-
-
[翻译]接近3百万的安卓手机被发现预装了危险的rootkit
-
发表于: 2016-11-20 20:44
-
对安卓用户来说,这里再次出现了一个不好的消息。
全球将近300万Android设备容易受到中间人(MITM)攻击,攻击者可以利用root权限远程执行任意代码,从而将设备的完全控制权转交给黑客。
根据安全评级公司BitSight的一个新报告,问题是由于某些低成本Android设备使用的OTA更新机制的不安全实施中的一个漏洞,包括来自US- 百思买。
Backdoor/Rootkit Comes Pre-installed
与中国移动公司Ragentek Group相关联的易受攻击的OTA机制包含一个隐藏的二进制文件 - 驻留为/ system / bin / debugs - 以root权限运行,并通过未加密的通道与三台主机进行通信。
研究人员解释道,这个特权二进制不仅将用户特定的信息暴露给MITM攻击者,而且还充当rootkit,可能允许攻击者作为特权用户在受影响的设备上远程执行任意命令。
“此外,有多种技术用于隐藏这个二进制文件的执行,这种行为可以被描述为一个rootkit,”与这个漏洞相关的CERT咨询周四警告说。
类似于在运行来自上海ADUPS技术的固件的Android设备中发现的缺陷,新发现的缺陷(指定为CVE-2016-6564)也驻留在由中国公司开发的固件中。
当AdUps固件被捕获窃取用户和设备信息时,Ragentek固件既不加密发送和接收到智能手机的通信,也不依赖代码签名来验证合法应用程序。
这种错误可能允许远程攻击者从受影响的设备中提取个人信息,远程擦除整个设备,甚至可以访问企业网络上的其他系统并窃取敏感数据。
Affected Android Devices
在BLU产品的多个智能手机手机中发现了该漏洞,以及来自其他供应商的十几个设备。 受影响的Android手机列表包括:
在分析缺陷时,AnubisNetworks发现该设备(一个BLU Studio G)尝试联系三个预配置的Internet域,其中两个仍然未注册,尽管硬件连接到引入该错误的Ragentek固件。
BitSight公司的子公司Anubis Networks在周四发布的报告中表示:“这种OTA二进制文件是在软件中预先配置的一组域名发布的,只有其中一个域名在发现此问题时注册。
“如果对手注意到了这一点,并且注册了这两个域,他们将立即可以访问对近3,000,000个设备执行任意攻击,而不需要执行中间人攻击。
发现后,AnubisNetworks研究人员注册了地址,现在控制这两个无关的域,以防止此类攻击在未来发生。
Around 3 Million Devices contain Dangerous Rootkit
但是,影响是显着的。 研究人员能够利用BLU Studio G手机中的后门,允许他们在为具有强大系统特权的应用程序保留的位置安装文件。
然而,通过观察在连接到由BitSight注册的两个域时发送的数据智能手机,研究人员已经编目了55个受影响的已知设备模型。
“我们观察到超过2.8百万个不同的设备,大约有55个报告的设备型号,从我们注册了无关的域后,它们检查了我们的接收器,”报告说。
“在某些情况下,我们没有能够将提供的设备模型转换为对现实设备的引用。
到目前为止,只有BLU产品公司发布了一个软件更新来解决这个漏洞,尽管BitSight的研究人员还没有测试这个补丁来分析它的有效性。 但是,其余的Android设备可能仍然受到影响。
有关该漏洞的更多技术细节,您可以访问BitSight的AnubisNetworks发布的完整报告。
这是一个星期的第二个例子,研究人员警告,你的Android智能手机预装了后门,不仅将大量的个人数据发送到中文服务器,而且还允许黑客控制您的设备。
全球将近300万Android设备容易受到中间人(MITM)攻击,攻击者可以利用root权限远程执行任意代码,从而将设备的完全控制权转交给黑客。
根据安全评级公司BitSight的一个新报告,问题是由于某些低成本Android设备使用的OTA更新机制的不安全实施中的一个漏洞,包括来自US- 百思买。
Backdoor/Rootkit Comes Pre-installed
与中国移动公司Ragentek Group相关联的易受攻击的OTA机制包含一个隐藏的二进制文件 - 驻留为/ system / bin / debugs - 以root权限运行,并通过未加密的通道与三台主机进行通信。
研究人员解释道,这个特权二进制不仅将用户特定的信息暴露给MITM攻击者,而且还充当rootkit,可能允许攻击者作为特权用户在受影响的设备上远程执行任意命令。
“此外,有多种技术用于隐藏这个二进制文件的执行,这种行为可以被描述为一个rootkit,”与这个漏洞相关的CERT咨询周四警告说。
类似于在运行来自上海ADUPS技术的固件的Android设备中发现的缺陷,新发现的缺陷(指定为CVE-2016-6564)也驻留在由中国公司开发的固件中。
当AdUps固件被捕获窃取用户和设备信息时,Ragentek固件既不加密发送和接收到智能手机的通信,也不依赖代码签名来验证合法应用程序。
这种错误可能允许远程攻击者从受影响的设备中提取个人信息,远程擦除整个设备,甚至可以访问企业网络上的其他系统并窃取敏感数据。
Affected Android Devices
在BLU产品的多个智能手机手机中发现了该漏洞,以及来自其他供应商的十几个设备。 受影响的Android手机列表包括:
在分析缺陷时,AnubisNetworks发现该设备(一个BLU Studio G)尝试联系三个预配置的Internet域,其中两个仍然未注册,尽管硬件连接到引入该错误的Ragentek固件。
BitSight公司的子公司Anubis Networks在周四发布的报告中表示:“这种OTA二进制文件是在软件中预先配置的一组域名发布的,只有其中一个域名在发现此问题时注册。
“如果对手注意到了这一点,并且注册了这两个域,他们将立即可以访问对近3,000,000个设备执行任意攻击,而不需要执行中间人攻击。
发现后,AnubisNetworks研究人员注册了地址,现在控制这两个无关的域,以防止此类攻击在未来发生。
Around 3 Million Devices contain Dangerous Rootkit
但是,影响是显着的。 研究人员能够利用BLU Studio G手机中的后门,允许他们在为具有强大系统特权的应用程序保留的位置安装文件。
然而,通过观察在连接到由BitSight注册的两个域时发送的数据智能手机,研究人员已经编目了55个受影响的已知设备模型。
“我们观察到超过2.8百万个不同的设备,大约有55个报告的设备型号,从我们注册了无关的域后,它们检查了我们的接收器,”报告说。
“在某些情况下,我们没有能够将提供的设备模型转换为对现实设备的引用。
到目前为止,只有BLU产品公司发布了一个软件更新来解决这个漏洞,尽管BitSight的研究人员还没有测试这个补丁来分析它的有效性。 但是,其余的Android设备可能仍然受到影响。
有关该漏洞的更多技术细节,您可以访问BitSight的AnubisNetworks发布的完整报告。
这是一个星期的第二个例子,研究人员警告,你的Android智能手机预装了后门,不仅将大量的个人数据发送到中文服务器,而且还允许黑客控制您的设备。
|
|
|---|---|
