Beberapa aplikasi Android populer yang terpasang di ponsel mungkin rentan terhadap serangan jenis baru bernama “Man-in-the-Disk” yang dapat memberikan aplikasi pihak ketiga kemampuan untuk membuat mereka crash dan/atau menjalankan kode berbahaya.
Ditemukan oleh tim Check Point, skenario serangan Man-in-the-Disk (MitD) berputar di sekitar kemampuan aplikasi untuk menggunakan “Penyimpanan Eksternal,” salah satu dari dua jenis metode penyimpanan data yang didukung oleh OS Android.
Apa itu Penyimpanan Internal dan Eksternal?
Untuk lebih memahami serangan, pengetahuan umum tentang konsep Penyimpanan Internal dan Eksternal diperlukan.
Penyimpanan Internal, juga dikenal sebagai Memori Sistem, adalah bagian dari ruang penyimpanan bawaan ponsel Android yang menyimpan sistem operasi itu sendiri, aplikasi sistem, driver, dan data yang dipilih dari aplikasi yang dipasang pengguna.
Setiap aplikasi yang diinstal dapat mengalokasikan ruang “penyimpanan internal” sendiri yang dilindungi oleh lingkungan sandbox, yang berarti tidak dapat diakses oleh aplikasi lain.
Beberapa pengembang aplikasi tidak suka menggunakan terlalu banyak ruang Penyimpanan Internal karena dapat menghalangi beberapa pengguna menginstal aplikasi yang mengambil terlalu banyak ruang di ponsel mereka. Sebaliknya, mereka meminta izin untuk mengakses Penyimpanan Eksternal dan menyimpan file khusus aplikasi di sana, karena mereka tidak menghitung total “ukuran pemasangan” aplikasi.
Penyimpanan Eksternal adalah ruang penyimpanan umum, biasanya terdiri dari sisa hard drive internal telepon dan kartu SD tambahan atau perangkat penyimpanan USB yang tersambung ke ponsel.
Bagaimana serangan Man-in-the-Disk bekerja
Serangan Man-in-the-Disk bekerja karena dua alasan. Pertama, aplikasi apa pun dapat mengutak-atik data Penyimpanan Eksternal dari aplikasi lain. Kedua, karena hampir semua aplikasi meminta izin ini, pengguna umumnya bersedia memberikannya dan tidak menyadari risiko keamanan apa pun.
Selama pengujian, peneliti Check Point mengatakan mereka mampu membuat aplikasi berbahaya yang muncul sebagai aplikasi senter aman yang meminta izin untuk menyimpan data di ruang Penyimpanan Eksternal perangkat, dan menggunakan izin ini untuk menyerang aplikasi lain.
Para peneliti mengatakan mereka mampu melakukan dua jenis serangan – untuk menabrak aplikasi lain dan memperbarui aplikasi lain ke versi berbahaya.
Serangan pertama bekerja dengan ikut menyampuri file Penyimpanan Eksternal aplikasi lain dengan memasukkan data yang salah yang menyebabkan aplikasi macet. Jenis serangan pertama ini dapat digunakan untuk menyabot aplikasi yang bersaing atau memicu crash yang membiarkan pintu terbuka untuk mengeksploitasi celah lain dan menyuntikkan kode berbahaya di dalam aplikasi yang macet.
Jika aplikasi yang macet memiliki izin lebih dari aplikasi asli (senter), ini berarti penyerang dapat meningkatkan izinnya dan mengakses fitur ponsel yang lebih sensitif melalui aplikasi yang macet — fitur yang dibutuhkannya untuk meminta izin, dan yang akan ia miliki tentu saja tidak diterima untuk aplikasi senter asli.
Dalam jenis serangan MitD kedua, peneliti Check Point mengatakan bahwa aplikasi yang menyerang dapat memantau ruang Penyimpanan Eksternal untuk momen ketika aplikasi menerima pembaruan.
Karena beberapa aplikasi menggunakan Penyimpanan Eksternal untuk menyimpan file pembaruan sementara sebelum menerapkan pembaruan, peneliti mengatakan bahwa penyerang dapat dengan mudah mengganti file tersebut di ruang Penyimpanan Eksternal dan mengelabui aplikasi agar memasang versi berbahaya, atau aplikasi pihak ketiga berbahaya lainnya.
Aplikasi Google dan Yandex rentan terhadap MitD
Selama pengujian, Check Point mengatakan bahwa mereka mengidentifikasi beberapa aplikasi yang sangat populer yang rentan terhadap dua versi serangan MitD, termasuk di beberapa aplikasi Google yang telah terinstal di sebagian besar perangkat Android yang dijual di pasar.
Misalnya, Google Translate, Pengetikan Google Voice, Yandex Translate, dan Yandex Search rentan terhadap serangan MitD tipe crash, sementara Xiaomi Browser yang sangat populer sangat rentan terhadap serangan MitD yang berjenis pembaruan.
Para peneliti mengatakan mereka hanya menguji aplikasi ini, dan yakin bahwa banyak aplikasi lain juga rentan terhadap salah satu dari dua serangan MitD, jika tidak keduanya.
Check Point mengatakan bahwa mereka menghubungi Google dan Xiaomi tentang kerentanan yang ditemukan di aplikasi mereka. Google sudah merilis patch untuk aplikasi yang terpengaruh sementara Xiaomi memilih untuk tidak mengatasi vektor serangan MitD.
