成千上万台安卓设备的调试端口被暴露

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

上周，安全圈警告称多台安卓设备的调试端口易遭远程连接。

实际上该问题并非第一次出现，今年2月份，奇虎360网络安全研究院就率先发现了这一问题，当时研究员检测到安卓蠕虫在安卓设备之间传播，通过密币挖矿机 ADB.Miner 进行感染。

蠕虫 ADB.Miner 利用的是安卓操作系统用于解决存在缺陷的设备的功能，安卓调试桥 (ADB)。在安卓操作系统的默认版本中，ADB 功能被关闭，用户需要在通过 USB 连接设备时手动启用。另外，ADB 调试还支持“WiFi 连接 ADB”状态，使开发人员能够通过 WiFi 而非默认 USB 连接至设备。

根因：ADB 接口暴露至远程连接

问题在于，某些供应商已在交到用户手中的产品的生产版本中装了已启用“ADB 连接 WiFi”功能的安卓设备。

使用这些设备的客户可能并未意识到自己的设备经由在正常情况下可通过 TCP 端口 5555 访问的 ADB 接口的远程连接。另外，由于 ADB 是一种调试工具，因此它能让用户访问一系列敏感工具，包括某个 Unix shell。

以上就是2月份 ADB.Miner 蠕虫的传播过程，它通过 ADB 端口获取对设备的访问权限，利用 Unix shell 安装门罗币挖矿机，然后通过端口 5555 扫描受感染的新设备。

逾1.56万台设备暴露 ADB 端口

但上周，安全研究员 Kevin Beaumont 再次引发了安全圈子对这个问题的注意。Beaumont 在 Medium 发布文章称，仍然由无数基于安卓的设备被暴露。他指出，受感染的设备包罗万象，有位于美国的游轮、也有位于中国香港的 DVR、还有位于韩国的手机。他指出，由此带来的问题很多，在无需密码的情况下，任何人都能以 root 权限即以管理员模式远程访问这些设备，然后静默安装软件并执行恶意函数。

Beaumont 的文章引发了安全圈子对该问题的又一次重视。Shodan 搜索引擎甚至因为这篇文章增加了对ADB 接口暴露在网上的设备的扫描支持功能。从上周增加这类扫描支持后，运行被暴露的 ADB 接口的安卓设备数量已从上周五的1100台增加至本周一的超过1.56万台，未来这一数字还有望增长。

ADB.Miner 仍然十分活跃

另外，其他安全研究员也证实称由奇虎360网络安全研究员率先发现的 ADB.Miner 仍然生机勃勃。

奇虎360 NetworkScan Mon 也证实称对端口5555的扫描活动一直在持续，仅上个月就记录了近3000万次扫描活动。

更糟糕的是，一个通过端口5555自动用脚本方式利用并 root 安卓设备的 Metasploit 模块让这个配置不当的问题成为所有安卓设备所有人的危险。

目前的最佳建议是，安卓设备所有人应查看供应商是否启用了设备上的 ADB 接口。Beaumont 指出，问题并不在于 ADB 本身，ADB 并未设计成按这种方式部署。

Beaumont 还建议移动运营商拦截流向端口 5555 的连接传入用户设备，这样就能让多数互联网扫描活动无功而返。

https://www.bleepingcomputer.com/news/security/tens-of-thousands-of-android-devices-are-exposing-their-debug-port/