Backdoor in Baidu Android SDK mette a rischio 100 milioni di dispositivi

Per chi non lo sapesse Baidu è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini. In poche parole è il Google Search de noantri. Quindi ecco che come tutte le piattaforme che si rispetti, anche loro hanno deciso di realizzare un proprio SDK e dedicato al mondo Android.

Diciamo che fin qua tutto è normale e non c’è nulla di strano. Si questo è vero, però a quando pare qualcuno ha fatto una piccola ricerca e ha scoperto che all’intero di questo SDK vi sono varie funzionalità implementate in modo non del tutto corretto e possono essere utilizzate come backdoor per accedere in modo del tutto indisturbato ai dispositivi delle vittime. Si stima che intorno ai 100 milioni sono i dispositivi che potrebbero essere colpiti da questo SDK.Backdoor Baidu Android SDKPer la precisione stiamo parlando del SDK Moplus, che ovviamente non può essere distribuito in modo diretto al pubblico, ma deve essere installato e utilizzato attraverso le applicazioni. Però nessun problema, i malintenzionati hanno a loro disposizione la bellezza di 14 mila applicazioni per la piattaforma Android, di cui qualcosa come 4000 app sono state sviluppate dalla stessa Baidu.

Quindi facendo due calcoli veloci e incrociando alcuni dati di utilizzo/installazione, si suppone che attualmente sono a rischio infezione oppure sono stati infettati quasi 100 milioni di utenti Android.

Chi ha scoperto il problema di Baidu Android SDK?

La ricerca e la scoperta è stata fatta dal team Trend Micro che hanno scoperto una vulnerabilità nell’SDK Moplus, che hanno chiamato Wormhole, essa permette agli aggressori di lanciare una connessione non protetta e non autenticata su un server HTTP con il dispositivo della vittima, tutto ciò gira in background ovviamente, quindi l’utente non si accorge di nulla.

Quindi, questo server non certificato non utilizza nessuna certificazione di autenticazione e può accettare richieste da qualsiasi device in giro per Internet. Però il server è gestito e controllato dall’attaccante, che a suo volere può inviare richieste di una particolare porta del server HTTP nascosta per eseguire comandi dannosi in remoto.

Le funzionalità di Wormhole

Allora nel momento in cui vi scrivo i ricercatori hanno individuato che la vulnerabilità denominata Wormhole e presente all’interno dell’SDK Moplus utilizza le porte 6259 o 40310 per eseguire attività dannose su dispositivi Android. Di seguito vi riportiamo la lista “completa”:

  • Inviare SMS
  • Fare delle chiamate telefoniche
  • Ottenere i dettagli sul dispositivo
  • Aggiungere nuovi contatti
  • Ottenere un elenco di applicazioni locali
  • Caricare i file sul dispositivo
  • Scaricare file dal dispositivo
  • Installare silenziosamente altre applicazioni
  • Impostare e obbligare la vittima a visualizzare delle pagine Web a scelta
  • Ceo-localizzazione del dispositivo
  • e tante altre cose

Diciamo che gli attaccanti hanno vita facile, perché dal momento in cui uno sviluppatore decide di utilizzare l’SDK all’interno della sua applicazione viene installato automaticamente anche il server Web, quindi a loro basta eseguire una scansione di una rete di telefonia mobile alla ricerca delle porte 6259 o 40310 per trovare i device di cui abusare.

Wormhole è più pericoloso di Stagefright

Non pensavo che ci potesse essere qualcosa di più cattivo della vulnerabilità Stagefright eppure mi devo ricredere, si perché a quando pare la vulnerabilità Wormhole è più pericolosa.

Adesso uno si chiede: Perché Wormhole è più pericoloso di Stagefright?
Semplicemente perché questa vulnerabilità è più facile da sfruttare, infatti rispetto a Stagefright l’attaccante non deve fare un lavoro di ingegneria sociale per infettare le ue vittime.

Infatti i ricercatori Tren Micro per dimostrare questa loro tesi e affermazione, hanno rilasciato tutta una spiegazione dettagliata della vulnerabilità e come essa può essere utilizzata dai malintenzionati.

Ovviamente prima di svelare al mondo tale vulnerabilità il team di ricercato ri hanno segnalato il problema al team Baidu, che si è messo a lavorar per sistemare il problema. Però sfortunatamente il problema è stato risolto solo in modo parziale e si sta ancora lavorando.

Il server HTTP resta online e attivo; tuttavia, il team Baidu ha assicurato i propri utenti che attualmente non è più nessuna backdoor. (sarà così?!?!)

Soluzioni al problema

Se non sei sul territorio cinese e non utilizzi Baidu puoi fare sogni tranquilli, questo finché non troveranno qualcosa di analgo per il mercato europeo. Ovviamente vale sempre la regola di stare attenti a quello che si scarica e si installa.

Conclusione

Si può dire che il mercato mobile cinese in questo periodo non gode di molta salute, si perché oggi parliamo della vulnerabilità Wormhole presente nell’SDK Moplus, però non molti giorni fa un altro kit per lo sviluppo di software cinese è stato trovato ammalato. Stiamo parlando del Taomike SDK, che ha messo a rischio la sicurezza e la privacy delle persone che avevano installato un applicazione che conteneva questo SDK. Anche in questo caso gli attaccanti avevano un bacino molto ampio di applicazione, si parla di oltre 18 mila app sviluppate che racchiudevano nel loro cuore il Taomike SDK.

Insomma i sistemi operativi sicuri al 100% non esistono e la sicurezza degli utenti baccila di volta in volta.

Seguiteci anche su Facebook, Google Plus, Tumblr e Twitter, per restare sempre in contatto con noi e con le nostre guide.

Backdoor in Baidu Android SDK mette a rischio 100 milioni di dispositivi ultima modifica: 2015-11-07T22:54:31+00:00 da Flavius Harabor

Da sempre appassionato di informatica e tecnologia, cerco ogni giorno di migliorare la mia cultura generale in questi ambiti. A volte mi occupo anche con lo sviluppo di applicazioni mobile e non solo.