Decenas de miles de dispositivos Android están exponiendo su puerto de depuración
La comunidad de seguridad levantó la alarma con respecto a un problema grave la semana pasada: el de los dispositivos Android que se distribuyen con su puerto de depuración abierto a conexiones remotas.
El problema no es nuevo, al ser descubierto por primera vez por el equipo en Qihoo 360 Netlab en febrero de este año, cuando detectaron un gusano Android que se extendía desde un dispositivo Android a otro dispositivo Android, infectándolos con un minero de criptomonedas llamado ADB.Miner.
El gusano ADB.Miner explota Android Debug Bridge (ADB), una función del sistema operativo Android que se utiliza para solucionar problemas de dispositivos defectuosos.
En la versión predeterminada del sistema operativo Android, la función ADB está desactivada y los usuarios deben habilitarla manualmente mientras conectan su dispositivo a través de una conexión USB. Además, la depuración de ADB también admite un estado llamado "ADB sobre WiFi" que permite a los desarrolladores conectarse a un dispositivo a través de una conexión WiFi en lugar del cable USB predeterminado.
La interfaz ADB se dejó abierta para las conexiones remotas
El problema es que algunos proveedores han estado enviando dispositivos basados en Android donde la función ADB sobre WiFi se ha dejado habilitada en la versión de producción de su producto.
Los clientes que usan estos dispositivos pueden desconocer que su dispositivo está abierto a conexiones remotas a través de la interfaz ADB, normalmente accesible a través del puerto TCP 5555.
Además, debido a que ADB es una herramienta de resolución de problemas, también le otorga al usuario acceso a una gran cantidad de herramientas sensibles, incluyendo un shell Unix.
Esta es la forma en que se propagó el gusano ADB.Miner en febrero pasado, al obtener acceso a un dispositivo a través del puerto ADB, utilizando el intérprete de comandos de Unix para instalar un minero Monero y luego buscar nuevos dispositivos para infectar a través del puerto 5555.
Más de 15,600 dispositivos están actualmente exponiendo su puerto ADB
Pero la semana pasada, el detective de seguridad Kevin Beaumont volvió a traer este tema a la atención de todos una vez más. En una publicación en el blog Medium, Beaumont dice que todavía hay innumerables dispositivos basados en Android aún expuestos en línea.
"Durante la investigación, hemos encontrado de todo, desde camiones cisterna en los Estados Unidos a DVR en Hong Kong a teléfonos móviles en Corea del Sur", dijo Beaumont.
"Esto es muy problemático ya que permite a cualquier persona, sin ninguna contraseña, acceder de forma remota a estos dispositivos como "root" (modo de administrador) y luego instalar silenciosamente el software y ejecutar funciones maliciosas", agregó Beaumont.
La publicación de Beaumont planteó el interés de la comunidad en este tema una vez más. Para empezar, impulsado por el trabajo de Beaumont, Shodan, motor de búsqueda de IoT, ha agregado soporte para escanear dispositivos con interfaces ADB dejadas expuestas en línea.
Update: Shodan have now added support for Android Debug Bridge, and crawlers are now running. Will take a while to update. 👍 pic.twitter.com/rlU0I3XzNm
— Kevin Beaumont (@GossiTheDog) 9 de junio de 2018
Desde que agregaron soporte la semana pasada, la cantidad de dispositivos Android que ejecutan una interfaz ADB expuesta -inducida por Shodan- ha crecido de aproximadamente 1.100 el viernes a más de 15.600 el lunes, y se espera que el número crezca conforme Shodan indexe nuevos dispositivos en los próximos días. .
ADB.Miner todavía está muy vivo
Además, otros investigadores de seguridad también han confirmado que el gusano ADB.Miner descubierto en febrero por Qihoo 360 Netlab todavía está vivo y coleando.
@GossiTheDog inspired me to take a look back at the ADB.Miner worm, which I've been fingerprinting on February. It seems that it lives and it feels pretty well. I've checked out two days (4th, 5th of June) - about 40 000 unique IP addresses. I'll provide some deep analysis soon. pic.twitter.com/HZcTkMPW5o
— Piotr Bazydło (@chudyPB) 8 de junio de 2018
El NetworkScan Mon de Qihoo 360 también confirma que la actividad de exploración en el puerto 5555 nunca se detuvo, con casi 30 millones de escaneos registrados en el último mes.
Para empeorar las cosas, también hay un módulo Metasploit para explotar y rootear dispositivos Android a través del puerto 5555 de forma automatizada, haciendo que este problema de configuración errónea sea un peligro claro y presente para todos los propietarios de dispositivos con Android.
El mejor consejo en este momento es que los propietarios de dispositivos Android comprueben si su proveedor ha dejado la interfaz ADB habilitada en sus dispositivos. Este tutorial debería ayudar a los usuarios con consejos sobre cómo habilitar o deshabilitar la interfaz ADB (referida a la depuración de USB en la mayoría de los menús de configuración de sistema operativo Android).
"Estos no son problemas de Android Debug Bridge", dijo Beaumont. "ADB no está diseñado para ser implementado de esta manera".
Beaumont también sugiere que los operadores móviles deberían bloquear las conexiones entrantes que van al puerto 5555 a los dispositivos de los usuarios, lo que haría que la mayoría de los escaneos en todo el Internet sean inútiles.