データ読み込み時にデータの真正性を確認しないために起こるらしい

サイバーセキュリティ企業のCheck Point Software Technologiesは、Androidデバイスに不正なデータを読み込ませる手法として、外部ストレージ経由で実行される「Man-in-the-Disk」攻撃の可能性を警告した。Googleの示したガイドラインに従わず、不適切な方法で外部ストレージにアクセスするAndroidアプリが悪用される。

Androidが狙われる「Man-in-the-Disk」攻撃--SDカード経由でスマホに不正侵入 - CNET Japan

外部ストレージからのデータ読み込み時にデータの真正性を確認しないため、不正に書き換えられてもそのままデータを受け付ける。「Xiaomi Browser」は、アップデート用コードを外部ストレージに一時保存するのだが、このコードがすり替えられると攻撃用コードを実行してしまう

Androidが狙われる「Man-in-the-Disk」攻撃--SDカード経由でスマホに不正侵入 - CNET Japan