image

Miljoenen Android-apparaten hebben ADB ingeschakeld

maandag 12 februari 2018, 11:35 door Redactie, 5 reacties

Er zijn wereldwijd miljoenen Android-tv's, smartphones en andere apparaten die mogelijk risico lopen om door een cryptominer-worm te worden geïnfecteerd omdat ze de Android Debug Bridge (ADB) hebben ingeschakeld, zo waarschuwt anti-virusbedrijf Doctor Web.

ADB is een tool om Android-apparaten bijvoorbeeld via een computer mee te benaderen. Normaliter is het niet toegankelijk via internet. Vorige week waarschuwde securitybedrijf Qihoo 360 dat het een Android-worm had ontdekt die zich via open ADB-installaties verspreidde en zo'n 7.000 apparaten had geïnfecteerd, voornamelijk smart-tv's. Wanneer de worm een apparaat heeft besmet wordt het gebruikt om via poort 5555 naar andere kwetsbare apparaten te zoeken en zal het besmette apparaat naar de cryptovaluta Monero mijnen.

Voor de onderzoekers van Qihoo was het onduidelijk waarom ADB bij de apparaten was opengezet en wanneer. Doctor Web bevestigt dat de worm vooral Android-smart-tv's met een open Android Debug Bridge infecteert, omdat die vaak over een stabiele internetverbinding beschikken. Wat betreft de reden dat ADB is ingeschakeld geeft het anti-virusbedrijf als verklaring dat sommige leveranciers dit doen. Ook komt het voor dat gebruikers de functie inschakelen.

Qihoo 360 stelde dat de worm op zijn hoogtepunt 7.000 apparaten had besmet. Er zijn mogelijk veel meer Android-apparaten die risico lopen, aldus Doctor Web. Acht procent van alle Android-apparaten die gebruikmaakt van de anti-virussoftware van het anti-virusbedrijf heeft namelijk ADB ingeschakeld. Hierbij moet worden opgemerkt dat dit nog niet wil zeggen dat de ADB-installatie van deze apparaten ook via internet toegankelijk is. De anti-virussoftware van Doctor Web voor Android is tussen de 100 miljoen en 500 miljoen keer geïnstalleerd, wat inhoudt dat het om minimaal 8 miljoen apparaten gaat. Vanwege de "potentiële dreiging" heeft het anti-virusbedrijf besloten om gebruikers te waarschuwen als ADB staat ingeschakeld.

Image

Reacties (5)
12-02-2018, 11:58 door Anoniem
Een gratis virusscanner op je Android zou een maatregel kunnen zijn om een infectie te voorkomen.
VirusTotal detectie nu: https://www.virustotal.com/#/file/940b47e9b71ba4968cfefd7ae6c374a319f2439e9b71ee0965e20a0ce00dcd67/detection
12-02-2018, 12:11 door Anoniem
Ik heb ca. 10 Amdroid telefoons in mijn gezin in gebruik (gehad) en nog nooit 1 waar het ingeschakeld stond vanaf de fabriek. Ook nog nooit externe apps geinstalleerd.
12-02-2018, 12:48 door LadyKant
Door Anoniem: Ik heb ca. 10 Amdroid telefoons in mijn gezin in gebruik (gehad) en nog nooit 1 waar het ingeschakeld stond vanaf de fabriek. Ook nog nooit externe apps geinstalleerd.

ADB activeer je handmatig door een stuk of 10x te klikken op het modelnummer meen ik.

Wat u al zei, vanaf de fabriek staat die optie uit.
12-02-2018, 22:49 door Anoniem
Door LadyKant:
Door Anoniem: Ik heb ca. 10 Amdroid telefoons in mijn gezin in gebruik (gehad) en nog nooit 1 waar het ingeschakeld stond vanaf de fabriek. Ook nog nooit externe apps geinstalleerd.

ADB activeer je handmatig door een stuk of 10x te klikken op het modelnummer meen ik.

Wat u al zei, vanaf de fabriek staat die optie uit.

Met 7 x tikken op het build nummer activeer je de 'developer options'. Er komt dan een extra menu bij je instellingen, maar ADB is nog niet geactiveerd. In het 'devloper options' menu kan je de Android Debugging Bridge (ADB) handmatig inschakelen. Deze is dan alleen nog via USB te benaderen. Om de malware zoals hier beschreven een kans te geven, moet je daarnaast ook nog eens de optie 'ADB over network' inschakelen.

Je moet dus minimaal 3 handelingen uitvoeren en pas dan accepteert je Android device debugging commando's over het netwerk.

Dus wie 'ADB over netwerk' ingeschakeld heeft staan heeft dat of zelf bewust gedaan (en is dit vervolgens vergeten uit te schakelen), of heeft een vaag Android device waar dit standaard aan staat (waar de ontwikkelaar van het Android OS voor dat device dacht: "dat kan altijd handig zijn, laat ik het maar aan zetten"). Dit laatste lijkt hier dus het geval, maar het aantal devices waar deze functie standaard op ingeschakeld is lijkt erg beperkt. Een derde mogelijkheid is dat er malware in omloop zou kunnen zijn, die deze functie inschakelt... maar dat blijkt dan weer niet uit dit onderzoek.
14-02-2018, 16:13 door Anoniem
ADB aan is niet eens zo heel erg in perspectief van veiligheid.
Mits er rekening word gehouden met enkele andere opties & algemene toestel instellingen

ADB specifiek:

'Meldingen foutopsporing' = Aan
'ADB over Netwerk'=Uit
'Apps verifiëren via USB'=Aan

Ik heb ADB altijd aan. Dit omdat ik geregeld aan het prutsen ben met mijn toestel.
Stel dat ik m'n toestel softbrick terwijl ik geen ADB toegang heb.. dan heb ik een probleem.
met ADB aan is het een kwestie van, fastboot/recover mode, DD of / if

(Maak images van toestel maandelijks naar NAS met een geplande cronjob)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.