Miljoenen Android-apparaten hebben ADB ingeschakeld
Er zijn wereldwijd miljoenen Android-tv's, smartphones en andere apparaten die mogelijk risico lopen om door een cryptominer-worm te worden geïnfecteerd omdat ze de Android Debug Bridge (ADB) hebben ingeschakeld, zo waarschuwt anti-virusbedrijf Doctor Web.
ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen. Normaliter is het niet toegankelijk via internet. Vorige week waarschuwde securitybedrijf Qihoo 360 dat het een Android-worm had ontdekt die zich via open ADB-installaties verspreidde en zo'n 7.000 apparaten had geïnfecteerd, voornamelijk smart-tv's. Wanneer de worm een apparaat heeft besmet wordt het gebruikt om via poort 5555 naar andere kwetsbare apparaten te zoeken en zal het besmette apparaat naar de cryptovaluta Monero mijnen.
Voor de onderzoekers van Qihoo was het onduidelijk waarom ADB bij de apparaten was opengezet en wanneer. Doctor Web bevestigt dat de worm vooral Android-smart-tv's met een open Android Debug Bridge infecteert, omdat die vaak over een stabiele internetverbinding beschikken. Wat betreft de reden dat ADB is ingeschakeld geeft het anti-virusbedrijf als verklaring dat sommige leveranciers dit doen. Ook komt het voor dat gebruikers de functie inschakelen.
Qihoo 360 stelde dat de worm op zijn hoogtepunt 7.000 apparaten had besmet. Er zijn mogelijk veel meer Android-apparaten die risico lopen, aldus Doctor Web. Acht procent van alle Android-apparaten die gebruikmaakt van de anti-virussoftware van het anti-virusbedrijf heeft namelijk ADB ingeschakeld. Hierbij moet worden opgemerkt dat dit nog niet wil zeggen dat de ADB-installatie van deze apparaten ook via internet toegankelijk is. De anti-virussoftware van Doctor Web voor Android is tussen de 100 miljoen en 500 miljoen keer geïnstalleerd, wat inhoudt dat het om minimaal 8 miljoen apparaten gaat. Vanwege de "potentiële dreiging" heeft het anti-virusbedrijf besloten om gebruikers te waarschuwen als ADB staat ingeschakeld.
VirusTotal detectie nu: https://www.virustotal.com/#/file/940b47e9b71ba4968cfefd7ae6c374a319f2439e9b71ee0965e20a0ce00dcd67/detection
ADB activeer je handmatig door een stuk of 10x te klikken op het modelnummer meen ik.
Wat u al zei, vanaf de fabriek staat die optie uit.
ADB activeer je handmatig door een stuk of 10x te klikken op het modelnummer meen ik.
Wat u al zei, vanaf de fabriek staat die optie uit.
Met 7 x tikken op het build nummer activeer je de 'developer options'. Er komt dan een extra menu bij je instellingen, maar ADB is nog niet geactiveerd. In het 'devloper options' menu kan je de Android Debugging Bridge (ADB) handmatig inschakelen. Deze is dan alleen nog via USB te benaderen. Om de malware zoals hier beschreven een kans te geven, moet je daarnaast ook nog eens de optie 'ADB over network' inschakelen.
Je moet dus minimaal 3 handelingen uitvoeren en pas dan accepteert je Android device debugging commando's over het netwerk.
Dus wie 'ADB over netwerk' ingeschakeld heeft staan heeft dat of zelf bewust gedaan (en is dit vervolgens vergeten uit te schakelen), of heeft een vaag Android device waar dit standaard aan staat (waar de ontwikkelaar van het Android OS voor dat device dacht: "dat kan altijd handig zijn, laat ik het maar aan zetten"). Dit laatste lijkt hier dus het geval, maar het aantal devices waar deze functie standaard op ingeschakeld is lijkt erg beperkt. Een derde mogelijkheid is dat er malware in omloop zou kunnen zijn, die deze functie inschakelt... maar dat blijkt dan weer niet uit dit onderzoek.
Mits er rekening word gehouden met enkele andere opties & algemene toestel instellingen
ADB specifiek:
'Meldingen foutopsporing' = Aan
'ADB over Netwerk'=Uit
'Apps verifiëren via USB'=Aan
Ik heb ADB altijd aan. Dit omdat ik geregeld aan het prutsen ben met mijn toestel.
Stel dat ik m'n toestel softbrick terwijl ik geen ADB toegang heb.. dan heb ik een probleem.
met ADB aan is het een kwestie van, fastboot/recover mode, DD of / if
(Maak images van toestel maandelijks naar NAS met een geplande cronjob)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
