BACKDOOR EN EL FIRMWARE DE ANDROID

Por segunda vez en pocos días, los expertos en seguridad detectaron una puerta trasera en el firmware de los dispositivos Android de bajo costo.

La semana del 7 al 13 de noviembre, los expertos en seguridad de la firma Kryptowire han descubierto una puerta trasera en el firmware instalado en los teléfonos Android de bajo costo. La puerta trasera afecta a teléfonos móviles de BLU productos que están disponibles a la venta en Amazon y Best Buy.
La puerta trasera reside en el firmware comercial Durante el software de actualización de aire (FOTA) que se instala en los dispositivos Android BLU proporcionados como un servicio a Blu por AdUps. Ahora investigadores de Anubis han descubierto que un firmware de terceros incluidos en más de 2,8 millones de dispositivos Android de bajo costo puede ser explotada para comprometer los teléfonos inteligentes Over-the-air (OTA) actualiza y obtener privilegios de root.

El firmware afectada por la puerta trasera es desarrollado por la empresa china Ragentek Grupo. El problema reside en la falta de mecanismos de cifrado para las OTA que exponen a los usuarios a los ataques MITM. El análisis reveló que el firmware Ragentek que se ejecuta en el teléfono inteligente implementa un mecanismo de actualización insegura Over-the-Air que establece una conexión sin protección a los servidores remotos a través de un canal de comunicaciones sin cifrar.

En comparación con la puerta trasera Adups descubierto hace unos días, el Ragentek no recopiló datos de los usuarios, pero una actualización malintencionado podría también poner en práctica este tipo de comportamiento. Los expertos destacaron que el mecanismo de la OTA es pre-instalado en millones de dispositivos y se ejecuta como root sin protección SSL, una puerta trasera perfecta para los atacantes.

"Todas las transacciones desde el binario al punto final de terceros se producen sobre un canal no cifrado, que no sólo expone información específica del usuario durante estas comunicaciones, sino que permitiría a un adversario para emitir comandos soportados por el protocolo. Uno de estos comandos permite la ejecución de comandos del sistema. Este problema afecta dispositivos fuera de la caja ".

El hallazgo se produjo después que un investigador compró un smartphone BLU Studio G de Best Buy, una circunstancia similar al anterior descubrimiento hecho por los expertos de Kryptowire.

Los investigadores de AnubisNetworks encontraron otro descubrimiento desconcertante, los componentes de firmware que implementan el mecanismo de actualización OTA también incluye código para disimular su presencia desde el sistema operativo Android. Esto significa que no hay ninguna evidencia en la lista de procesos activos de Android actualizaciones OTA en curso.

Además, el código OTA se distribuyó con un conjunto de dominios preconfigurados en el binario. Sorprendentemente, sólo uno de estos dominios se registró en el momento del descubrimiento de este problema, esto significa que si un adversario va a registrar estos dos dominios restantes, que potencialmente podrían enviar actualizaciones maliciosos a casi 3.000.000 dispositivos. AnubisNetworks compraron estos dos dominios para evitar cualquier abuso.

Varios modelos Android de bajo precio se ven afectados por los problemas, sobre todo BLU producto, otros proveedores afectados son Infinix Movilidad, Doogee, LEAGOO, IKU móvil, Beeline, y XOLO.

Anubis, junto con Google, BLU, y los EE.UU.-CERT está notificando a todos los proveedores afectados. Los EE.UU.-CERT también ha emitido una advertencia para el público por el descubrimiento.

A continuación la lista de los dispositivos afectados reportados por el CERT de Estados Unidos:

BLU Studio G, BLU Studio G Plus, BLU Studio 6.0 HD, BLU Studio X, BLU Studio X Plus, BLU Studio C HD, Infinix caliente x507, Infinix caliente 2 X510, Infinix Cero X506, Infinix Zero 2 X 509, Doogee Voyager 2 DG310, LEAGOO plomo 5, LEAGOO plomo 6, LEAGOO 3i plomo, LEAGOO plomo 2S, LEAGOO Alfa 6, IKU colorido K45i, Beeline Pro 2, XOLO Cubo 5.0

Fecha actualización el 2021-11-20. Fecha publicación el 2016-11-20. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio
Backdoor