هشدار مرکز افتا درباره کرم اندرویدی

هشدار مرکز افتا درباره کرم اندرویدی
تاریخ انتشار : ۲۳ خرداد ۱۳۹۷

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به کشف کرم اندرویدی در حال گسترش در دستگاه‌های اندرویدی، هشدار داد.

به گزارش گرداب، هفته گذشته یک هشدار جدی در جوامع امنیت سایبری مطرح شد که طبق آن دستگاه‌های اندرویدی با پورت دیباگ باز و در معرض ارتباطات از راه دور، به بازار عرضه می‌شوند.

مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره اعلام کرد: این باگ، مسئله جدیدی نیست و اولین بار توسط Qihoo ۳۶۰ Netlab در ماه فوریه شناسایی شد.

این مشکل زمانی نمایان شد که یک کرم اندرویدی در حال گسترش در دستگاه‌های اندرویدی کشف شد که دستگاه‌ها را با یک کاوشگر ارز دیجیتالی به نام ADB.Miner آلوده می‌کرد.

کرم ADB.Miner از پل دیباگ اندروید یا Android Debug Bridge (ADB) سوءاستفاده می‌کند؛ ADB یک ویژگی در سیستم عامل اندروید است که توسط آن دستگاه‌های معیوب، عیب‌یابی می‌شوند.

در نسخه‌های پیش‌فرض اندروید، این ویژگی غیرفعال است و کاربر باید بصورت دستی آنرا از طریق اتصال USB فعال کند. علاوه بر این، قابلیت ADB از حالتی پشتیبانی می‌کند که توسعه دهنده می‌تواند با اتصال WiFi نیز از این ویژگی استفاده کند.

ایرادی که وجود دارد این است که در برخی از دستگاه‌های عرضه شده در بازار، ویژگی ADB روی WiFi بطور پیش فرض فعال است. کاربرانی که این دستگاه‌ها استفاده می‌کنند نسبت به در معرض بودن دستگاهشان در قبال اتصالات از راه دور و از طریق رابط ADB آگاه نیستند. این رابط به طور معمول از طریق پورت ۵۵۵۵ TCP در دسترس است.

علاوه بر این، به دلیل اینکه ADB یک ابزار عیب یابی است، دسترسی کاربر به تعدادی ابزار حساس از جمله Unix Shell را فراهم می کند.

کرم ADB.Miner نیز از همین طریق در ماه فوریه در دستگاه‌ها گسترش پیدا کرد و کاوشگر ارز دیجیتالی Monero را در آنها نصب کرد. این کرم با اسکن پورت ۵۵۵۵، دستگاه‌های جدید را پیدا و آلوده می‌کرد.

هفته گذشته Kevin Beaumont پستی را منتشر کرد و توجه جامعه امنیتی سایبری را نسبت به این مشکل جلب کرد. پس از انتشار این پست، موتور جستجو اینترنت اشیا Shodon، ویژگی اسکن دستگاه‌هایی که رابط ADB دارند را فعال کرد.

براساس نتایج این موتور جستجو، تاکنون ۱۵۶۰۰ دستگاه توسط Shodon ثبت شده‌اند که این مشکل را دارا هستند. تعداد دستگاه‌های ثبت شده در حال افزایش است.

علاوه بر این، پژوهشگران تایید کرده‌اند که کرم ADB.Miner همچنان فعال است. همچنین گزارش شده که اسکن پورت ۵۵۵۵ متوقف نشده است و تنها در ماه گذشته بالغ بر ۳۰ میلیون اسکن برای این پورت ثبت شده است.

در حال حاضر، بهترین توصیه این است که از غیر فعال بودن رابط ADB در تنظیمات دستگاه خود اطمینان حاصل کنید. همچین پژوهشگران به اپراتورهای موبایل توصیه می‌کنند تا از اتصالات ورودی به پورت ۵۵۵۵ جلوگیری کنند.