در اندروید دو انتخاب برای محل ذخیره اطلاعات وجود دارد: یکی روی حافظه داخلی که انتخابی ایمن و راحت است و دیگری روی حافظه خارجی که این نوع ذخیره‌سازی آن‌قدر ایمن نیست و اطلاعات می‌توانند به راحتی بین برنامه‌ها جابجا شود. در بیشتر مواقع این نوع نصب جواب می‌دهد ولی گاهی اوقات ممکن است توسعه‌دهنده‌ها از روش دوم به نادرستی استفاده ‌کنند و به هکرها اجازه دخالت و فعالیت بدهند. این قضیه اخیرا مورد توجه یک محقق به نام اسلاوا مکاویو قرار گرفته است. با قرار دادن نادرست اطلاعات در حافظه خارجی یک  برنامه می‌تواند به طور بالقوه دستگاه اندرویدی شما را در معرض یک هک هوشمندانه توسط هکرها، بهدست گرفتن کنترل دستگاه و خاموش روشن کردن دستگاه اندرویدی شما توسط بدافزارها قرار ‌دهد.

اوریل گان می‌گوید: این موضوع بستری برای حمله‌های هکری فراهم می‌سازد که تا به امروز کسی به آن توجهی نکرده است و مطلبی هم در این باره نوشته نشده است. از این رو توسعه دهنده‌ها باید به شیوه استفاده از حافظه خارجی توجه کافی داشته باشند. او همچنین به این نکته اشاره می‌کند که بیشتر برنامه‌هایی که چک پوینت (Check Point) بررسی کرده است واجد شرایط این سبک از حمله‌ها هستند.

شاید بهتر باشد به چنین موضوعی اینطور نگاه کنیم: توسعه دهنده‌ها می‌توانند اطلاعات را در حافظه خارجی ذخیره کنند و باید به این قضیه مثل یک ویژگی نگاه شود نه یک باگ و در بسیاری از موارد هم این یک تصمیم منطقیست. به عنوان مثال وقتی شما می‌خواهید عکسی بگیرید و برای فرد دیگری بفرستید بهتر است که این عکس در حافظه خارجی ثبت شود تا به سبب آن برنامه پیام‌رسانتان آن را دریافت کند. در این صورت خطری تهدیدتان نمی‌کند.

در ضمن هر اطلاعاتی در حافظه داخلی، به سندباکس اندروید فرستاده می‌شود و به این صورت از نفوذ برنامه‌های دیگر به آن جلوگیری ‌می‌شود. اما گاهی اوقات توسعه دهنده‌‎ها زمانی از حافظه خارجی استفاده می‌کنند که نباید به سمتش بروند. ممکن است مسائلی مثل کمبود فضا و کپی کردن کدهای غلط ازجای دیگر باعث شود که انتهای کدها برای نفوذ باز بماند.

در این‌جا آن‌چه محققان از آن به عنوان تسلط برنامه‌نویس روی حافظه یاد می‌کنند از کار‌می‌افتد. در نتیجه این امر یک هکر از کاربر می‌خواهد که برنامه‌ای به ظاهر بی‌خطر را نصب کند. در ضمن از کاربر اجازه هم می‌گیرد که اجازه ورود همیشگی به حافظه را داشته باشد. به این صورت برنامه خطرناک دانلود شده کنترل همه برنامه‌های ثبت شده روی حافظه خارجی را به دست می‌گیرد.

گان می‌گوید: این برنامه ها قادر به جایگزینی اطلاعات هستند و می‌توانند محتوای ثبت شده روی حافظه خارجی را طوری دستکاری کنند که به برنامه‌های ذخیره شده در حافظه دست پیدا کنند.

توسعه دهنده‌ها باید همیشه هنگام استفاده از حافظه خارجی دقت کافی داشته باشند

گوگل راهنمایی‌هایی را به توسعه دهندگان پیشنهاد می‌دهد و آنها را ترغیب میکند که کدهای حساس را روی حافظه خارجی قرار ندهند. اما نه تنها بسیاری از برنامه‎‌ها از این دستورالعمل‌ها استفاده نمی‌کنند بلکه خود گوگل هم در چنین مساله‌ای ایمن نیست. تحقیقات انجام شده نشان می‌دهد که فایل‌هایی که از برنامه مترجم گوگل یا همان google translate در حافظه خارجی ذخیره می‌شوند می توانند بر روی تعدادی از برنامه‌ها تاثیر داشته باشند. در حال حاضر گوگل در حال بررسی این قضیه است و سعی می‌کند توضیح دهد مشکل از کجاست.

گان می گوید: Google Translate در دستگاه من به دوربین دسترسی دارد و من اگر بتوانم کد آن را بشکنم و کد خودم را وارد کنم، کد نوشته شده توسط من نسبت به برنامه Google Translate ارجحیت پیدا می‌کند و به این صورت به دوربین من دسترسی پیدا خواهد کرد. این درحالیست که من هیچ اجازه‌ای به این برنامه نداده‌ام.

محققان اخیرا یک آسیپ پذیری دیگر هم در مدیریت برنامه‌های ال‌جی یافته اند. طوری که برنامه‌ها از حافظه خارجی استفاده می‌کنند باعث می‌شد برنامه‌ها بستری شوند برای نصب برنامه‌های ناخواسته. ال‌جی به این قضیه تا به حال واکنشی نشان نداده است.

در آخرحملات MITD یا همان  man-in-the-disk نشان می‌دهد که چگونه ساختار سیستمی می‌تواند نتایج ناخواسته‌ای پدیدآورد. دلیل وجود حافظه خارجی برمی‌گردد به دورانی که فضای کافی در دستگاه وجود نداشت و از کارت SD برای جبران این قضیه استفاده می‌شد. این روزها وقتی توسعه دهنده‌ها به صورت غیر منطقی از حافظه خارجی استفاده می‌کنند، راه را برای نفوذ حمله‌های احتمالی بازمی‌گذارند. این قضیه به این راحتی‌ها حل نمی‌شود مگر اینکه گوگل سازوکاری فراهم کند که کنترل ذخیره‌سازی در دستگاه اندرویدی به شکل دیگری عمل کند. البته این قضیه هم بی‌شک موجب تداخل‌هایی در کارکرد دستگاه اندرویدیتان می‌شود.

گان می‌گوید: این کار دور از ذهنیست که از هر توسعه‌دهنده‌ای انتظار داشته باشید که امنیت برنامه‌ای که توسعه می‌دهد را رعایت کند، دستورالعمل‌های خوبی وجود دارند. توسعه‌دهنده‌ها هم همینطور. اما این دو همیشه دست در دست هم حرکت نمی‌کنند.