近300万部安卓手机预装了危险的Rootkit

全球近300万台安卓设备易受中间人（MITM）攻击的攻击，该攻击可使攻击者以root权限远程执行任意代码，从而将设备的完全控制权移交给黑客。

根据安全评级公司BitSight的一份新报告，该问题是由于某些低成本安卓设备（包括美国百思买的BLU Studio G）使用的OTA（空中传送）更新机制的不安全实现中存在漏洞。

后门/Rootkit是预装的

易受攻击的OTA机制与中国移动公司Ragentek Group有关，它包含一个隐藏的二进制文件—；居住为/系统/bin/调试— 它以root权限运行，并通过未加密的通道与三台主机通信。

据研究人员称，这种特权二进制文件不仅向MITM攻击者公开用户特定信息，还充当rootkit，可能允许攻击者以特权用户的身份在受影响的设备上远程执行任意命令。

“此外，有多种技术可用于隐藏此二进制文件的执行。这种行为可以被描述为rootkit，”与此漏洞相关的CERT公告在周四发出警告。

与运行上海ADUPS技术公司固件的Android设备中发现的缺陷类似，新发现的缺陷（指定为CVE-2016-6564）也存在于一家中国公司开发的固件中。

虽然AdUps固件被抓获窃取用户和设备信息，但Ragentek固件既不加密发送和接收到智能手机的通信，也不依赖代码签名来验证合法应用。

这个错误可能会让远程攻击者从受影响的设备中提取个人信息，远程擦除整个设备，甚至有可能访问公司网络上的其他系统并窃取敏感数据。

受影响的Android设备

该漏洞已在BLU产品的多部智能手机以及其他供应商的十几部设备中发现。受影响的Android手机列表包括：

• 布鲁工作室G
• 蓝光工作室G Plus
• 蓝光工作室6.0高清
• 蓝光X工作室
• 蓝光工作室X Plus
• 蓝光工作室C高清
• Infinix Hot X507
• Infinix Hot 2 X510
• Infinix Zero X506
• Infinix Zero 2 X509
• 杜吉旅行者2 DG310
• LEAGOO Lead 5
• LEAGOO Lead 6
• LEAGOO Lead 3i
• LEAGOO铅2S
• LEAGOO Alfa 6
• IKU彩色K45i
• Beeline Pro 2
• XOLO Cube 5.0

在分析该漏洞时，AnubisNetworks发现该设备是BLU Studio G，试图联系三个预先配置的Internet域，其中两个域未注册，尽管已硬连接到引入该漏洞的Ragentek固件中。

BitSight的子公司Anubis Networks在周四发布的报告中表示：“这个OTA二进制文件是与软件中预先配置的一组域一起分发的。在发现这个问题时，这些域中只有一个已注册。”。

“如果对手注意到了这一点，并注册了这两个域，他们就可以立即对近300万台设备执行任意攻击，而无需执行中间人攻击。”

发现后，AnubisNetworks的研究人员注册了这些地址，现在控制着这两个无关的域名，以防止将来发生此类攻击。

大约300万台设备包含危险的Rootkit

尽管如此，影响还是很大的。研究人员能够利用BLU Studio G手机的后门，这使他们能够在为具有强大系统权限的应用程序保留的位置安装一个文件。


然而，通过观察智能手机在连接到BitSight注册的两个域时发送的数据，研究人员对55种已知受影响的设备型号进行了编目。

报告写道：“我们在大约55个已报告的设备模型中观察到了280多万个不同的设备，自从我们注册了无关域以来，这些设备已经进入了我们的天坑。”。

“在某些情况下，我们无法将提供的设备模型转换为对真实设备的参考。”

到目前为止，只有BLU Products发布了解决该漏洞的软件更新，尽管BitSight研究人员尚未测试该补丁以分析其有效性。然而，其余的安卓设备仍可能受到影响。

有关该漏洞的更多技术细节，请参阅BitSight的AnubisNetworks发布的完整报告。

这是一周内的第二个案例，研究人员警告你，Android智能手机将预装后门，不仅会向中国服务器发送大量个人数据，还会让黑客控制你的设备。