder Android-Apps abstürzen zu lassen.

Der sogenannte Man-in-the-Disk-Angriff nutzt Schwachstellen von Android bei der Nutzung von externen Speichern. Dabei kann es sich um eine Partition im internen Gerätespeicher oder um eine microSD-Speicherkarte handeln. Ein externer Speicher wird zudem von allen Anwendungen gemeinsam genutzt.

Laut Check Point legen einige Apps ihre Daten im externen und nicht im internen Speicher ab, weil letzterer in der Regel begrenzt ist. Aber auch Probleme mit der Abwärtskompatibilität oder “reine Faulheit” seien Gründe für die Nutzung des externen Speichers.

Für dieses Szenario schlage Google sogar Regeln vor, die jedoch von vielen Entwicklern – auch von Google – nicht eingehalten würden. So sollten Entwickler die Prüfung von Eingaben und auch die Signierung und kryptografische Prüfung von Dateien vor einer dynamischen Verlinkung sicherstellen. Ausführbare Dateien sollten zudem gar nicht auf externen Speicher abgelegt werden.

Angreifbar sind nun vor allem Apps, die Updates oder auch nur Informationen von einem Server des App-Entwicklers erhalten und diese über den externen Speicher an die App weitergeben. Cyberkriminelle könnten diese Daten zuvor abfangen oder manipulieren – ähnlich wie bei einem Man-in-the-Middle-Angriff im Browser.

Check Point stuft diesen Angriff als sehr erfolgsversprechend ein, weil Apps sehr häufig die Berechtigung für den Speicherzugrifft einforderten, was von daher wenig Verdacht errege. Es sei also wahrscheinlich, dass ein Nutzer einen ungefährlich erscheinenden, aber in Wirklichkeit schädlichen App den Speicherzugriff gewähre.

“Ab diesem Zeitpunkt ist der Angreifer in der Lage, Daten, die zwischen einer beliebigen anderen Anwendung auf dem Gerät des Benutzers und dem externen Speicher übertragen werden, zu überwachen und sie rechtzeitig mit seinen eigenen Daten zu überschreiben, was zu einem unerwünschten Verhalten der angegriffenen Anwendung führt”, erklärten die Forscher.

Konkret fanden die Forscher die Schwachstellen unter anderem bei den Apps Google Übersetzer und der Google Spracheingabe. Beide Apps prüften nicht die Integrität der von einem externen Speicher gelesenen Daten. Google soll – im Gegensatz zu anderen App-Anbietern – die Fehler inzwischen beseitigt haben.

Check Point geht davon aus, dass neben den wenigen getesteten Anwendungen noch viele andere Apps anfällig für Man-in-the-Disk sind. “Bloße Richtlinien reichen nicht aus, um sich von jeglicher Verantwortung für das, was von App-Entwicklern entworfen wird, zu befreien”, teilte das Unternehmen mit. “Stattdessen ist die Sicherung des zugrunde liegenden Betriebssystems die einzige langfristige Lösung zum Schutz vor dieser neuen Angriffsfläche, die durch unsere Forschung aufgedeckt wurde.”