SD kart gibi harici depolama birimleri, dikkatsiz uygulamaların ellerinde telefonunuzu hacker'lara açabilir.
Telefonunuzun dahili depolama alanında her uygulamanın kullanacağı yer bellidir ve depolama alanı, Android sandbox'u tarafından korunur. SD kart gibi harici depolama birimleri ise daha farklı yönetilir. SD kartlar, verilerin uygulamalar arasında paylaşılmasına izin verir; bu yüzden dahili depolama ile aynı korumayı sunmaz. Check Point Security takımından araştırmacılar, harici depolama alanını gerekli önlemleri almadan kullanan uygulamaların "Man-in-Disk" saldırılarına açık olduğunu keşfetti. Bu tür saldırılar, hacker'ların telefona zararlı yüklemesine, iyi niyetli uygulamaların çalışmasını engellemeye ve hatta uygulamaların çökmesine neden olabiliyor.
Google, geliştiricilere harici depolamayı kullanırken dikkat etmeleri gereken birkaç noktadan bahsediyor. Bunlar arasında harici depolamada uygulama veya sınıf dosyalarını depolamamak, harici depolamadaki veriyi yönetirken giriş doğrulaması yapmak ve harici depolama dosyalarının dinamik yükleme öncesi imzalanması ve kriptografik olarak doğrulanması var.
Araştırmacılara göre Xiaomi Browser, uygulama güncellemelerini harici depolamada saklıyor. Bu güncelleme dosyalarını değiştirerek cihazınıza izinsiz olarak farklı bir uygulama yüklemek ise mümkün. Check Point, bu sorunu Google'a bildirdikten sonra sorun, Google tarafından kısa sürede onarılmış, ancak Xiaomi herhangi bir şey yapmamış.
Check Point, bu noktada Google'ın geliştiricilere tavsiyelerinin tam olarak işe yaramadığını söylüyor. Firmaya göre Google'ın işletim sisteminde uzun vadeli bir güvenlik önlemi geliştirmesi gerekiyor.