Un backdoor pe unele dispozitive cu Android transmite date către servere din China

2016/12/09
Popularitate 1182

Foto: Google

Compania de securitate Kryptowire a identificat dispozitive mobile BLU care conțin firmware ce colectează date personale sensibile despre utilizatori și le transmite către anumite servere, fără consimțământul deținătorilor acelor terminale mobile.

Descriere

Terminalele afectate transmit în mod activ informații despre dispozitiv, inclusiv mesaje text, lista de contacte, istoricul apelurilor, coduri de identificare de tipul International Mobile Subscriber Identity (IMSI) sau International Mobile Equipment Identity (IMEI).

Firmware-ul viza anumiți utilizatori și mesaje text prin corelarea unor cuvinte cheie definite de la distanță. Totodată, se permitea colectarea și transmiterea informațiilor despre folosirea aplicațiilor instalate pe dispozitivul monitorizat, evitând modelul de permisiuni creat de Android.

Mai mult, se puteau executa comenzi de la distanță cu privilegii de sistem, prin intermediul backdoor-ului putându-se chiar reprograma de la distanță acele dispozitive afectate.  

Procesul de colectare a datelor varia de la un interval de 24 de ore, la unul de 72, în funcție de caz. Spre exemplu, transmiterea datelor referitoare la mesajele text și registrul convorbirilor utilizatorului se făcea odată la 72 de ore, iar la fiecare 24 de ore pentru alte date personale. Informațiile erau transmise către următoarele servere:

·         bigdata.adups.com 

·         bigdata.adsunflower.com

·         bigdata.adfuture.cn

·         bigdata.advmob.cn

Firmware-ul livrat împreună cu dispozitivele mobile și actualizările ulterioare permiteau instalarea de la distanță a oricăror aplicații fără consimțământul utilizatorilor și, în cazul anumitor versiuni ale software-ului, dispozitivul putea fi localizat cu precizie.

Majoritatea activităților de monitorizare au avut loc prin intermediul unei actualizări de software - Firmware Over The Air (FOTA) – care a fost livrat împreună cu modelele de terminale mobile testate de către Kryptowire. Aceste actualizări erau gestionate de către compania Shanghai Adups Technology Co. Ltd., ale cărei servere sunt localizate în China.

Informațiile referitoare la dispozitiv și utilizator au fost colectate în mod automat și transmise periodic, fără cunoștința sau consimțământul proprietarilor acelor modele de terminale mobile. Informațiile culese au fost criptate și apoi transmise prin intermediul unor protocoale web securizate către serverele situate în Shanghai.

Deoarece aplicația malițioasă era livrată odată cu dispozitivul, aceasta și comportamentul generat nu erau detectate de aplicațiile de tip antivirus pentru dispozitive mobile.   

 

Impact

Aceste dispozitive au fost achiziționate prin intermediul unor magazine online extrem de populare în SUA, precum Amazon sau Best Buy. Backdoor-ul rezidă în firmware-ul instalat pe dispozitivele BLU Android, acesta fiind furnizat ca serviciu pentru BLU de către AdUps (Shanghai Adups Tehnology).

În luna septembrie 2016, compania AdUps a susținut pe site-ul său că ar avea o prezență globală, cu peste 700 milioane de utilizatori activi și un market share de peste 70% în peste 150 de țări. Compania are puncte de lucru în Shanghai, Shenzen, Beijing, Tokyo, New Delhi sau Miami. Același site susține că produce firmware ce este integrat de peste 400 de operatori mobili, furnizori de semiconductoare sau producători de dispozitive mobile, mașini sau televizoare.    

Așa cum am menționat în debutul alertei, acest tip de software a fost depistat pe smartphone-ul Blu R1 HD, care a devenit extrem de popular datorită prețului mic de achiziție (50$). Prețul terminalul era unul modic deoarece era subvenționat prin reclame și era vândut exclusiv prin intermediul magazinului online american Amazon.

Remediere

Compania Kryptowire a informat Google, Amazon, Blu și AdUps despre această problemă. Dintre acestea, Blu și Amazon au reacționat rapid la dezvăluirea problemei. Blu a lansat o actualizare a sofware-ului care aparent rezolvă „potențiale probleme de securitate” ce afectau aproximativ 120.000 de dispozitive. Mai mult, Blu R1 HD a fost scos din oferta Amazon, compania americană anunțând totodată clienții că aceste dispozitive vor primi un update în cel mai scurt timp.

De partea cealaltă, AdUps a avut o atitudine defensivă, specificând că respectivele date nu ajung sub nici o formă în posesia guvernului chinez. Conform documentului înaintat de AdUps pentru explicarea situației, compania susținea că versiunea de software care colecta și transmitea informații era destinată unor producători chinezi care doreau să monitorizeze comportamentul utilizatorilor. Cu alte cuvinte, nu era menit pentru dispozitivele comercializate în Statele Unite. Mai precis, acele telefoane au ajuns pe piața americană dintr-o neînțelegere.

Deși atât AdUps cât și Blu au luat cunoștință de problemă, există posibilitatea ca acest backdoor să își continue activitatea pe terminale mobile inteligente care folosesc software-ul FOTA. CERT-RO recomandă utilizatorilor să cerceteze dacă smartphone-ul personal conține un astfel de software. Realizați acest lucru prin verificarea prezenței următoarelor fișierele cu extensia .apk, pe terminal: om.adups.fota și com.adups.fota.sysoper

Surse și link-uri utile:

1. http://www.kryptowire.com/adups_security_analysis.html

2. http://gadgets.ndtv.com/mobiles/news/chinese-firm-installed-back-door-on-thousands-of-smartphones-says-it-was-a-mistake-1626136

3. http://securityaffairs.co/wordpress/53464/mobile-2/android-backdoor.html

 

 


Vizualizat de 3619 ori