Algunos fabricantes configuran mal Android, permitiendo la fácil habilitación de ADB

No todos los dispositivos Android cuentan con una buena implementación del sistema operativo, y aquí no nos referimos al desempeño del sistema, sino a la configuración para ofrecer unos buenos niveles de seguridad.

Casi todos los dispositivos Android incluyen ADB (Android Debug Bridge), que básicamente es una función que permite a los desarrolladores comunicarse de forma remota para ejecutar órdenes y obtener control total. Facilita acciones como la instalación y depuración de aplicaciones y ofrece acceso a la shell de Unix para ejecutar comandos. Recordamos que Android es un sistema operativo basado en Linux.

Con el fin de facilitar su utilización al máximo, ADB no está autenticado, por lo que cualquiera puede conectar un dispositivo Android para ejecutar órdenes a niveles más profundos a los que sol tendría que poder acceder el usuario común, aunque para usarlo se requiere de una conexión mediante USB y luego habilitar explícitamente el propio ADB, por lo que se necesita de ciertos conocimientos que pueden ser llevados a la práctica desde cualquiera de los tres grandes sistemas operativos para el escritorio: Windows, macOS y Linux (distribuciones como Ubuntu, Fedora… ). La característica escucha por el puerto 5555 y permite conectarse con el dispositivo mediante Internet.

Debido a que otorga privilegios de administrador, lo suyo es que ADB esté inhabilitado de cara a los usuarios finales, sin embargo, esto no es del todo así según el investigador Kevin Beaumont, que ha descubierto miles de dispositivos Android que permiten habilitar esta característica fácilmente, allanando mucho el terreno a los hackers la tarea de poder acceder a ellos de forma remota para ejecutar e instalar software malicioso. Es importante tener en cuenta que no solo hay móviles que funcionan con Android, sino también televisores, smartwatches, etc, los cuales están igualmente en riesgo por esta mala política.

Beaumont señala que “en teoría root (cuenta de administrador de Linux) no tendría que estar disponible en las compilaciones que no son de desarrollo, pero hay aparentemente una forma de saltarse esta barrera en algunos dispositivos con el comando ‘su -c command’ en la shell de ADB”. El investigador menciona un informe publicado en febrero por los investigadores de Rapid7 en la que se muestra un pico de escaneo a través del puerto 5555, mientras que los expertos de 360Netlab han identificado una campaña para esparcir mineros que se apoyaba en ADB y en el mismo puerto, que ha recibido el nombre de ADB.Miner.

ADB.Miner es un gusano que utiliza una versión modificada del código de Mirai unido a un minero. Carece de mando de control centralizado, apoyándose para esparcirse en el P2P sobre el puerto 5555, algo que limita bastante su impacto ya que no todos los dispositivos reúnen las condiciones para acabar infectados. China, Hong Kong, Taiwán, Corea del Sur y Estados Unidos son los países más impactados.

Es importante tener en cuenta que esto no se trata de un problema generalizado de Android, sino de unos fabricantes que no están configurando el sistema correctamente para que sea seguro para el usuario final. Aun así, resulta preocupante ver cómo hay compañías que siguen descuidando la seguridad de sus productos, a pesar de que, en caso de destaparse un escándalo, el perjuicio podría ser demoledor para la imagen de la empresa.

Fuente: ThreatPost