Skip to main content

Man-in-the-Disk, el ataque que compromete la tarjeta microSD de Android

tarjeta microsd

13/08/2018 - 16:01

Un equipo de investigadores de la firma de seguridad Check Point ha descubierto un nuevo ataque que aprovecha el mal uso que algunas apps de Android hacen del almacenamiento externo para comprometer la tarjeta microSD.

Recibe el nombre de Man-in-the-Disk y puede permitir que un usuario malicioso instale aplicaciones no solicitadas de manera clandestina, así como que bloquee la ejecución o provoque el cierre de apps legítimas.

Un smartphone utiliza dos tipos de almacenamiento, el interno y el externo. El segundo se basa en el uso de tarjetas microSD extraíbles y, dado que es un área pública que cualquier app instalada puede observar y modificar, es muy importante mantenerla segura.

Compra una nueva microSD a buen precio en Amazon España

Android no proporciona protecciones integradas para los datos almacenados en la tarjeta microSD, y para velar por su seguridad Google da a los desarrolladores unas pautas de uso del almacenamiento externo en Android. Estas directrices incluyen realizar una validación de entrada al manejar los datos, no guardar archivos ejecutables o de clase, y exigir que los archivos estén firmados y verificados criptográficamente antes de la carga dinámica.

No obstante, de acuerdo con los investigadores de Check Point, hay muchas aplicaciones que ponen en riesgo las tarjetas microSD porque no siguen estas pautas, incumplidas incluso por la propia Google. Entre ellas encontramos apps tan populares como Google Translate, Google Text-to-Speech, Google Voice, Yandex o Xiaomi Browser. 

El equipo comunicó los resultados de su investigación a los desarrolladores de estas apps, y tanto Google como otros proveedores afirman que o bien han corregido el problema o bien están trabajando en una solución para implementarla cuanto antes.

Qué tipo de tarjetas microSD existen y cuál elegir para tu móvil

Las apps que no siguen las pautas de seguridad de Google para el almacenamiento externo hacen posible el ataque Man-in-the-Disk, que concede a un usuario malintencionado acceso a la tarjeta micro SD de tu móvil Android, dándole vía libre para instalar malware o interferir en el uso de apps legítimas.

Desde Check Point señalan que, para evitar el ataque Man-in-the-Disk, lo más recomendable es que Android implemente protecciones integradas para los datos de la tarjeta micro SD.