[转载]成千上万的Android设备运行不安全的远程ADB服务

本文出自Geekeyes极客之眼论坛

如有侵权请联系博主

尽管有人警告说,在Android设备上启用不安全的远程服务会受到威胁,但制造商仍在继续向设备提供开放的ADB调试端口设置,以使基于Android的设备暴露给黑客。

 

Android调试桥(ADB)是一种命令行功能,通常用于诊断和调试,帮助应用程序开发人员与Android设备远程通信以执行命令,并在必要时完全控制设备。

 

通常,开发人员使用USB电缆连接到安装在Android设备上的ADB服务,但也可以通过在设备上的TCP端口5555上启用守护程序服务器来无线使用ADB。

 

如果保持启用状态,未经授权的远程攻击者可以扫描互联网,找到通过端口5555运行ADB调试接口的不安全Android设备列表,以最高“root”权限远程访问它们,然后在没有任何身份验证的情况下静默安装恶意软件。

 

因此,建议供应商在发货前确保其Android设备的ADB界面已被禁用。但是,许多供应商都没有这样做。安全研究员Kevin Beaumont

 

在周一发表的一篇中型博客文章中表示,仍然有无数基于Android的设备,包括仍在网上曝光的智能手机,DVR,Android智能电视甚至油轮。

 

“这是非常有问题的,因为它允许任何人 - 没有任何密码 - 以'root'* - 管理员模式 - 远程访问这些设备,然后静默安装软件并执行恶意功能。”Beaumont说。

中国安全公司Qihoo 360的NetLab的研究人员今年早些时候发现了一种称为ADB.Miner的蠕虫,该蠕虫利用ADB接口通过Monero(XMR)挖掘恶意软件感染不安全的Android设备,这种威胁并不是理论上的。

 

 

智能手机,智能电视和电视机顶盒被认为是ADB.Miner蠕虫的攻击目标,它在24小时内成功感染了5000多台设备。

现在,博蒙特再次提出了社区对这个问题的关注。另一位研究人员也证实Netlab在2月份发现的ADB.Miner蠕虫在过去的一个月内仍然存在数百万次扫描。

“@GossiTheDog激励我回顾ADB.Miner蠕虫,这是我2月份的指纹识别技术,它看起来很活跃,感觉非常好,我已经检查了两天(6月4日,5日) ) - 大约40,000个独立的IP地址,我会尽快提供一些深入的分析,“NASK的IT安全研究员PiotrBazydło在推文中说。

尽管由于网络地址转换和动态IP预留而难以确定设备的确切数量,但Beaumont说:“可以说'很多'是安全的。” 

作为对Beaumont博客帖子的回应,物联网(IoT)搜索引擎Shodan还增加了查找端口5555的功能。基于扫描IP地址,大部分暴露的设备都位于亚洲,包括中国和韩国。

Kevin建议厂商停止通过网络启用通过Android调试桥发布的产品,因为它创建了根网桥 - 任何人都可能误用这些设备。

由于ADB调试连接既不加密也不需要任何密码或密钥交换,建议Android设备所有者立即禁用它。

Like

Leave a Reply

Your Email address will not be published. The required items are marked with *