危険なルートキットが3百万台の中国製Android端末にプリインストール

中国製アンドロイド・スマートフォン

世界中の300万台近くのAndroidデバイスは、MITM(Man-In-the-Middle)攻撃に対して脆弱で、攻撃者がルート特権を持ち、任意のコードをリモートで実行し、デバイスの完全な制御をハッカーに引き渡す可能性があります。

セキュリティ格付け会社BitSightの新しいレポートによると、この問題は、Best Buyが販売するBLU Studio Gを含む、安いAndroidデバイスで使用されている安全ではないOTA(Over-the-Air)アップデート・メカニズムの実装による脆弱性であるとのことです。

バックドア/ルートキットがプリインストール

中国のモバイル企業Ragentek Groupに関連する脆弱なOTAの仕組みには、隠しバイナリが/ system / bin / debugsとして存在し、root特権で動作し、暗号化されていないチャネルで3つのホストと通信します。

研究者によれば、この特権バイナリは、MITM攻撃者にユーザー固有の情報を公開するだけでなく、攻撃者は、特権ユーザーとして、リモートで、ターゲット・デバイス上で任意のコマンドを実行できるように働くルートキットとしても機能します。

さらに、このバイナリの実行を隠すために使用される複数のテクニックがあります。この脆弱性に関連するCERT勧告は木曜日に警告として発表されています。

Shanghai ADUPS Technologyのファームウェアを実行しているAndroidデバイスで発見された欠陥と同様に、新たに発見された欠陥(CVE-2016-6564)も中国の企業が開発したファームウェアに含まれています。

AdUpsファームウェアがユーザーとデバイスの情報を盗んでいる間、Ragentekファームウェアはスマートフォンに送受信された通信を暗号化せず、正当なアプリを検証するコード署名にも依存しません。

この大失態ファームウェアは、リモートの攻撃者が標的となるデバイスから個人情報を抜き出し、リモートで全部のデバイスから抜き取っていき、さらに、企業ネットワーク上の他のシステムにアクセスして機密データを盗むことさえ可能にする可能性があります。

影響を受けるアンドロイド・フォン

  • BLU Studio G
  • BLU Studio G Plus
  • BLU Studio 6.0 HD
  • BLU Studio X
  • BLU Studio X Plus
  • BLU Studio C HD
  • Infinix Hot X507
  • Infinix Hot 2 X510
  • Infinix Zero X506
  • Infinix Zero 2 X509
  • DOOGEE Voyager 2 DG310
  • LEAGOO Lead 5
  • LEAGOO Lead 6
  • LEAGOO Lead 3i
  • LEAGOO Lead 2S
  • LEAGOO Alfa 6
  • IKU Colorful K45i
  • Beeline Pro 2
  • XOLO Cube 5.0

blu-studio-g-1-800x629

この欠陥を分析している間、AnubisNetworksは、このデバイス(BLU Studio G)が3つの事前設定されたインターネットドメインに接続しようとしていることを発見しました。そのうちの2つは登録されていないままですが、Ragentekファームウェアに書き込まれていて、バグを誘発しています。

発見後、AnubisNetworksの研究者は2つのドメインを登録し、この2つの無関係なドメインを所有して、攻撃が発生しないようにしています。

300万台のデバイスが危険なルートキットを保持

インパクトは非常に大きいものがあります。 研究者は、BLU Studio G のバックドアを利用して、強力なシステム特権を持ち、予約された場所にファイルをインストールすることができました。

directory

しかしながら、スマートフォンがBitSightによって登録された2つのドメインに接続して、送信したデータを観察することによって、研究者は影響を受ける55の既知のデバイスモデルの目録を作成しました。

「2つのドメインを登録して以来、そのたまり場をチェックした結果、発表されている55種類のデバイス・モデルについて、280万を超えるデバイスが観察されました。

「一部のケースでは、提供されたデバイス・モデルを実際のデバイスへの参照に変換することはできませんでした」

これまで、BitSightの研究者はパッチの有効性を分析するためのパッチをまだテストしていませんでしたが、BLU Productsだけがこの脆弱性に対処するソフトウェアアップデートを発行しました。 ただし、残りのAndroid搭載端末は引き続き影響を受ける可能性があります。

この脆弱性に関する詳細な技術情報については、BitSightのAnubisNetworksが発行した完全なレポートを参照してください。

これは、中国のサーバーに大量の個人データを送信するだけでなく、ハッカーがあなたのデバイスを制御できるようにする、バックドアがあらかじめインストールされているAndroidスマートフォンについて研究者が警告した第2のケースです。