攻擊 Android 裝置新招數:Man-in-the-Disk

man-in-the-disk

行動裝置上常見的安全漏洞多半來自網頁或是作業系統深層的缺陷,但知名資安公司 Check Point 最近發現,由於 Android 裝置對於存取外部儲存空間沒有限制,讓惡意軟體有了可趁之機。

一般而言,Android app 最好儘可能使用裝置內部的儲存空間,這樣便能受到 Google 沙箱機制保護,避免感染病毒。然而有些 app 沒有照規矩來,不但重度倚賴外部儲存空間,且沒有盡心驗證外部儲存空間上的資料。駭客便利用其薄弱的安全防護措施來操控資料並造成破壞,Check Point 把這種攻擊方式稱為 Man-in-the-Disk。

這種攻擊方式通常先誘導使用者下載一個看似無害的 app(例如手電筒 app),其中含有駭客的漏洞攻擊腳本。這些偽裝 app 在安裝時會請求對外部儲存空間的存取權限,這類請求在一般安裝 app 時很常見,不會引起使用者懷疑。之後當合法的 app 更新檢查程序開始時,這款惡意程序會開始存取外部儲存空間上的資料,以進行非法行為,包括下載惡意軟體而非下載更新,進行阻斷服務攻擊,或是插入有害程式碼以癱瘓 app 。

Check Point 指出,就算是大型開發商所推出的知名應用程式,也有這類安全性漏洞。如 Google 翻譯、語音輸入文字,及 Google 文字轉語音等,對於外部儲存空間的存取安全管控能力都很糟糕,遑論其他應用程式。

Google 和其他開發者皆表示已經或正在修補相關漏洞。由於 Android 裝置的外部儲存空間是公共區域,裝置上任何 app 都可以查看和修改,Android 對外部儲存空間資料並無內建保護措施,只對開發者合理使用資源給出指南和參考,故目前還沒有通用的修復方法。現階段的最佳防禦措施,就是不要下載可疑的 app、不要隨便授權應用程式,並儘可能頻繁更新值得信賴的 app。