Известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) предупредил о том, что многие производители смартфонов на Android оставляют функциональность Android Debug Bridge (ADB) включенной по умолчанию, что подвергает устройства опасности, в том числе и удаленной. Дело в том, что опция ADB over WiFi позволяет разработчикам так же подключаться к гаджету через Wi-Fi, без использования USB-кабеля.
В целом данною проблему нельзя назвать новой. Еще в феврале 2018 года аналитики Qihoo 360 Netlab обнаруживали малварь ADB.miner, которая сканировала сеть в поисках устройств с открытыми отладочными портами ADB (чаще всего это порт 5555). Так как под управлением Android работают не только смартфоны и планшеты, заражению также подвергались, к примеру, «умные» ТВ и различные приставки для ТВ.
Теперь на данную проблему обратил внимание Бомонд, который попытался понять, насколько таких устройств много. Дело в том, что во многих гаджетах «из коробки» активна функциональность ADB over WiFi, о чем их владельцы, как правило, даже не догадываются. При этом удаленное подключение к гаджету в отладочном режиме гарантирует злоумышленнику root-права и возможность скрыто установить на устройство любое вредоносное ПО и выполнить любой код. Все не требует какой-либо аутентификации или пароля.
Исследователь пишет, что данная проблема актуальна для бессчетного числа устройств, которые без труда обнаруживаются в онлайне. Во время изучения ситуации, специалист сумел найти самые разные проблемные устройства, от DVR-систем в Гонконге, до мобильных телефонов в Юной Корее и танкеров в США.
Так как публикация эксперта привлекла внимание сообщества, специалисты начали реагировать на проблему. Так, поисковик Shodan добавил возможность поиска устройств с доступным интерфейсом Android Debug Bridge. Теперь индекс таких гаджетов стремительно растет с каждым днем. Бомонд обнаружил более 80 000 проблемных устройств в одном только Китае.
Update: Shodan have now added support for Android Debug Bridge, and crawlers are now running. Will take a while to update. ? pic.twitter.com/rlU0I3XzNm
— Kevin Beaumont (@GossiTheDog) June 9, 2018
Также коллеги Бомонда и эксперты Qihoo 360 уже опубликовали новые данные о вышеупомянутой малвари ADB.miner, которая оказалась по-прежнему активна. Только за последний месяц было зафиксировано свыше 30 млн сканирований.
@GossiTheDog inspired me to take a look back at the ADB.Miner worm, which I've been fingerprinting on February. It seems that it lives and it feels pretty well. I've checked out two days (4th, 5th of June) - about 40 000 unique IP addresses. I'll provide some deep analysis soon. pic.twitter.com/HZcTkMPW5o
— Piotr Bazydło (@chudyPB) June 8, 2018
Стоит заметить, что ситуацию усложняет существование специального модуля для Metasploit, который помогает автоматизировать обращения к Android-устройствам по 5555 порту.
В настоящее время специалисты рекомендуют всем владельцам устройств, работающих под управлением Android, проверить, не оставил ли их производитель интерфейс ADB доступным по умолчанию. Бомонд также советует блокировать входящие соединения по 5555 порту для пользовательских устройств, что поможет сделать большинство сканирований бесполезными.