Fabricantes de celulares Android estão vendendo dispositivos com o diagnóstico do ADB (Android Debug Bridge) ativado. O recurso, nome mais conhecido para a porta TCP 5555, serve para que desenvolvedores realizem operações diversas, como instalar e depurar apps. No entanto, com o destravamento por padrão, qualquer pessoa pode controlar remotamente o dispositivo – sem nenhum tipo de senha, já que o ADB é completamente sem autenticação.

A falha foi descoberta pelo pesquisador de segurança da informação Kevin Beaumont. Segundo ele, milhares de aparelhos Android conectados à internet estão sendo explorados por essa vulnerabilidade. Não há como precisar os números, mas as análises indicam mais de 100 mil endereços de IP em um intervalo de 30 dias.

O problema não se restringe aos celulares: nos estudos, o técnico encontrou também Android TVs, DVRs e até navios petroleiros nas mesmas condições.

Exploração da vulnerabilidade

O que está ocorrendo é que, ao contrário do esperado, os fabricantes de hardware estão vendendo os produtos com o ADB habilitado, que passa a escutar a porta TCP 5555. Por meio dessa entrada digital, qualquer um consegue se conectar a um dispositivo ligado à internet. Em tese, o acesso dependeria que o invasor se conectasse ao dispositivo fisicamente via USB, e então habilitar o Debug Bridge. Na prática, não é isso o que está acontecendo.

Beaumont identificou um aumento repentino da leitura da porta 5555 a partir de 1º de fevereiro. Eles dizem respeito ao worm ADB.Miner, software similar a um vírus, porém mais perigoso por replicar a si próprio. Como o nome indica, o malware está sendo usado para minerar criptomoedas em diversos tipos de aparelhos com Android. Ele é espalhado ponto a ponto, sem um servidor central.

Durante 24 horas de análise, o pesquisador identificou quase 10 mil endereços de IP únicos afetados, número que ultrapassou os 100 mil em um intervalo de 30 dias. “Vale a pena ter em mente que, devido à Tradução do Endereço da Rede (Network Address Translation – NAT) e às restrições de IP dinâmico, é difícil saber o número exato de dispositivos. Mas é seguro dizer: muito”, explica Beaumont. A maior parte dos aparelhos afetados está na Ásia, incluindo China e Coréia do Sul.

Dispositivos com porta 5555 rastreada em intervalo de 24 horas (Foto: Reprodução/Kevin Beaumont)

Como se proteger

A recomendação do pesquisador para se prevenir é desativar o ADB do Android. Para isso, é necessário usar o Android SDK ou o prompt de comando do Windows.

Fontes/Informações: Tech Tudo, Kevin Beaumont, Google e HackTabs.

Entre em contato conosco