Hàng ngàn thiết bị Android đang mở giao tiếp ADB từ xa không an toàn

0
14

Bất chấp những cảnh báo về mối đe dọa của việc để mặc các dịch vụ từ xa không an toàn đã được kích hoạt trên các thiết bị Android. Các nhà sản xuất vẫn tiếp tục đưa ra các thiết bị được thiết lập cổng mặc định ADB. Điều này dẫn đến việc các thiết bị sử dụng nền tảng Android có nguy cơ cao bị hack.

Android Debug Bridge(ADB) là công cụ dòng lệnh thường sử dụng cho mục đích kiểm tra và khắc phục lỗi bằng cách để cho nhà phát triển ứng dụng tiếp cận với thiết bị Android từ xa để thực thi lệnh và nếu cần, có thể hoàn toàn kiểm soát thiết bị.

Thông thường, các nhà phát triển kết nối với ADB được cài đặt trên các thiết bị Android bằng cáp USB, nhưng cũng có thể sử dụng ADB không dây bằng cách bật máy chủ daemon tại cổng TCP 5555 trên thiết bị.

Nếu giao tiếp ADB được kích hoạt trái phép, những kẻ tấn công từ xa có thể quét Internet để tìm danh sách các thiết bị Android không an toàn chạy giao diện khắc phục lỗi ADB qua cổng 5555, truy cập chúng từ xa với đặc quyền “root” cao nhất và sau đó cài đặt phần mềm độc hại mà không cần xác thực.

Chính vì thế, các nhà cung cấp được khuyến cáo phải đảm bảo việc vô hiệu hóa giao tiếp ADB trên thiết bị Android trước khi được bán ra ngoài. Tuy nhiên, nhiều nhà cung cấp đã không làm như vậy.

Trong một bài đăng trên blog vừa được công bố hôm thứ Hai, nhà nghiên cứu bảo mật Kevin Beaumont cho biết vẫn còn vô số thiết bị nền tảng Android, bao gồm điện thoại thông minh, đầu ghi hình camera, TV thông minh Android và thậm chí cả những tàu chở dầu, vẫn còn đang kích hoạt giao tiếp ADB.

Mối đe dọa này không phải chỉ là lý thuyết, khi các nhà nghiên cứu từ NetLab của hãng bảo mật Trung Quốc Qihoo 360 đã phát hiện một loại worm, được gọi là “ADB.Miner” vào đầu năm nay. Loại worm này đã khai thác giao tiếp ADB để lây nhiễm vào các thiết bị Android không an toàn những phần mềm độc hại có tên là Monero (XMR).

Các điện thoại thông minh, TV thông minh và thiết bị giải mã truyền hình của TV được cho là mục tiêu chính của worm ADB.Miner. Chỉ trong 24 giờ, đã có hơn 5000 thiết bị được lây nhiễm bởi loại worm này.

Hiện tại, Beaumont một lần nữa nêu lên mối quan tâm của cộng đồng về vấn đề này. Một nhà nghiên cứu khác cũng xác nhận rằng worm ADB.Miner được Netlab phát hiện vào tháng 2 năm nay vẫn còn tồn tại sau hàng triệu lần quét trong tháng vừa qua.

Công cụ tìm kiếm các thiết bị internet vạn vật (IOT) có tên là Shodan cũng bổ sung khả năng tìm thấy cổng 5555. Dựa vào việc quét địa chỉ IP, phần lớn các thiết bị được tìm thấy ở châu Á, bao gồm Trung Quốc và Hàn Quốc.

Lời khuyên cho các nhà cung cấp nên ngừng bán sản phẩm có giao tiếp ADB được kích hoạt qua mạng, vì nó tạo ra Root Bridge – một tình huống mà bất kỳ ai cũng có thể lạm dụng thiết bị. Bởi vì sự kết nối để khắc phục lỗi qua giao tiếp ADB không được mã hóa và cũng không yêu cầu bất kỳ mật khẩu hoặc trao đổi mật khẩu nào, chủ sở hữu thiết bị Android ngày bây giờ nên tắt nó ngay lập tức.