За последние несколько недель по миру прокатилась серия мощных кибератак. Последствия коснулись всех, начиная от объектов государственной важности, заканчивая IoT устройствами. Очередной «сюрприз» приподнесли пользователям дешевых китайских смартфонов.
Исследователи по кибербезопасности компании Anubis Networks обнаружили серьезную уязвимость в продукции китайского производителя ПО Ragentek Group, затрагивающую ряд бюджетных устройств. Смартфоны, использующие систему обновлений (Over-the-Air, OTA) от Ragentek Group содержат бэкдор. Иными словами, прошивка от Ragentek Group, которая установлена на более чем 2,8 млн смартфонах, может быть проэксплуатирована для удаленного доступа устройством.
Специалисты выяснили, что OTA-сиcтема, доступная «из коробки», связывается с серверами с помощью не зашифрованного канала, что предоставляет возможность совершения man-in-the-middle атаки («человек посередине») с помощью фальшивого серверного ответа и последующей передачи соответствующих команд. Ошибка это или нет, однако, кроме прочего, в коде была обнаружена функциональность, с помощью которой система скрывает свое присутствие на смартфоне и список из трех доменов. На момент обнаружения уязвимости один из доменов был зарегистрирован.
Специалисты воспользовались возможностью и зарегистрировали два оставшихся домена на себя, что увеличивает шанс определить возможных злоумышленников, а также лучше исследовать возможности эксплойта.
Таким образом удалось установить, что среди уязвимых устройств оказались смартфоны компании BLU, Infinix, DOOGEE, LEAGOO, XOLO и другие. Среди последних устройства которые не удалось идентифицировать.
Сотрудники Anubis Networks, заручившись поддержкой специалистов BLU Products, Google и CERT Division, уведомили всех пострадавших производителей. Уязвимости присвоили идентификатор CVE-2016-6564, а также опубликовали список из десятка «зараженных» моделей:
Источник: Anubis Networks, CERT Division