Суть уязвимости
Проблему впервые обнаружили в смартфоне BLU Studio G, который купил один из сотрудников Anubis Networks. Уязвимость содержится в системе обновления «по воздуху» (Over-the-Air, OTA), разработанной компанией Ragentek Group.
Предустановленная система всегда работает с root-правами и соединяется с сервером по незащищенному каналу. Это позволяет хакерам подделать ответ сервера и передать нелегитимные команды и обновления. При этом система обновлений скрывает свое присутствие на смартфоне, что делает ее похожей на руткит.
Исследователи обнаружили, что в системе указаны три сервера, которые отправляют обновления. Один из серверов работает, двух других не существовало, и специалисты зарегистрировали эти домены на себя. Теоретически это позволило им отправлять на смартфоны через бэкдоры обновления и произвольные команды, получать личные данные пользователей.
Специалисты подчеркнули, что список может быть неполным. Так, на смартфонах может быть установлено программное обеспечение, разработанное не Ragentek Group, однако подключающееся к тем же серверам для получения обновлений.
О проблеме сообщили BLU Products, Google и US-CERT. Последние две организации выпустили официальное предупреждение и перечислили ряд моделей устройств, на которых есть бэкдор:
- Beeline Pro 2
- BLU Studio G
- BLU Studio G Plus
- BLU Studio 6.0 HD
- BLU Studio X
- BLU Studio X Plus
- BLU Studio C HD
- Infinix Hot X507
- Infinix Hot 2 X510
- Infinix Zero X506
- Infinix Zero 2 X509
- DOOGEE Voyager 2 DG310
- LEAGOO Lead 5
- LEAGOO Lead 6
- LEAGOO Lead 3i
- LEAGOO Lead 2S
- LEAGOO Alfa 6
- IKU Colorful K45i
- XOLO Cube 5.0
