В прошивке некоторых Android-устройств обнаружен бэкдор

«В предупреждении CERT приведен список некоторых устройств, использующих бинарный код Ragentek, в основном это недорогие изделия BLU Studio, Infinix, DOOGEE и LEAGOO, хотя среди них числится и смартфон «Билайн Про 2». Среди образцов, протестированных в Anubis, присутствовал также новый BLU Studio G, приобретенный исследователями на Best Buy.

Тем не менее масштабы бедствия прояснились лишь после того, как исследователи обнаружили, что уязвимые устройства пытаются связаться с еще двумя прописанными в коде доменами помимо узла Ragentek. Эти домены оказались незарегистрированными, и Anubis поспешила оформить заявки и поднять sinkhole-серверы. Эта оперативная мера позволила исследователям выявить 2,8 млн уязвимых Android-устройств 55 разных моделей. В блог-записи компании отмечено, что, случись злоумышленнику узнать о резервных доменах и опередить исследователей с покупкой, он смог бы хозяйничать на всех этих устройствах, даже не прибегая к MitM-атаке.

Anubis сообщила об уязвимости BLU Products, как наиболее затронутому вендору, а также в Google и CERT, чтобы те донесли неприятную весть до других заинтересованных вендоров. По данным CERT, американская BLU уже выпустила заплатку для данной бреши.

За пару дней до публикации Anubis аналогичной находкой поделились исследователи из Kryptowire. Они идентифицировали несколько моделей Android-устройств, в системе обновления которых, тоже китайского производства, кроется бэкдор. Как оказалось, он без согласия и ведома пользователей собирает и передает на шанхайский сервер личностную информацию, а иногда даже SMS и историю звонков — правда, в зашифрованном виде и по защищенному каналу. Соответствующее ПО производит и обслуживает Adups Technology, и прошивка со шпионским OTA-апдейтером используется в некоторых популярных смартфонах, к примеру в BLU R1 HD. Как узнала New York Times, данной уязвимости подвержены 120 тыс. смартфонов BLU, для которых уже выпущен патч...»