Kiểu tấn công này được đặt tên là Man-in-the-Disk (MitD), lợi dụng cách các ứng dụng Android sử dụng hệ thống lưu trữ ngoài (thẻ nhớ) để lưu trữ dữ liệu ứng dụng. Những dữ liệu này có thể bị chỉnh sửa để chèn mã trong phạm vi đặc quyền của ứng dụng bị tấn công.

Hệ điều hành Android lưu trữ tài nguyên trong thiết bị tại hai vị trí: kho lưu trữ trong và kho lưu trữ ngoài. Google khuyến cáo các nhà phát triển ứng dụng Android sử dụng kho lưu trữ trong, nơi mà mỗi ứng dụng được cấp một vùng riêng và được bảo vệ bằng cơ chế sandbox của Android để lưu dữ liệu. Tuy nhiên, rất nhiều ứng dụng phổ biến như Google Translate, Yandex Translate, Google Voice Typing, Google Text-to-Speech, Xiaomi Browser đang sử dụng kho lưu trữ ngoài – nơi không được bảo vệ và có thể được truy cập bởi bất kỳ ứng dụng nào được cài đặt trên cùng thiết bị.

Tương tự như kiểu tấn công Man-in-the-Middle, MitD liên quan tới việc chặn bắt và sửa đổi dữ liệu đang được trao đổi giữa kho lưu trữ ngoài và ứng dụng. Nếu dữ liệu trao đổi bị thay thế bằng một phiên bản sửa đổi khéo léo, người dùng sẽ gặp phải những hậu quả xấu.

Ví dụ, các nhà nghiên cứu nhận thấy trình duyệt web Xiaomi tải bản cập nhật của nó xuống kho lưu trữ ngoài trước khi cài đặt. Do ứng dụng không kiểm tra được tính toàn vẹn của dữ liệu, nên mã cập nhật hợp lệ có thể bị thay thế bằng mã độc và kết quả một phiên bản độc hại vào máy người dùng có thể được cài đặt. Ngoài ra, tin tặc có thể cài đặt thêm các ứng dụng độc hại khác trên thiết bị một cách thầm lặng mà người dùng không hề hay biết. Trong khi đó, ứng dụng độc hại sẽ được sử dụng để leo thang đặc quyền và giành quyền truy cập tới các cấu phần khác của thiết bị như máy ảnh, microphone hay dữ liệu người dùng như danh bạ.…

Bản thân Google không tuân theo hướng dẫn an ninh của họ nhưng đã thừa nhận vấn đề, sửa chữa một số ứng dụng bị ảnh hưởng và đang sửa tiếp các ứng dụng khác. Ngoài Google, các nhà nghiên cứu đã thông báo cho những công ty phát triển ứng dụng về kiểu tấn công mới và việc ứng dụng của họ có thể bị ảnh hưởng. Tuy nhiên, một số nhà phát triển trong đó có Xiaomi vẫn từ chối sửa lỗi.

Các nhà nghiên cứu của Check Point nhấn mạnh rằng, họ mới chỉ kiểm tra một số lượng nhỏ các ứng dụng và cho rằng kiểu tấn công này có thể ảnh hưởng đến rất nhiều ứng dụng Android khác, khiến hàng triệu người dùng đối mặt với nguy cơ mất an toàn.