ARES: UN NOUVEAU BOTNET CIBLANT LES BOÎTES DE STREAMING ANDROID

Posté le août 31, 2019 à 18:30

ARES: UN NOUVEAU BOTNET CIBLANT LES BOÎTES DE STREAMING ANDROID

Selon des rapports récents, il semblerait qu’une partie du logiciel principal d’Android soit à nouveau ciblée par de mauvais acteurs. Cette fois, le logiciel en question s’appelle ADB (Android Debug Bridge).

Selon le rapport publié par les chercheurs de la société de cybersécurité WootCloud, le logiciel est ciblé par un nouveau réseau de zombies appelé Ares. Ares cible ADB, un logiciel qui est seulement utilisé pour le débogage. En tant que tel, il est souvent utilisé par les développeurs et les experts informatiques pour gérer, dépanner et modifier les appareils Android.

Une fois le processus terminé, le logiciel est censé être désactivé car il n’est généralement pas utile pour des utilisateurs ordinaires. Cependant, il semble que certains décodeurs (STB) — les boîtes de streaming utilisant le système Android — ont laissé ADB actif. Il en va de même pour certains téléviseurs utilisant une version de base d’Android.

À présent, il convient de noter que ce n’est pas le même système que celui utilisé sur les smartphones, les montres et autres appareils Android. Le système particulier ciblé s’appelle spécifiquement «Android OS», tandis que celui utilisé par les smartwatches Android est Wear OS.

Mais pourquoi est-ce donc un problème ?

Le problème avec le fait que les appareils sont livrés avec ADS actif réside dans le fait que le système semble être mal configuré. En tant que tel, il est vulnérable aux attaques telles que celles utilisées par le botnet Ares. Le botnet semble utiliser un logiciel malveillant pour infecter les appareils et rechercher simultanément d’autres appareils vulnérables.

Même si un seul appareil est infecté — s’il fait partie d’un réseau plus étendu, l’ensemble du réseau est considéré comme compromis. Il est facile de comprendre pourquoi les attaquants pourraient être intéressés par un accès aux ADBs actifs. Après tout, ils sont utilisés pour contrôler et modifier les appareils sur lesquels ils sont installés. Cela inclut également l’installation d’un nouveau logiciel.

Les chercheurs ont également découvert que les attaquants pouvaient utiliser le port 5555 pour lancer une commande shell à distance. Avec les boîtes de streaming utilisant Android OS étant pratiquement partout, les cibles potentielles ne manquent pas.

Il y a au moins trois entreprises qui vendent des appareils vulnérables

Cependant, il est également important de noter que toutes les boîtes de streaming fonctionnant avec Android OS ne sont pas vulnérables à de telles attaques — seulement celles qui ont l’ADB actif après avoir quitté l’appareil. Cependant, cela concerne toujours au moins trois marques différentes — QezyMedia, HiSilicon et Cubetek.

Il convient également de mentionner que certaines interfaces de l’ADB sont protégées par un mot de passe, bien que cela ne les rende pas plus sûres que celles qui ne le sont pas. Les hackers semblent s’être attendus à ce type de protection, c’est pourquoi ils ont doté Ares d’un composant de piratage de mot de passe. Les chercheurs croient que tout appareils ayant l’ADB activée est vulnérable, qu’il ait protégé par un mot de passe ou non.

Bien sûr, les mots de passe en question sont toujours ceux que le fabricant a défini par défaut, et il peut s’avérer utile de changer le mot de passe manuellement et d’utiliser un nouveau et fort à sa place. Les hackers sont connus pour utiliser des attaques de force brute pour essayer de s’infiltrer dans les appareils. Mais ils ne le peuvent pas s’ils ne peuvent pas deviner le mot de passe.

Toutefois, les boîtes étant un autre produit du secteur des appareils IdO, il est peu probable que leurs utilisateurs soient conscients du danger de laisser le mot de passe par défaut sur leurs appareils. Depuis l’apparition de l’incident, cela constitue un problème pour le secteur de l’IdO. La plupart des utilisateurs d’appareils connectés ne se rendent pas compte des conséquences possibles de ne pas changer les mots de passe par défaut.

Ce manque de sensibilisation ou de préoccupation est ce qui rend les appareils IoT si vulnérables, et pourquoi les hackers les piratent souvent lorsqu’ils essaient de construire un nouveau botnet.

Comment protéger votre appareil ?

Le rapport de WootCloud a mentionné les trois fabricants mentionnés précédemment: QezyMedia, HiSilicon et Cubetek, et conseille à quiconque a acheté leur produit d’essayer de désactiver manuellement l’interface ADB. Toutefois, comme cela n’est pas toujours possible (ou facile), la société recommande également d’essayer de bloquer le port 5555 via le pare-feu du routeur Internet.

Cette méthode nécessite également un peu de connaissances techniques, car le routeur doit être configuré. Cette option n’est pas non plus la meilleure approche, car ADB n’est pas le seul logiciel dépendant de ce port pour communiquer avec son environnement. La meilleure solution pour les utilisateurs serait de ne pas utiliser leurs appareils tant que les sociétés n’auront pas publié une mise à jour qui corrigera le problème.

Summary
ARES: UN NOUVEAU BOTNET CIBLANT LES BOÎTES DE STREAMING ANDROID
Article Name
ARES: UN NOUVEAU BOTNET CIBLANT LES BOÎTES DE STREAMING ANDROID
Description
Selon des rapports récents, il semblerait qu'une partie du logiciel principal d'Android soit à nouveau ciblée par de mauvais acteurs. Cette fois, le logiciel en question s'appelle ADB (Android Debug Bridge).
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading