Почти 3 млн Android-устройств уязвимы к атакам, позволяющим скомпрометировать OTA-обновления и удаленно выполнять команды с правами суперпользователя.

По словам исследователей из Anubis Networks, данная проблема вызвана ненадежной реализацией механизма обновления мобильных устройств «по воздуху» (OTA), который предусмотрен в прошивках производства китайской компании Ragentek Group. Беда в том, что коммуникации бинарного кода, проверяющего наличие обновлений, не шифруются, что открывает возможность для атак «человек посередине».

«Все транзакции бинарника, адресованные сторонней точке доступа, осуществляются по незашифрованному каналу; это не только раскрывает информацию о пользователе в ходе таких коммуникаций, но также позволяет злоумышленнику подавать команды, поддерживаемые протоколом, — поясняют исследователи Дэн Дальберг (Dan Dahlberg) и Тьяго Перейра (Tiago Pereira), обнаружившие эту уязвимость. — Одна из таких команд провоцирует исполнение системных команд».

О данной бреши предупредила также американская CERT, работающая на базе Университета Карнеги — Меллона; эксперты при этом отметили, что по поведению код от Ragentek схож с руткитом. Согласно бюллетеню CERT, этот код прописан в системе как отладчик, работает с root-привилегиями и не использует шифрованный канал для коммуникаций. Это позволяет не только исполнять произвольную команду на уязвимом устройстве, но также устанавливать на него приложения и изменять настройки.

В предупреждении CERT приведен список некоторых устройств, использующих бинарный код Ragentek, в основном это недорогие изделия BLU Studio, Infinix, DOOGEE и LEAGOO, хотя среди них числится и смартфон «Билайн Про 2». Среди образцов, протестированных в Anubis, присутствовал также новый BLU Studio G, приобретенный исследователями на Best Buy.

Тем не менее масштабы бедствия прояснились лишь после того, как исследователи обнаружили, что уязвимые устройства пытаются связаться с еще двумя прописанными в коде доменами помимо узла Ragentek. Эти домены оказались незарегистрированными, и Anubis поспешила оформить заявки и поднять sinkhole-серверы. Эта оперативная мера позволила исследователям выявить 2,8 млн уязвимых Android-устройств 55 разных моделей. В блог-записи компании отмечено, что, случись злоумышленнику узнать о резервных доменах и опередить исследователей с покупкой, он смог бы хозяйничать на всех этих устройствах, даже не прибегая к MitM-атаке.

Anubis сообщила об уязвимости BLU Products, как наиболее затронутому вендору, а также в Google и CERT, чтобы те донесли неприятную весть до других заинтересованных вендоров. По данным CERT, американская BLU уже выпустила заплатку для данной бреши.

За пару дней до публикации Anubis аналогичной находкой поделились исследователи из Kryptowire. Они идентифицировали несколько моделей Android-устройств, в системе обновления которых, тоже китайского производства, кроется бэкдор. Как оказалось, он без согласия и ведома пользователей собирает и передает на шанхайский сервер личностную информацию, а иногда даже SMS и историю звонков — правда, в зашифрованном виде и по защищенному каналу. Соответствующее ПО производит и обслуживает Adups Technology, и прошивка со шпионским OTA-апдейтером используется в некоторых популярных смартфонах, к примеру в BLU R1 HD. Как узнала New York Times, данной уязвимости подвержены 120 тыс. смартфонов BLU, для которых уже выпущен патч.

Категории: Аналитика, Главное, Уязвимости