Clicky

Miles de dispositivos Android ejecutan un servicio remoto inseguro

Android Debug Bridge

Android Debug Bridge (ADB) es una función de línea de comandos para fines de diagnóstico

A pesar de las advertencias sobre la amenaza de dejar habilitados los servicios remotos inseguros en dispositivos Android, los fabricantes continúan enviando dispositivos con configuraciones de puerto de depuración ADB abiertas que dejan a los dispositivos basados en Android expuestos a los piratas informáticos.

Android Debug Bridge (ADB) es una función de línea de comandos que generalmente se utiliza para fines de diagnóstico y depuración ayudando a los desarrolladores de aplicaciones a comunicarse de forma remota con dispositivos Android para ejecutar comandos y, si es necesario, controlar completamente un dispositivo.

Por lo general, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando en el dispositivo un servidor daemon en el puerto TCP 5555.

Si se deja activado, los atacantes remotos no autorizados pueden escanear Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración de ADB a través del puerto 5555, acceder de forma remota a los privilegios "raíz" más altos y luego instalar software malicioso sin autenticación.

Por lo tanto, se recomienda a los proveedores que antes del envío se aseguren de que esté desactivada la interfaz ADB para sus dispositivos Android. Sin embargo, muchos proveedores no lo hacen.

Acceso de IPs por países

En una publicación de Medium el lunes, el investigador de seguridad Kevin Beaumont dijo que todavía hay innumerables dispositivos basados en Android, incluidos teléfonos inteligentes, DVRs, televisores inteligentes Android e incluso buques cisterna, que aún están expuestos en línea.

"Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como 'root'* - el modo de administrador - y luego instalar silenciosamente el software y ejecutar funciones maliciosas", dijo Beaumont.

La amenaza no es teórica, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron a principios de este año un gusano, denominado ADB.Miner, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).

Se cree que los smartphones, los televisores inteligentes y los decodificadores de televisión fueron atacados por el gusano ADB.Miner, que logró infectar a más de 5.000 dispositivos en solo 24 horas.

Ahora, Beaumont planteó una vez más las preocupaciones de la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado en febrero por Netlab todavía está vivo con millones de exploraciones detectadas el mes pasado.

"@GossiTheDog me inspiró para echar un vistazo al gusano ADB.Miner, del que he estado tomando huellas digitales en febrero. Parece que vive y se siente bastante bien. He revisado dos días (4, 5 de junio), con cerca de 40.000 direcciones IP únicas. Proporcionaré pronto un análisis profundo", tuiteó Piotr Bazydło, investigador de seguridad de TI en NASK.

Aunque es difícil saber la cantidad exacta de dispositivos debido a la traducción de direcciones de red y las reservas dinámicas de IP, Beaumont dice que "es seguro decir 'muchos'".

En respuesta a la publicación de blog de Beaumont, Shodan, el motor de búsqueda de Internet de las cosas (IoT), también agregó la capacidad de buscar en el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur.

Kevin aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.

Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.

Jesus_Caceres