خطری که دستگاههای اندرویدی ADBدار را تهدید میکند
بسیاری از دستگاههای اندروید در حالتی به بازار عرضه میشوند که ویژگی ADB در آنها فعال است
یک پژوهشگر امنیتی به نام Kevin Beaumont، متوجه شد که بسیاری از تولیدکنندگان دستگاههای اندروید، این دستگاهها را در حالتی به بازار عرضه میکنند که ویژگی پل دیباگ اندروید (Android Debug Bridge یا به اختصار ADB) در آنها فعال است و بنابراین این دستگاهها در معرض حملات مختلف قرار دارند.
ADB ویژگی است که هدف از ایجاد آن فراهم آوردن امکان برقراری ارتباط آسان با دستگاهها برای توسعهدهندگان اپلیکیشنها از راه دور است تا بتوانند فرمانها را اجرا کرده و کنترل دستگاه را به صورت کامل در دست بگیرند. با توجه به این که ADB نیازی به احراز هویت ندارد، به همه امکان برقراری ارتباط با یک دستگاه و نصب اپلیکیشن و اجرای فرمان روی آنها را میدهد.
از نظر تئوری اول باید دستگاه به پورت USB متصل شود تا بتوان ADB را فعال کرد اما Beaumont متوجه شده که بعضی از فروشندگان، دستگاههای اندروید را از همان ابتدا به صورتی عرضه میکنند که این ویژگی در آنها فعال است. Debug Bridge به پورت 5555 گوش میکند و هر کسی میتواند از طریق اینترنت به دستگاه متصل شود.
این پژوشگر امنیتی در ادامه خاطر نشان میکند «طی تحقیق برای تهیه این مقاله، ما توانستیم هر چیزی، از تانکرهایی در امریکا گرفته تا دستگاههای DVR در هنگ کنگ و تلفنهای موبایل در کرهجنوبی را شناسایی کنیم. به عنوان مثال یک تلویزیون اندرویدی خاص هم پیدا شد که این ویژگی در آن فعال بود.»
قطعا، این یک مشکل بزرگ است چون هر کسی میتواند بدون هیچ پسوردی از راه دور به دستگاهی که ویژگی ADB در آن فعال باشد متصل شود و امتیازات دسترسی روت را هم داشته باشد، بنابراین میتواند مخفیانه نرمافزارهای مورد نظرش را نصب کرده و توابع مخرب را اجرا کند.
اما مشکل به خود ADB مرتبط نیست چون این ویژگی با این هدف طراحی نشده بود، بلکه مشکل دستگاههایی است که این ویژگی در آنها فعال است. بهعلاوه نباید دسترسی روت در نسخههای غیر مرتبط به توسعه اپلیکیشن (non-development) فعال باشد، اما در بعضی دستگاهها میتوان این مکانیزم را دور زد و جالب اینجا است که بعضی از کاربران خودشان قابلیت روت را فعال میکنند.
همچنین این محقق امنیتی کرمی را شناسایی کرده که از این ضعف امنیتی سواستفاده کرده و سعی دارد دستگاهها را از طریق ADB آلوده کند.
از تاریخ 1 فوریه یعنی 12 بهمن 1396، افزایش چشمگیری در اسکن پورت شماره 5555 TCP (پورت مربوط به پل دیباگ اندروید) مشاهده شد و «حدود ده هزار آی پی منحصر بفرد در هر 24 ساعت اسکن شدند.» بیش از صد هزار آی پی مختلف در عرض 30 روز اسکن شدند اما این محقق امنیتی میگوید نمیتواند تعداد دقیق دستگاههای آلوده شده را مشخص کند.
Beaumont میگوید «در حال حاضر از این دستگاهها برای ماین کردن ارزهای دیجیتال استفاده میشود که در این حمله بدون اجازه مالک دستگاه، از منابع محاسباتی دستگاه در راستای منافع مجرمین سایبری استفاده میشود.»
در تاریخ 4 فوریه یعنی 15 بهمن 1396، شرکت امنیتی چینی Qihoo 360 Netlab هشداری در رابطه با این موضوع منتشر کرده بود اما مشکل همچنان در حال گسترش است، به خصوص در آسیا.
تحلیلهای صورت گرفته روی این کرم مشخص کرد که این کرم با استفاده از یک نسخه اصلاح شده از کد Mirai و با استفاده از ابزارهای رسمی ADB اندروید در حال گسترش است. این کرم مرکز فرماندهی و کنترل ندارد و به صورت نظیر به نظیر از طریق پورت 5555 کار میکند. با توجه به وجود باگهای مختلف در کد این بدافزار، این بدافزار فقط روی دستگاههای خاصی اجرا میشود.
اما مشکل بزرگتر از سواستفاده یک باتنت برای ماین کردن ارزهای دیجیتال است. این واقعیت که دستگاههای تاثیر گرفته از این حمله از همان ابتدا با تنظیمات نادرست به بازار عرضه میشوند مشکل اصلی است، به خصوص با توجه به این که از بعضی از این دستگاهها در محیطهای شرکتی استفاده میشوند.
Beaumont خاطر نشان کرد «اگر مهاجمین بخواهند، میتوانند علاوه بر نرمافزارهای مخصوص ماین کردن ارزهای دیجیتال، هر نرمافزار مخرب دیگری را روی این دستگاهها اجرا کنند که این موضوع میتواند مشکلاتی جدی ایجاد کند.»
محققین با جستجوی دستگاههایی که به پورت 5555 گوش میکنند و فیلتر کردن نتایج با استفاده از ماژول adb_server_exec در ابزار Metasploit، توانستند فقط در کشور چین بیش از 80 هزار دستگاه را شناسایی کنند.
این محقق در ادامه میگوید: «با بررسی دادههای به دست آمده کاملا مشخص است که دستگاههای زیادی با تنظیمات غلط وجود دارند؛ بنابراین همه به دنبال اسکن پورت 5555 هستند.»
طبق گفته Beaumont فروشندگان باید اطمینان حاصل کنند که دستگاهها را در حالتی که ویژگی ADB در آنها فعال است به بازار عرضه نمیکنند به خصوص دستگاههایی که برای اتصالات اینترنتی طراحی شدهاند. چون این دستگاهها در معرض سواستفاده قرار داشته و کاربران را دچار مشکل میکنند. همچنین توصیه میشود فروشندگان آپدیتهای لازم را برای رفع مشکلات عرضه کنند.