Более 100 млн Android-устройств подвержены бреши Wormhole

image

Теги: уязвимость, Android, бэкдор

Удаленный пользователь может получить полный доступ к устройству.

Пользователи китайской платформы по обнаружению уязвимостей WooYun обнаружили брешь в популярном наборе разработки ПО (Software Development Kit, SDK) Moplus от Baidu. Уязвимость позволяет удаленному пользователю получить доступ к Android-устройствам. Об этом сообщили специалисты Trend Micro в своем блоге.

По предварительным данным, количество пользователей, чьи устройства могут быть подвержены уязвимости Wormhole, составляет как минимум 100 млн. Более того, специалисты предупредили, что данную брешь легче проэксплуатировать, чем Stagefright.

Проблема существует из-за того, что при установке любого приложения, разработанного с помощью SDK Moplus, на устройстве также запускается web-сервер. Он не поддерживает аутентификацию и может принимать запросы на порты 6259 и 40310 от любого источника. Удаленный пользователь в беспроводной сети может получить доступ к уязвимому устройству, отправив специально сформированный запрос на порты 6259 и 40310.

Проэксплуатировав уязвимость, хакер может без ведома пользователя совершать звонки и отправлять SMS-сообщения, собирать информацию об устройстве и установленных на нем приложениях, добавлять, редактировать и удалять записи в телефонной книге, загружать и выгружать произвольные файлы, открывать произвольные web-страницы, получать геоданные и прочее. На девайсах с правами суперпользователя злоумышленник может незаметно устанавливать произвольные приложения.

Исследователи отметили, что Wormhole следует рассматривать не столько в качестве уязвимости, сколько в качестве бэкдора. Даже если web-сервер поддерживал бы аутентификацию и не позволял сторонним пользователям получить доступ к устройству, SDK Moplus все равно предоставлял бы неизвестным лицам, предположительно сотрудникам Baidu, расширенный набор прав.

Эксперты сообщили об уязвимости компаниям Baidu и Google, и китайский web-гигант выпустил патч, в котором брешь была частично исправлена. Обновленная версия SDK Moplus все еще подвержена уязвимости, хотя и в меньшем масштабе – например, web-сервер до сих пор доступен извне.

Напомним, что в конце октября нынешнего года специалисты Palo Alto Networks обнаружили аналогичную проблему в SDK Taomike. Схожая уязвимость привела к тому, что более 18 тысяч Android-устройств могли быть полностью скомпрометированы.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.