En repetidas ocasiones se ha advertido sobre la gran amenaza que constituye dejar los servicios remotos inseguros habilitados en dispositivos Android, algunos fabricantes continúan con esta práctica y siguen enviando dispositivos con configuraciones de puerto de depuración ADB abiertas las cuales dejan a los dispositivos basados en Android expuestos a los piratas informáticos.
“Android Debug Bridge (ADB)” es una función de línea de comandos que habitualmente se utiliza con fines de diagnóstico y depuración, ayudando a los desarrolladores de aplicaciones a comunicarse con dispositivos Android de forma remota para ejecutar comandos y, si es necesario; controlar completamente un dispositivo.
Generalmente, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando un servidor daemon en el puerto TCP 5555 en el dispositivo.
Si este servicio se deja activado, así como los desarrolladores pueden acceder a los dispositivos, también lo pueden hacer los atacantes remotos no autorizados. Ellos pueden buscar en Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración ADB a través del puerto 5555, acceder de forma remota a los privilegios "ROOT" más altos y luego instalar software malicioso sin autenticación. Por lo tanto, es muy recomendable que los proveedores se aseguren de que la interfaz ADB para sus dispositivos Android esté desactivada antes del envío. Sin embargo, muchos proveedores no realizan esta verificación.
En una publicación realizada por el investigador de seguridad Kevin Beaumont, manifestó que todavía hay innumerables dispositivos basados en Android, incluidos teléfonos inteligentes, DVR, televisores inteligentes Android e incluso buques cisterna, que aún están expuestos en línea. "Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como 'root' - modo de administrador - y luego instalar silenciosamente el software y ejecutar funciones maliciosas", dijo Beaumont.
Como se ha logrado demostrar esta amenaza no es teórica, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron un gusano, denominado ADB.Miner, a principios de este año, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).
Se cree que los smartphones, los televisores inteligentes y los decodificadores de televisión fueron atacados por el gusano ADB.Miner, que logró infectar a más de 5.000 dispositivos en solo 24 horas.
Ahora, Beaumont una vez más planteó las preocupaciones de la comunidad en general sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.
Realmente es muy difícil saber la cantidad exacta de dispositivos afectados debido a la traducción de direcciones de red y las reservas dinámicas de IP, Beaumont dice que "es seguro decir 'mucho' ".
Realmente es muy difícil saber la cantidad exacta de dispositivos afectados debido a la traducción de direcciones de red y las reservas dinámicas de IP, Beaumont dice que "es seguro decir 'mucho' ".
En respuesta a la publicación de blog de Beaumont, Shodan, motor de búsqueda de Internet de las cosas (IoT), también agregó la capacidad de buscar el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur.
Kevin aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.
Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.
Fuente: https://securityhacklabs.net/
Si te ha gustado el artículo, sígue a Security Hack Labs en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.
0 Comentarios