مقالات

خطری که دستگاه‌های اندرویدی ADB‌دار را تهدید می‌کند

بسیاری از دستگاه‌های اندروید در حالتی به بازار عرضه می‌شوند که ویژگی ADB در آن‌ها فعال است

یک پژوهشگر امنیتی به نام Kevin Beaumont، متوجه شد که بسیاری از تولیدکنندگان دستگاه‌های اندروید، این دستگاه‌ها را در حالتی به بازار عرضه می‌کنند که ویژگی پل دیباگ اندروید (Android Debug Bridge یا به اختصار ADB) در آن‌ها فعال است و بنابراین این دستگاه‌ها در معرض حملات مختلف قرار دارند.

ADB ویژگی است که هدف از ایجاد آن فراهم آوردن امکان برقراری ارتباط آسان با دستگاه‌ها برای توسعه‌دهندگان اپلیکیشن‌ها از راه دور است تا بتوانند فرمان‌ها را اجرا کرده و کنترل دستگاه را به صورت کامل در دست بگیرند. با توجه به این که ADB نیازی به احراز هویت ندارد، به همه امکان برقراری ارتباط با یک دستگاه و نصب اپلیکیشن و اجرای فرمان روی آن‌ها را می‌دهد.

از نظر تئوری اول باید دستگاه به پورت USB متصل شود تا بتوان ADB را فعال کرد اما Beaumont متوجه شده که بعضی از فروشندگان، دستگاه‌های اندروید را از همان ابتدا به صورتی عرضه می‌کنند که این ویژگی در آن‌ها فعال است. Debug Bridge به پورت ۵۵۵۵ گوش می‌کند و هر کسی می‌تواند از طریق اینترنت به دستگاه متصل شود.

این پژوشگر امنیتی در ادامه خاطر نشان می‌کند «طی تحقیق برای تهیه این مقاله، ما توانستیم هر چیزی، از تانکرهایی در امریکا گرفته تا دستگاه‌های DVR در هنگ کنگ و تلفن‌های موبایل در کره‌جنوبی را شناسایی کنیم. به عنوان مثال یک تلویزیون اندرویدی خاص هم پیدا شد که این ویژگی در آن فعال بود.»

قطعا، این یک مشکل بزرگ است چون هر کسی می‌تواند بدون هیچ پسوردی از راه دور به دستگاهی که ویژگی ADB در آن فعال باشد متصل شود و امتیازات دسترسی روت را هم داشته باشد، بنابراین می‌تواند مخفیانه نرم‌افزارهای مورد نظرش را نصب کرده و توابع مخرب را اجرا کند.

اما مشکل به خود ADB مرتبط نیست چون این ویژگی با این هدف طراحی نشده بود، بلکه مشکل دستگاه‌هایی است که این ویژگی در آن‌ها فعال است. به‌علاوه نباید دسترسی روت در نسخه‌های غیر مرتبط به توسعه اپلیکیشن (non-development) فعال باشد، اما در بعضی دستگاه‌ها می‌توان این مکانیزم را دور زد و جالب اینجا است که بعضی از کاربران خودشان قابلیت روت را فعال می‌کنند.

همچنین این محقق امنیتی کرمی را شناسایی کرده که از این ضعف امنیتی سو‌استفاده کرده و سعی دارد دستگاه‌ها را از طریق ADB آلوده کند.

تهدید دستگاه‌های اندرویدی adb‌

از تاریخ ۱ فوریه یعنی ۱۲ بهمن ۱۳۹۶، افزایش چشمگیری در اسکن پورت شماره ۵۵۵۵ TCP (پورت مربوط به پل دیباگ اندروید) مشاهده شد و «حدود ده هزار آی پی منحصر بفرد در هر ۲۴ ساعت اسکن شدند.» بیش از صد هزار آی پی مختلف در عرض ۳۰ روز اسکن شدند اما این محقق امنیتی می‌گوید نمی‌تواند تعداد دقیق دستگاه‌های آلوده شده را مشخص کند.

Beaumont می‌گوید «در حال حاضر از این دستگاه‌ها برای ماین کردن ارزهای دیجیتال استفاده می‌شود که در این حمله بدون اجازه مالک دستگاه، از منابع محاسباتی دستگاه در راستای منافع مجرمین سایبری استفاده می‌شود.»

در تاریخ ۴ فوریه یعنی ۱۵ بهمن ۱۳۹۶، شرکت امنیتی چینی Qihoo 360 Netlab هشداری در رابطه با این موضوع منتشر کرده بود اما مشکل همچنان در حال گسترش است، به خصوص در آسیا.

تحلیل‌های صورت گرفته روی این کرم مشخص کرد که این کرم با استفاده از یک نسخه اصلاح شده از کد Mirai و با استفاده از ابزارهای رسمی ADB اندروید در حال گسترش است. این کرم مرکز فرماندهی و کنترل ندارد و به صورت نظیر به نظیر از طریق پورت ۵۵۵۵ کار می‌کند. با توجه به وجود باگ‌های مختلف در کد این بدافزار، این بدافزار فقط روی دستگاه‌های خاصی اجرا می‌شود.

اما مشکل بزرگ‌تر از سو‌استفاده یک بات‌نت برای ماین کردن ارزهای دیجیتال است. این واقعیت که دستگاه‌های تاثیر گرفته از این حمله از همان ابتدا با تنظیمات نادرست به بازار عرضه می‌شوند مشکل اصلی است، به خصوص با توجه به این که از بعضی از این دستگاه‌ها در محیط‌های شرکتی استفاده می‌شوند.

Beaumont خاطر نشان کرد «اگر مهاجمین بخواهند، می‌توانند علاوه بر نرم‌افزارهای مخصوص ماین کردن ارزهای دیجیتال، هر نرم‌افزار مخرب دیگری را روی این دستگاه‌ها اجرا کنند که این موضوع می‌تواند مشکلاتی جدی ایجاد کند.»

محققین با جستجوی دستگاه‌هایی که به پورت ۵۵۵۵ گوش می‌کنند و فیلتر کردن نتایج با استفاده از ماژول adb_server_exec در ابزار Metasploit، توانستند فقط در کشور چین بیش از ۸۰ هزار دستگاه را شناسایی کنند.

این محقق در ادامه می‌گوید: «با بررسی داده‌های به دست آمده کاملا مشخص است که دستگاه‌های زیادی با تنظیمات غلط وجود دارند؛ بنابراین همه به دنبال اسکن پورت ۵۵۵۵ هستند.»

طبق گفته Beaumont فروشندگان باید اطمینان حاصل کنند که دستگاه‌ها را در حالتی که ویژگی ADB در آن‌ها فعال است به بازار عرضه نمی‌کنند به خصوص دستگاه‌هایی که برای اتصالات اینترنتی طراحی شده‌اند. چون این دستگاه‌ها در معرض سو‌استفاده قرار داشته و کاربران را دچار مشکل می‌کنند. همچنین توصیه می‌شود فروشندگان آپدیت‌های لازم را برای رفع مشکلات عرضه کنند.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 + دو =

دکمه بازگشت به بالا
بستن
بستن