https://www.ecured.cu/index.php?action=history&feed=atom&title=Man-in-the-DiskMan-in-the-Disk - Historial de revisiones2026-04-23T04:18:02ZHistorial de revisiones para esta página en el wikiMediaWiki 1.31.16https://www.ecured.cu/index.php?title=Man-in-the-Disk&diff=3280558&oldid=prevReynier idict: Reynier idict trasladó la página Man-in-the-Disk: un nuevo método para hackear Android a Man-in-the-Disk2018-12-20T16:11:26Z<p>Reynier idict trasladó la página <a href="/Man-in-the-Disk:_un_nuevo_m%C3%A9todo_para_hackear_Android" class="mw-redirect" title="Man-in-the-Disk: un nuevo método para hackear Android">Man-in-the-Disk: un nuevo método para hackear Android</a> a <a href="/Man-in-the-Disk" title="Man-in-the-Disk">Man-in-the-Disk</a></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<tr class="diff-title" lang="es">
<td colspan="1" style="background-color: #fff; color: #222; text-align: center;">← Revisión anterior</td>
<td colspan="1" style="background-color: #fff; color: #222; text-align: center;">Revisión del 16:11 20 dic 2018</td>
</tr><tr><td colspan="2" class="diff-notice" lang="es"><div class="mw-diff-empty">(Sin diferencias)</div>
</td></tr></table>Reynier idicthttps://www.ecured.cu/index.php?title=Man-in-the-Disk&diff=3271235&oldid=prevMorales11012: Página creada con «{{Definición |nombre= Man-in-the-Disk |imagen=Main_in_the_disk.jpg |tamaño=150px |concepto= Mecanismo para hackear Android. }} <div align=justify> '''Man-in-the-Disk'…»2018-12-12T14:13:00Z<p>Página creada con «{{Definición |nombre= Man-in-the-Disk |imagen=Main_in_the_disk.jpg |tamaño=150px |concepto= Mecanismo para hackear <a href="/Android" title="Android">Android</a>. }} <div align=justify> '''Man-in-the-Disk'…»</p>
<p><b>Página nueva</b></p><div>{{Definición<br />
|nombre= Man-in-the-Disk<br />
|imagen=Main_in_the_disk.jpg<br />
|tamaño=150px<br />
|concepto= Mecanismo para hackear [[Android]].<br />
}}<br />
<div align=justify><br />
'''Man-in-the-Disk''': Android es un buen [[sistema operativo]], sus desarrolladores se preocupan por la seguridad, pero con tantas versiones del sistema operativo y [[aplicaciones]], es complicado supervisarlas todas. Por tanto, surgen frecuentemente nuevos métodos para sortear los mecanismos de seguridad incorporados. El último método para [[hacker|hackear]] Android es ''Man-in-the-Disk''.<br />
==Sandbox, la base de la seguridad de Android==<br />
Un principio clave de Android es que todas las aplicaciones deben estar separadas entre ellas y esto se consigue mediante [[sandbox]]. Cada aplicación, junto con sus archivos privados, habita en un sandbox al cual no pueden acceder otras aplicaciones.<br />
La idea es evitar que, aunque la aplicación maliciosa se infiltre en tu dispositivo Android, no robe datos de otras aplicaciones, como el nombre de usuario o contraseña de tu aplicación bancaria online o tu historial de [[mensajes]]. No hace falta decir que los [[hackers]] trabajan duro para encontrar nuevas formas de sortear los mecanismos de protección y conseguir el llamado “sandbox escape“, que permite que se ejecute código fuera de un sandbox, y de vez en cuando lo consiguen.<br />
Por ejemplo, la ponencia de Slava Makkaveev en DEF CON 26 se centró en cómo una aplicación sin un peligro en particular o permisos sospechosos puede escapar del sandbox. Él fue el que le puso nombre al método Man-in-the-Disk, por el famoso ataque Man-in-the-Middle.<br />
==Cómo funciona el ataque Man-in-the-Disk==<br />
Aparte de los sandbox que albergan las aplicaciones, Android cuenta un almacenamiento externo compartido llamado “Almacenamiento externo”. Una aplicación debe solicitar permiso al usuario para acceder a este almacenamiento: “Acceso a [[fotos]], contenido [[multimedia]] y archivos de tu [[dispositivo]]” (efectivamente, se trata de dos permisos: LEER_ALMACENAMIENTO_EXTERNO y ESCRIBIR_ALMACENAMIENTO_EXTERNO). Estos privilegios no se suelen considerar como peligrosos y casi cada aplicación los solicita, por lo que no resulta sospechoso.<br />
Las aplicaciones utilizan el almacenamiento externo para muchas funciones útiles, como intercambiar o transferir archivos entre un [[smartphone]] y una [[computadora]]. Sin embargo, el almacenamiento externo también se utiliza a menudo para almacenar temporalmente datos descargados de [[Internet]]. Primero, los datos se escriben a la parte compartida del disco y solo entonces se transfieren a un área apartada a la que solo tiene acceso la aplicación en particular.<br />
Una aplicación puede utilizar de forma temporal el área para almacenar módulos suplementarios que instala para amplificar su funcionalidad, para contenido adicional como diccionarios o para actualizaciones. El problema es que una aplicación con permisos para leer o escribir en el almacenamiento externo puede ganar acceso a los archivos y modificarlos añadiendo algo malicioso.<br />
Imagina que una aplicación en apariencia inofensiva, como un juego, puede llegar a infectar tu smartphone.<br />
Los creadores de [[Android]] se han percatado de que el almacenamiento externo puede ser peligroso y el sitio del desarrollador de Android incluye una serie de consejos útiles para los programadores de aplicaciones.<br />
El problema es que no todos los desarrolladores de aplicaciones, ni siquiera los empleados de Google o algunos fabricantes de smartphones, siguen estos consejos. Los ejemplos presentados por Slava Makkaveed incluyen la explotación de la vulnerabilidad en [[Google Translate]], [[Yandex.Translate]], [[Google Voice Typing]] y [[Google Text-to-Speech]], además de aplicaciones de sistema de LG y el [[navegador]] de [[Xiaomi]].<br />
Los investigadores de [[Google]] descubrieron recientemente que el mismo ataque Man-in-the-Disk se puede aplicar a la versión Android de un juego muy popular, Fortnite. Para descargar el juego, los usuarios necesitan instalar una aplicación auxiliar primero que se supone que debe descargar los archivos del juego. Resulta que, con el ataque Man-in-the-Disk, alguien puede manipular la aplicación auxiliar para que instale una aplicación maliciosa. Los desarrolladores de Fortnite, Epic Games, son conscientes de esta vulnerabilidad y ya han expedido una nueva versión del instalador. Así que, si quieres obtener Fortnite, utiliza la versión 2.1.0 para mantenerte a salvo. Si ya tienes el juego instalado, desinstálalo y vuelve a instalarlo desde cero con la versión que acabamos de mencionar.<br />
==Cómo proteger tu Android de un ataque Man-in-the-Disk==<br />
Hay muchas más aplicaciones vulnerables.<br />
''¿Cómo puedes mantenerte a salvo?''<br />
*Instala aplicaciones solo desde tiendas oficiales como [[Google Play Store|Google Play]]. A veces se infiltra [[malware]], pero es mucho más raro.<br />
*Deshabilita la instalación de aplicaciones de fuentes de terceros en los ajustes de tu smartphone o tablet, pues son las fuentes más peligrosas. Para ello, selecciona Ajustes – Seguridad y desactiva Fuentes desconocidas.<br />
*Elige aplicaciones de desarrolladores verificados. Comprueba la puntuación de la aplicación y lee las opiniones. Evita instalar aplicaciones que no conozcas o tengas dudas.<br />
*No instales nada que no necesites. Cuantas menos aplicaciones tengas en tu smartphone, mejor.<br />
*Recuerda eliminar las aplicaciones que no utilices.<br />
*Utiliza que te notifique si una aplicación maliciosa intenta penetrar en tu dispositivo.<br />
==Fuentes==<br />
https://blog.checkpoint.com/2018/08/12/man-in-the-disk-a-new-attack-surface-for-android-apps/<br />
<br />
https://www.youtube.com/watch?v=M3rQ_J8rS7c<br />
<br />
https://www.xatakandroid.com/seguridad/man-in-the-disk-nuevo-tipo-ataque-que-se-aprovecha-tarjetas-sd-nuestros-android<br />
<br />
[[Category:Informática]]</div>Morales11012