Was ist eine Man-in-the-Disk-Attacke?

Das Team von Check Point hat Fälle beobachtet, in denen eine App heruntergeladen oder aktualisiert wurde. Oder es wurden Daten vom Server des App-Providers empfangen. Diese wurden durch den externen Speicher geleitet, bevor sie an die App selbst weitergingen. Eine solche Praxis bietet dem Angreifern die Möglichkeit, die im externen Speicher gesicherten Daten zu manipulieren, bevor die App sie erneut liest.

Die Einmischung in die Daten erfolge über eine scheinbar unschuldige Anwendung, zum Beispiel eine gefälschte Taschenlampen-App. Der Benutzer wird vom Angreifer dazu überredet, diese harmlos aussehende Anwendung herunterzuladen. Die App bittet dann um die Erlaubnis des Benutzers zum Zugriff auf den externen Speicher. Was für Anwendungen normal ist und beim Benutzer kaum Verdacht erregen dürfte.

Ab diesem Zeitpunkt sei der Angreifer in der Lage, Daten, die zwischen einer beliebigen anderen Anwendung auf dem Gerät des Benutzers und dem externen Speicher übertragen werden, zu überwachen und sie mit seinen eigenen Daten zu überschreiben, was zu einem unerwünschten Verhalten der angegriffenen Anwendung führe.

Die Ergebnisse der Angriffe können je nach Wunsch und Erfahrung des Angreifers variieren. Die Untersuchungen der Sicherheitsexperten hätten gezeigt, dass es möglich sei, eine unerwünschte Anwendung im Hintergrund zu installieren – ohne die Erlaubnis des Benutzers.

Die Sicherheitsforscher von Check Point geben zu bedenken, dass sie nur eine kleine Auswahl von Anwendungen untersucht haben. Dennoch heißt es im Bericht: "Die Prävalenz dieser Schwachstellen in unserem Beispielset lässt uns glauben, dass viele andere Anwendungen die externe Speicherressource sorglos nutzen und daher für ähnliche Angriffe anfällig sein könnten."