A pesar de las advertencias sobre la amenaza de dejar los servicios remotos inseguros habilitados en dispositivos Android, los fabricantes continúan enviando dispositivos con configuraciones de puerto de depuración ADB abiertas que dejan a los dispositivos basados en Android expuestos a los piratas informáticos.
Android Debug Bridge (ADB) es una función de línea de comandos que generalmente se utiliza para fines de diagnóstico y depuración ayudando a los desarrolladores de aplicaciones a comunicarse con dispositivos Android de forma remota para ejecutar comandos y, si es necesario, controlar completamente un dispositivo.
Por lo general, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando un servidor daemon en el puerto TCP 5555 en el dispositivo.
Si se deja activado, los atacantes remotos no autorizados pueden escanear Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración ADB a través del puerto 5555, acceder de forma remota a los privilegios «raíz» más altos y luego instalar software malicioso sin autenticación.
Por lo tanto, se recomienda a los proveedores que se aseguren de que la interfaz ADB para sus dispositivos Android esté desactivada antes del envío. Sin embargo, muchos proveedores no lo hacen.
En una publicación de blog mediana publicada el lunes, el investigador de seguridad Kevin Beaumont dijo que todavía hay innumerables dispositivos basados en Android, incluidos teléfonos inteligentes, DVR, televisores inteligentes Android e incluso buques cisterna, que aún están expuestos en línea.
«Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como ‘root’ * – el modo de administrador – y luego instalar silenciosamente el software y ejecutar funciones maliciosas», dijo Beaumont.
La amenaza no es teórica, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron un gusano, denominado ADB.Miner, a principios de este año, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).
Se cree que los smartphones, los televisores inteligentes y los decodificadores de televisión fueron atacados por el gusano ADB.Miner, que logró infectar a más de 5.000 dispositivos en solo 24 horas.
Ahora, Beaumont una vez más planteó las preocupaciones de la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.
Se cree que los smartphones, los televisores inteligentes y los decodificadores de televisión fueron atacados por el gusano ADB.Miner, que logró infectar a más de 5.000 dispositivos en solo 24 horas.
Ahora, Beaumont una vez más planteó las preocupaciones de la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.
«@GossiTheDog me inspiró para echar un vistazo al gusano ADB.Miner, que he estado tomando las huellas digitales en febrero. Parece que vive y se siente bastante bien. He comprobado dos días (4, 5 de junio) ) -. alrededor de 40 000 direcciones IP únicas que va a proporcionar un análisis profundo pronto «, Piotr Bazydło, TI investigador de seguridad en NASK, tuiteó .
Aunque es difícil saber la cantidad exacta de dispositivos debido a la traducción de direcciones de red y las reservas dinámicas de IP, Beaumont dice «es seguro decir ‘mucho'».
En respuesta a la publicación de blog de Beaumont, la búsqueda de Internet de las cosas (IoT) el motor Shodan también agregó la capacidad de buscar el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur.
Kevin aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.
Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.
Fuente: Thehackernews.com