广升之后又有一家公司陷入Android后门事件
此前上海广升在BLU设备中植入后门事件还未消停,另一家上海的公司也被爆出向Android设备植入后门。
上海广升在BLU的固件中植入的程序每隔72小时将短信与联系人等私密信息上传至广升位于中国的服务器。
AnubisNetworks的研究人员在百思买购买的廉价低端Android设备中则是发现了位于OTA升级中的Rootkit。
起先安全研究人员在测试时只是发现了这些设备与锐嘉科集团(Ragentek Group)的服务器进行连接。
这些连接没有进行HTTPS加密,也就是很容易遭到中间人攻击导致黑客将含有恶意软件传送到这些设备上。
让人大跌眼镜的是锐嘉科自己开发的代码竟然与两个还未被注册的域名进行明文通信,于是安全研究人员果断注册了这两个域名。
蓝点网进行Whois查询后发现这两个未被注册的域名此前是被注册了,但今年八月份已经过期并未续费。
或许锐嘉科此前注册了这两个域名用于OTA包分发但后续并未使用因此停止了续费等。
进一步研究后发现整个存在问题的OTA升级机制与来自中国上海的锐嘉科集团有关,其中包含了隐藏的二进制文件/system/bin/debugs。
这个二进制文件以Root权限运行并与三个主机(包括那两个未被注册的域名)进行未经过加密的明文通信。
研究人员表示这个特权二进制文件不仅仅会将用户信息暴露给MITM(Man-in-the-MiddleAttack,中间人攻击)攻击者,而且的确就是个RootKit。
锐嘉科的固件既没有对接收和发送的信息进行加密通信,而且也没有采用代码签署来确认应用合法性。
就上述内容来看还不足以将这个二进制文件定性为RootKit,然而该文件采用了多种方式来隐藏自己的进程,因此才将它称之为RootKit。
报告中称这个RootKit主要包含在多数与锐嘉科集团有关的设备或者是供应商设备上,而受感染的Android设备则超过了280万台。
研究人员在注册了那两个未被注册的域名并搭建好服务器后迅速有超过百万台设备连接到了测试服务器上。
AnubisNetworks已经将漏洞提交到CERT并已经分配了漏洞编号CVE-2016-6564,BLU在接到报告后已经发布了软件更新来修复这枚漏洞。
研究人员尚未针对BLU发布的补丁进行测试,因此还不清楚该更新是否已经修复了这个漏洞。
(via AnubisNetworks FreeBuf)