Το ADB Exploit αφήνει χιλιάδες συσκευές Android εκτεθειμένες

Ένα νέο network worm έχει εμφανιστεί σε συσκευές Android, το οποίο εκμεταλλεύεται τη λειτουργία Android Debug Bridge (ADB) του λειτουργικού συστήματος – μια λειτουργία που ενεργοποιείται από προεπιλογή από τους κατασκευαστές τηλεφώνων.

Το worm αποκαλύφθηκε σε ένα blog post, από τον ερευνητή ασφάλειας Kevin Beaumont, ο οποίος έγραψε ότι το ADB είναι εντελώς απροστάτευτο και χιλιάδες συσκευές Android που συνδέονται στο Διαδίκτυο, είναι αυτή τη στιγμή εκτεθειμένες λόγω αυτής της ευπάθειας.

Πώς γίνεται το exploit;

Οι κατασκευαστές hardware κυκλοφορούν τα προϊόντα τους με το Android Debug Bridge ενεργοποιημένο από προεπιλογή και η υπηρεσία συνδέεται με τη θύρα TCP 5555 μέσω της οποίας μπορεί κάποιος να συνδεθεί σε μια συσκευή μέσω του Διαδικτύου.

SecNewsTV

23.1K subscribers

Περισσότερα... Subscribe!

“Ωστόσο, για να ενεργοποιηθεί – θεωρητικά – θα πρέπει κάποιος να συνδεθεί φυσικά, με μια συσκευή που χρησιμοποιεί USB και να ενεργοποιήσει πρώτα το Debug Bridge”, λέει ο Kevin.

Δεδομένου ότι το ADB είναι ένα βοηθητικό πρόγραμμα αντιμετώπισης προβλημάτων, επιτρέπει στο χρήστη να έχει πρόσβαση σε αρκετά ευαίσθητα εργαλεία, συμπεριλαμβανομένου ενός Unix shell. Αξιοποιώντας αυτό το χαρακτηριστικό, ένα cryptocurrency miner worm, με την ονομασία ADB.Miner worm, διαδόθηκε σε διάφορες συσκευές τον Φεβρουάριο. Το worm μπορεί να βρει νέες συσκευές για να προσβάλει, χρησιμοποιώντας τη θύρα 5555.

Οι κίνδυνοι που διακυβεύονται

Σύμφωνα με τον Kevin, υπάρχουν χιλιάδες συσκευές Android που εξακολουθούν να είναι εκτεθειμένες. Οποιοσδήποτε συνδεθεί σε μια συσκευή που εκτελεί ADB, μπορεί να εκτελεί εντολές από απόσταση.

“Αυτό είναι ιδιαίτερα ανησυχητικό, καθώς επιτρέπει σε οποιονδήποτε – χωρίς κωδικό πρόσβασης – να αποκτήσει root πρόσβαση από απόσταση σε αυτές τις συσκευές και στη συνέχεια να εγκαταστήσει στα κρυφά λογισμικά και να εκτελέσει κακόβουλες ενέργειες.

Το ADB.Miner είναι ακόμα ενεργό

Το ADB.Miner worm που πρωτοεμφανίστηκε τον Φεβρουάριο από το Qihoo 360 Netlab εξακολουθεί να είναι ενεργό και η δραστηριότητα σάρωσης στη θύρα 5555 δεν έχει σταματήσει ακόμα. Εκατομμύρια σαρώσεις καταγράφηκαν μόνο τον τελευταίο μήνα.

Η λύση

Ο Kevin συμβουλεύει τους κατόχους συσκευών Android να απενεργοποιούν αμέσως τη διεπαφή ADB. “Αυτό το πρόβλημα δεν έχει να κάνει με το ίδιο το Android Debug Bridge”, δήλωσε ο Kevin. “Το ADB δεν έχει σχεδιαστεί για να εκμεταλλεύεται με τον τρόπο αυτό”.

Πρόσθεσε επίσης ότι οι πωλητές δεν θα πρέπει να διαθέτουν προϊόντα με Debug Bridge ενεργοποιημένα μέσω δικτύου, καθώς αυτό οδηγεί στη δημιουργία Root Bridge – μια κατάσταση όπου οποιοσδήποτε μπορεί να καταχραστεί τις συσκευές.