Todo mundo conhece o man-in-the-middle (MITM) — estranhamente aportuguesado para ‘homem no meio’: um ataque em que os dados trocados entre duas partes são de alguma forma interceptados por uma terceira pessoa. A Kaspersky, agora, descobriu uma nova vertente voltada para smartphones Android. Porém, dessa vez, ela se chama man-in-the-disk (MITD).
“Um princípio-chave do Android é que todos os aplicativos devem ser isolados uns dos outros. Isto é alcançado por meio do uso das chamadas sandboxes. Cada app, junto com seus arquivos privados, vive em uma ‘sandbox’ que outros não podem acessar”, explica sobre o Android. “A ideia é evitar que um programa malicioso, mesmo que se infiltre em seu dispositivo Android, roube dados que outros aplicativos bons armazenam, como nome de usuário e senha do seu app bancário ou histórico de mensagens. Não é surpresa que hackers estejam trabalhando duro para encontrar novas maneiras de desviar do mecanismo, buscando algo chamado de “fuga da sandbox”. E são bem-sucedidos de tempos em tempos. Por exemplo, a apresentação de Slava Makkaveev na DEF CON 26 teve como o foco um aplicativo sem permissões particularmente perigosas ou suspeitas escapando da sandbox. Ele apelidou o método de “Man-in-the-Disk“, em função do reconhecido tipo de ataque Man-in-the-Middle”.
O problema é que qualquer programa com acesso para ler/escrever no armazenamento externo pode ser capaz de acessar e modificar os arquivos, e adicionar algo malicioso
Entenda o ataque: o Android também conta com um armazenamento externo compartilhado que se chama… “Armazenamento Externo”. Para um aplicativo conseguir acessá-lo, o usuário precisa entregar essa permissão. Essa permissão ao Armazenamento Externo dá acesso aos arquivos, mídias e fotos do smartphone, algo que a maioria dos aplicativos já instalados no seu celular têm — então, você facilmente liberaria para outro app ter esse acesso.
“Aplicativos usam armazenamento externo para muitas coisas úteis, como substituir ou transferir arquivos entre um smartphone e um computador. Contudo, o armazenamento externo é também frequentemente usado para armazenar temporariamente dados baixados da Internet. Primeiro, esses dados são inseridos na parte compartilhada do disco, e só depois transferidos para uma área isolada que apenas aplicativos específicos podem acessar”, explica a Kaspersky. “Por exemplo, um aplicativo pode usar temporariamente a área para armazenar módulos adicionais que instala para expandir suas funcionalidades, conteúdos adicionais como dicionários ou atualizações. O problema é que qualquer programa com acesso para ler/escrever no armazenamento externo pode ser capaz de acessar e modificar os arquivos, e adicionar algo malicioso”.
Explorando o armazenamento externo, Slava Makkaveev mostrou alguns exemplos desse ataque na DEF CON 26 com explorações da vulnerabilidade do Google Tradutor, Yandex.Translate, Google Voice Typing e Google Text-to-Speech, assim como de aplicativos de sistema da LG e do navegador da Xiaomi.
Resumindo o ataque: aplicativos com acesso ao Armazenamento Externo compartilhado podem acabar enganando você e pedindo para que você faça o download de programas maliciosos. A partir deste ponto, um programa malicioso teria acesso aos dados completos em seu smartphone.
Como se proteger do “homem no disco”
- Instale aplicativos apenas de lojas oficiais como a Google Play. Os malwares podem infiltrar-se, mas é muito mais raro – e são removidos regularmente
- Desabilite a instalação de aplicativos de fontes terceirizadas nas configurações do seu smartphone ou tablet; são as fontes mais perigosas. Para fazer isso, selecione Configurações -> Segurança e desmarque a opção Fontes desconhecidas.
- Escolha aplicativos de desenvolvedores verificados. Verifique a classificação do app e leia as avaliações dos usuários. Evite instalar qualquer coisa que pareça suspeita
- Não instale o que não precisa. Quanto menos aplicativos tiver no seu smartphone, melhor
- Lembre-se de remover aplicativos que não são mais necessários
- Utilize um aplicativo antivírus para mobile confiável
Fonte: TecMundo