Root Bridge: Android-Geräte offen für Malware über ADB

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Root Bridge: Android-Geräte offen für Malware über ADB

    Warnung vor Kryptomining-Kampagne
    Root Bridge: Android-Geräte offen für Malware über ADB
    Bei zahlreichen Android-Geräten ist bereits bei der Auslieferung die ADB-Schnittstelle aktiviert. Diese macht Geräte anfällig für Malware und wird derzeit wohl hauptsächlich für Kryptomining missbraucht.

    In Android gibt es eine Funktion namens Android Debug Bridge (ADB). Dabei handelt es sich um eine Software-Schnittstelle, die es Entwicklern ermöglicht, auf ein Gerät zuzugreifen und es zu steuern, etwa zur Fehlersuche. Sie wird auch verwendet, um alternative ROMs zu installieren. ADB verlangt keine Authentifizierung, so dass jeder auf ein Gerät zugreifen kann, auf dem die Schnittstelle aktiv ist.

    Normalerweise muss man aber das Android-Gerät zunächst über USB anschließen und die Schnittstelle freigeben, um sie zu nutzen. Allerdings wurde wohl eine Reihe von Geräten mit bereits aktivierter ADB-Schnittstelle ausgeliefert. Da ADB über den Port 5555 nach Befehlen lauscht, kann quasi jeder auch ohne Passwort über das Internet auf diese Geräte zugreifen und als Administrator darauf Software installieren.

    Wie der Sicherheitsforscher Kevin Beaumont herausgefunden hat, sind zahlreiche Geräte auffindbar, bei denen dieser Port offen ist. Dabei handelt es sich etwa um digitale Videorekorder, Android-TV-Geräte und auch Smartphones. Während bei manchen Smartphones möglicherweise der Nutzer selbst dafür verantwortlich ist, wenn er nach dem Rooten sein Gerät nicht ordentlich abgesichert hat, nennt Beaumont auch Beispiele von Geräten, die offenbar vom Hersteller mit offener Schnittstelle ausgeliefert wurden.

    ADB-Schnittstelle wird für Kryptomining genutzt

    Mit Bezug auf Daten von Qihoo 360 weist er auch darauf hin, dass über den Port 5555 derzeit viel Traffic läuft. Dies deutet an, dass diese Schwachstelle massiv ausgenutzt wird. Beaumont schreibt, dass die betroffenen Geräte momentan für Kryptomining missbraucht werden. Dafür nutzen die Angreifer eine modifizierte Version des Mirai-Codes, der 2016 genutzt wurde, um ein Botnetz aus ungesicherten IoT-Geräten aufzubauen. Im aktuellen Fall wird der Code dafür verwendet, verwundbare Geräte zu finden, um Kryptomining-Software einzuschleusen, die dann versteckt im Hintergrund arbeitet.

    Beaumont schreibt, dass die Daten auf eine große Zahl von falsch konfigurierten Geräten hindeuten. Viele davon sind im Moment wohl in China im Umlauf. Es gibt keine Auflistung der betroffenen Geräte. Fest steht aber, dass über die offene Schnittstelle neben Kryptomining-Tools jederzeit auch andere Malware eingeschleust werden kann. Insofern sollte man diese Schwachstelle nicht auf die leichte Schulter nehmen.

    14.6.2018 von Gabriele Fischl


    Quelle: Root Bridge: Android-Geräte offen für Malware über ADB - connect



    Android: Ist das «Wurmleck» auf Ihrem Gerät gestopft?
    Sicherheitsexperten melden die Entdeckung eines Android-Wurms, der sich über eine weitverbreitete Sicherheitslücke fortpflanzt. Machen Sie die Schotten dicht.
    von Gaby Salvisberg 15.06.2018

    Wie Sicherheits-Software-Anbieter G Data meldet, seien bereits mehrere Tausend Geräte von einem Wurm namens ADB.Miner betroffen, der ein Cryptomining-Botnetz aufzuziehen versucht. Der Wurm verschafft sich über Androids Debug Bridge (ADB) Zutritt zum Gerät. Bei der ADB handelt es sich um die Entwicklerschnittstelle, die jedes Android-Gerät mitbringt.

    Durch den Missbrauch der ADB verschafft sich der Schädling volle Administrator-Rechte (Root-Rechte). Naturgemäss lässt sich über diese Schnittstelle so ziemlich alles auf dem Gerät anstellen, inklusive Verfolgen der Nutzertätigkeiten, Auslesen der Daten, Ändern von Netzwerkeinstellungen und Nachinstallieren weiterer Schädlinge.

    Normalerweise ist diese Schnittstelle werksseitig deaktiviert, bevor die Geräte in den Handel gelangen. Besonders bei billigeren Geräten werde diese wichtige Sicherheitsmassnahme jedoch oft vernachlässigt, so G Data.

    Ihr Adroid-Gerät – offen wie ein Scheunentor?

    Öffnen Sie die Einstellungen und halten Sie nach etwas wie Über das Telefon Ausschau; in neueren Android-Versionen befindet sich das im Untermenü System. Darin finden Sie meist ganz unten die Build-Nummer. Tippen Sie nun mehrmals (ca. 5- bis 7-mal) hintereinander auf diese Build-Nummer. Sie müssen nun in der Regel nochmals die PIN eingeben, dann erscheint «Du bist jetzt Entwickler».

    Wechseln Sie zurück zu System. Hier dürften nun die Entwickleroptionen aufgetaucht sein. Öffnen Sie diese. Scrollen Sie durch die Liste und schalten Sie soweit möglich alles ab, ganz besonders das USB-Debugging (A). Zum Schluss – und das ist wichtig – knipsen Sie oben die Entwickleroptionen selbst wieder aus (B). Die verschwinden damit wieder aus der Liste der Systemeinstellungen.

    Waren die Entwickleroptionen schon eingeblendet, darin womöglich sogar irgendwelche Zugriffsmöglichkeiten aktiv? Und haben Sie den Verdacht, dass sich ein Wurm wie ADB.Miner bereits auf dem Gerät breitgemacht hat? Ein Anzeichen könnte sein, dass das Gerät heisser wird als sonst oder dass sich der Akku plötzlich viel schneller leert. G Data bietet eine detaillierte Anleitung, um via PC den allenfalls vorhandenen Wurm auf dem Smartphone zu entfernen.


    Quelle: Android: Ist das «Wurmleck» auf Ihrem Gerät gestopft?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Erweitert