Man in the disk – ช่องโหว่ที่เน้นช่องว่างของการใช้งาน External Storage ของ Application ใน Android

เมื่อ 2 สัปดาห์ก่อน Checkpoint ได้ออก paper เกี่ยวกับวิธีการโจมตี Android Application หลายๆตัวในชื่อว่า “Man-in-the-disk” โดยในที่นี้ผมจะสรุปให้เข้าใจง่ายๆว่าจริงๆแล้วช่องโหว่นี้มันคืออะไรครับ Man-in-the-disk คือช่องโหว่ของการที่ Android Application มีการใช้งาน External Storage (คือใช้สิทธิ์ WRITE_EXTERNAL_STORAGE) โดยปกติแล้วถ้าเป็น Android การ save ไฟล์ใดๆ ใน External Storage สามารถถูก monitor…
View Post