Des milliers d’appareils Android exécutant un service ADB distant non sécurisé

Malgré les avertissements sur la menace de laisser des services distants non sécurisés activés sur les appareils Android, les fabricants continuent d’expédier des appareils avec des configurations de port de débogage ADB ouvertes qui exposent les appareils Android aux pirates.

Android Debug Bridge (ADB) est une fonctionnalité de ligne de commande généralement utilisée à des fins de diagnostic et de débogage. Elle permet aux développeurs d’applications de communiquer avec les appareils Android à distance pour exécuter des commandes et, si nécessaire, contrôler complètement un périphérique.

Habituellement, les développeurs se connectent au service ADB installé sur les appareils Android à l’aide d’un câble USB, mais il est également possible d’utiliser ADB sans fil en activant un serveur démon au port TCP 5555 sur le périphérique.

Si cette option est activée, les attaquants distants non autorisés peuvent analyser Internet pour trouver une liste d’appareils Android non sécurisés exécutant l’interface de débogage ADB sur le port 5555, y accéder à distance avec les privilèges « root » les plus élevés, puis installer les logiciels malveillants sans aucune authentification.

Par conséquent, les fournisseurs sont invités à s’assurer que l’interface ADB pour leurs appareils Android est désactivée avant l’expédition. Cependant, de nombreux fournisseurs ne le font pas.

Dans un article de blog moyen publié lundi, le chercheur en sécurité Kevin Beaumont a dit qu’il y a encore d’innombrables appareils Android, y compris les smartphones, DVR, smart TV Android, et même les pétroliers, qui sont encore exposés en ligne.

"Ceci est très problématique car il permet à n’importe qui - sans mot de passe - d’accéder à distance à ces périphériques comme ’root’ * - le mode administrateur - puis d’installer en silence des logiciels et d’exécuter des fonctions malveillantes".

La menace n’est pas théorique, les chercheurs du NetLab de la société de sécurité chinoise Qihoo 360 ont découvert un ver, appelé ADB.Miner, qui exploitait l’interface ADB pour infecter les appareils Android non sécurisés avec un malware minier Monero (XMR).

On pensait que les smartphones, les téléviseurs intelligents et les décodeurs de télévision étaient visés par le ver ADB.Miner, qui a réussi à infecter plus de 5 000 appareils en seulement 24 heures.

Maintenant, Beaumont a encore une fois soulevé les préoccupations de la communauté sur cette question. Un autre chercheur a également confirmé que le ver ADB.Miner repéré par Netlab en février est encore en vie avec des millions de scans détectés au cours du dernier mois.

"@GossiTheDog m’a inspiré de revenir sur le ver ADB.Miner, dont j’ai pris les empreintes digitales en février, il semble qu’il vit et il se sent plutôt bien.J’ai regardé deux jours (4, 5 Juin ) -. environ 40 000 adresses IP uniques je vais fournir une analyse en profondeur bientôt « , Piotr Bazydło, IT chercheur de sécurité à NASK, a tweeté .

Bien qu’il soit difficile de connaître le nombre exact d’appareils en raison de la traduction d’adresses réseau et des réservations dynamiques d’adresses IP, Beaumont dit : « Il est sûr de dire beaucoup. »

En réponse au blog de Beaumont, l’Internet des objets (IoT) moteur Shodan a également ajouté la possibilité de rechercher le port 5555. Sur la base des adresses IP de numérisation, la majorité des appareils exposés se trouvent en Asie, y compris en Chine et en Corée du Sud.

Kevin conseille aux fournisseurs d’arrêter d’expédier des produits avec Android Debug Bridge activé sur un réseau, car il crée un pont racine - une situation où n’importe qui peut abuser des périphériques.

Comme la connexion de débogage ADB n’est ni chiffrée ni nécessite un mot de passe ou un échange de clé, les propriétaires d’appareils Android sont invités à le désactiver immédiatement.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image