成千上萬台安卓設備的調試埠被暴露

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

上周，安全圈警告稱多台安卓設備的調試埠易遭遠程連接。

實際上該問題並非第一次出現，今年2月份，奇虎360網路安全研究院就率先發現了這一問題，當時研究員檢測到安卓蠕蟲在安卓設備之間傳播，通過密幣挖礦機 ADB.Miner 進行感染。

蠕蟲 ADB.Miner 利用的是安卓操作系統用於解決存在缺陷的設備的功能，安卓調試橋 (ADB)。在安卓操作系統的默認版本中，ADB 功能被關閉，用戶需要在通過 USB 連接設備時手動啟用。另外，ADB 調試還支持「WiFi 連接 ADB」狀態，使開發人員能夠通過 WiFi 而非默認 USB 連接至設備。

根因：ADB 介面暴露至遠程連接

問題在於，某些供應商已在交到用戶手中的產品的生產版本中裝了已啟用「ADB 連接 WiFi」功能的安卓設備。

使用這些設備的客戶可能並未意識到自己的設備經由在正常情況下可通過 TCP 埠 5555 訪問的 ADB 介面的遠程連接。另外，由於 ADB 是一種調試工具，因此它能讓用戶訪問一系列敏感工具，包括某個 Unix shell。

以上就是2月份 ADB.Miner 蠕蟲的傳播過程，它通過 ADB 埠獲取對設備的訪問許可權，利用 Unix shell 安裝門羅幣挖礦機，然後通過埠 5555 掃描受感染的新設備。

逾1.56萬台設備暴露 ADB 埠

但上周，安全研究員 Kevin Beaumont 再次引發了安全圈子對這個問題的注意。Beaumont 在 Medium 發布文章稱，仍然由無數基於安卓的設備被暴露。他指出，受感染的設備包羅萬象，有位於美國的游輪、也有位於香港的 DVR、還有位於韓國的手機。他指出，由此帶來的問題很多，在無需密碼的情況下，任何人都能以 root 許可權即以管理員模式遠程訪問這些設備，然後靜默安裝軟體並執行惡意函數。

Beaumont 的文章引發了安全圈子對該問題的又一次重視。Shodan 搜索引擎甚至因為這篇文章增加了對ADB 介面暴露在網上的設備的掃描支持功能。從上周增加這類掃描支持後，運行被暴露的 ADB 介面的安卓設備數量已從上周五的1100台增加至本周一的超過1.56萬台，未來這一數字還有望增長。

ADB.Miner 仍然十分活躍

另外，其他安全研究員也證實稱由奇虎360網路安全研究員率先發現的 ADB.Miner 仍然生機勃勃。

奇虎360 NetworkScan Mon 也證實稱對埠5555的掃描活動一直在持續，僅上個月就記錄了近3000萬次掃描活動。

更糟糕的是，一個通過埠5555自動用腳本方式利用並 root 安卓設備的 Metasploit 模塊讓這個配置不當的問題成為所有安卓設備所有人的危險。

目前的最佳建議是，安卓設備所有人應查看供應商是否啟用了設備上的 ADB 介面。Beaumont 指出，問題並不在於 ADB 本身，ADB 並未設計成按這種方式部署。

Beaumont 還建議移動運營商攔截流向埠 5555 的連接傳入用戶設備，這樣就能讓多數互聯網掃描活動無功而返。

https://www.bleepingcomputer.com/news/security/tens-of-thousands-of-android-devices-are-exposing-their-debug-port/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！