Независимый исследователь Джон Сойер (Jon Sawyer) еще в конце августа 2016 года обнаружил, что многие устройства, работающие под управлением Android, по сути, содержат бэкдор. Проблема, получившая имя Pork Explosion, заключается в том, что многие производители позволяют Foxconn создавать и добавлять на устройства собственный код. Именно такой код исследователь обнаружил в загрузчике ОС, и неизвестно, была ли данная отладочная функция помещена туда намеренно, или же ее забыли случайно.
Сойер пишет, что функция отладки позволяет обойти процедуру аутентификации при включении устройства. Правда для реализации такой атаки потенциальному злоумышленнику нужно будет иметь физический доступ к устройству. Дело в том, что для эксплуатации проблемы девайс должен быть подключен к ПК через USB, а для взаимодействия с загрузчиком и вызова функции отладки потребуется специальный софт. В теории роль такого софта должен играть отладчик Foxconn, но исследователь сумел создать собственную версию инструмента.
Войти в тестовый режим можно посредством Fastboot. Сойер пишет, что команда для активации обнаруженного им бэкдора – это «reboot-ftm», но отправить ее устройству можно лишь используя кастомный софт, сделать это напрямую через интерфейсы Android или самого производителя, не получится.
«Хотя это определено отладочная функция, также это и самый настоящий бэкдор. Подобного не должно быть в современных устройствах, и это признак проявления халатности со стороны Foxconn», — пишет исследователь.
В отладочном режиме пользователь получает root-права, а один из основных механизмов безопасности Android, SELinux, вообще оказывается отключен. Таким образом, устройство можно скомпрометировать полностью, безо всякой аутентификации и авторизации, просто подключив его к компьютеру через USB. Сойер пишет, что такая функциональность – настоящий подарок для криминалистов, которые могут извлекать таким способ данные, взламывать криптографические ключи и так далее.
Аналитик полагает, что бэкдор Pork Explosion можно обнаружить на многих устройствах, однако точного списка уязвимых производителей и моделей у него нет. Более того, исследователь утверждает, что производители даже не подозревают о наличии бэкдора на своих девайсах. Всем тех, кто захочет поискать бэкдор, Сойер рекомендует искать разделы «ftmboot» и «ftmdata», которые являются верным признаком уязвимости.