Een beveiligingsbedrijf heeft een ontwerpfout aangetroffen in Androids Sandbox. Die zou ervoor zorgen dat externe opslag gebruikt kan worden als manier om cyberaanvallen te lanceren.

Dat zou tot ongewenste zaken zoals het installeren van apps op de smartphone van een gebruiker kunnen leiden, meldt Check Point Research in een blog. De ‘Man-in-the-Disk’-aanvallen zijn mogelijk als toepassingen laks zijn ten aanzien van de manier waarop ze omgaan met de scheiding van externe en interne opslag. Als ze geen gebruik maken van de Sandbox-beveiliging en ook zelf niet over beveiligingsmaatregelen beschikken, zijn apparaten zeer kwetsbaar.

Opslag
Binnen Android zijn er twee verschillende soorten opslag mogelijk: interne opslag – waarin elke applicatie los gebruikt wordt en van de rest gescheiden middels de Android Sandbox – en externe opslag – vaak via een SD-kaart of partitie binnen de opslag van het apparaat, die door elke toepassing gedeeld wordt.

Die externe opslag wordt vooral gebruikt om bestanden tussen toepassingen uit te wisselen. Stel dat een berichtenapp een foto wil verzenden naar een ander persoon, is er toegang tot de mediabestanden in de externe opslag nodig. Tegelijk zijn er andere redenen waarom externe opslag soms handig is. Interne opslag is bijvoorbeeld beperkt en daar willen ontwikkelaars niet altijd teveel van gebruiken.

Hoe het werkt
Als er gebruik gemaakt worden van externe opslag, zijn bepaalde voorzorgsmaatregelen nodig. In de Android-documentatie van Google valt te lezen dat ontwikkelaars bepaalde validatietests moeten uitvoeren. Tegelijk moeten ze ervoor zorgen dat uitvoerbare bestanden niet op externe opslag terecht komen en dat elk bestand ondertekend is.

Dat blijkt volgens Check Point Research niet altijd te gebeuren. Daardoor kunnen aanvallers een app downloaden, updaten en data van een server halen. Aanvallers kunnen de gegevens die een app op de externe opslag plaatst wijzigen. Het is voor kwaadwillenden ook mogelijk om de externe opslag te monitoren en meer verkeer en informatie te onderscheppen en wijzigen.

In zijn onderzoek is Check Point erin geslaagd om een toepassing te installeren op de apparaten van gebruikers. Daardoor kon men zich bepaalde privileges verschaffen, waaronder het hacken van de camera en microfoon en andere delen van een smartphone.