Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt

Publiziert am 20. November 2016 von Günter Born

In "Billig-" China-Handys ist mal eine zweite, gravierende, Schwachstelle entdeckt worden. Über die Backdoor bzw. das Rootkit können Android-Apps mit Root-Rechten installiert werden. Betroffen könnten 3 Millionen Android-Geräte sein.

Anzeige

Erst vorige Woche hatte ich im Blog-Beitrag Backdoor in China-Phones "telefoniert nach Hause" über eine Backdoor in China-Smartphones, die für den US-Anbieter BLU gefertigt wurden, berichtet. Nun hat ein Sicherheitsunternehmen die nächste Schwachstelle in China-Handys aufgedeckt. Diese könnte 3 Millionen Android-Geräte betreffen, viele davon wurden vom US-Unternehmen BLU an die Amis verkauft.

Die Entdeckung erfolgte durch den Sicherheitsdienstleister Anubis Networks, der das Ganze in diesem Blog-Beitrag beschrieben hat. Nachdem die oben beschriebene Backdoor in BLU-Handys entdeckt wurde, haben sich die Sicherheitsspezialisten ein Smartphone, BLU Studio G über die US-Handelskette Best Buy, besorgt. Dort kommt ein Android-ROM des chinesischen Anbieters Ragentek zum Einsatz. Dieses ROM findet sich in Smartphones von Blu, Infinix, Doogee, Leagoo und Xolo.


(Betroffene Geräte, Quelle Anubis Networks)

Beim Aufsetzen des Geräts bzw. des installierten Androids wurde der Netzwerkverkehr aufgezeichnet. Schon kurze Zeit nach dem Einschalten wurde ein unverschlüsselte Verbindung mit dem Ragentek-Server  oyag[.]lhzbdvm[.]com festgestellt. Anschließend versuchte das Gerät noch zwei weitere, vorkonfigurierte (aber nicht registrierte) Server zu kontaktieren. Nachdem Anubis diese Domains selbst reservierte und aufsetzte, konnten die Anfragen über das Netzwerk analysiert werden.

Nach der Analyse steht fest: Das betreffende Android-ROM verwendet einen Update-Mechanismus für Over the Air-Updates (OTA), der unverschlüsselt mit dem Server von Ragentek abgewickelt wird. Dies ermöglicht Man in the middle-Angriffe auf das betreffende Gerät und der Angreifer könnte das Android-Gerät beliebig manipulieren.

Aber noch gravierender ist die zweite Problemstelle: Im Code des ROM werden zwei Domains angesprochen, die zum Zeitpunkt des Erwerbs des Testgeräts durch Anubis Networks noch nicht registriert waren. Anubis Networks hat diese beiden Domains registriert und unter Kontrolle. Hätte ein Angreifer sich eine oder beide Domains registrieren lassen, hätte er Zugriff auf die betreffenden Geräte erlangen können.

Anubis Networks gibt an, dass seit der Registrierung der beiden Domains insgesamt 2,8 Millionen Android-Geräte versucht hätten, sich mit dem Server in Verbindung zu setzen. Gemäß obiger Grafik sind gut 1/4 der Geräte von Blu dabei gewesen. Bei den unverschlüsselten Kontaktanfragen wurden sowohl die IMEI des Geräts als auch dessen Telefonnummer an die von Anubis Networks aufgesetzten Server übertragen. Weitere Details finden sich in dieser CERT-Meldung.

Nachtrag: Bei Arstechnic findet sich der Hinweis, dass João Gouveia, ein Sicherheitsforscher bei BitSight, der in die Analyse einbezogen war, in einem Tweet weitere Infos publiziert hat. Die Leute haben Verbindungsanfragen aus allen möglichen Sektoren, angefangen von Verbindungsversuchen aus dem Gesundheitswesen über Geräte im Bankensektor bis hin zu Behördengeräten festgestellt wurden. Irgendwie erschreckend, wo die Billig-Geräte überall landen. Bei Arstechnica spricht Gouveia vom Verhalten der Software wie bei einem Rootkit.

Nachtrag 2: Bei Golem findet sich dieser deutschsprachige Beitrag mit Informationen zum Thema.

Der Anbieter Blu hat zwar für die in den USA vertriebenen Billig-Handys ein Firmware-Update entwickeln lassen. Aber offenbar werden eine Menge Geräte weiterhin mit dem kompromittierten ROM betrieben. Die Untersuchung bezieht sich zwar auf die USA, aber der zweite Fall binnen einer Woche zeigt, dass in China entweder bewusst oder zumindest recht sorglos mit Software-Entwicklung umgegangen wird. Den Schluss, den man ziehen muss, ist eindeutig: Finger weg von China-Produkten, falls nicht ein renommierter Hersteller wie Lenovo, Huawei, Xiaomi dahinter steht. Die billigen China-Kracher sind ein Sicherheitsrisiko par excellence. (via)

Anzeige

Nachtrag: heise.de hat zwischenzeitlich einen Artikel zum Thema veröffentlicht, in dem ihr ggf. weitere Erläuterungen findet.

Ähnliche Artikel
Android-Backdoor in China-Phones
Sicherheitslücke in Android-Geräten mit MediaTek-CPU
Backdoor in China-Phones "telefoniert nach Hause"

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.