Millionen Android-Smartphones mit Rootkit ab Werk

Ein Android-Updater der eher unbekannten Firma Ragentek ist nicht nur extrem unsicher, er verhält sich auch wie ein Rootkit. Das Programm steckt in etlichen Smartphone-Modellen chinesischer Hersteller, welche auch auf dem hiesigen Markt vertreten sind.

Über 2,8 Millionen Geräte kontaktierten die falschen Update-Server. Die Forscher versuchten, die Gerätemodelle zu identifizieren und Herstellern zuzuordnen.
Bild: AnubisNetworks In zahlreichen Android-Smartphone chinesischer Hersteller steckt eine Backdoor, durch die der Hersteller – oder ein Angreifer – beliebige Befehle mit Root-Rechten ausführen kann. Für das Security-Debakel ist offenbar ein Update-Prozess verantwortlich, der gewährleisten soll, dass die Geräte-Software auf dem aktuellen Stand ist. Sie stammt von Ragentek und kommt nicht nur auf Android-Geräten dieses Herstellers zum Einsatz sondern auch bei BLU, Infinix Mobility, Beeline, Doogee, IKO Mobile, Leagoo und XOLO.

2,8 Millionen Geräte kontaktieren falschen Update-Server

Der Update-Prozess funkt unter anderem die Telefonnummern des Nutzers im Klartext durchs Netz.
Bild: AnubisNetworks Bei der Umsetzung des Over-the-Air-Updaters (OTA) hat Ragentek laut einer Analyse der Sicherheitsfirma AnubisNetworks gleich auf mehreren Ebenen gepatzt. Es beginnt damit, dass der Prozess unverschlüsselt mit dem Update-Server kommuniziert und deshalb unter anderem die IMEI und die Telefonnummern des Nutzers unverschlüsselt durchs Netz schickt. Der Updater versucht Server über drei Domains zu kontaktieren – allerdings war nur eine der Domains zu Beginn der Analyse tatsächlich registriert. AnubisNetworks registrierte kurzerhand die beiden anderen und es kam, wie es kommen musste: Es meldeten sich über 2,8 Millionen Android-Geräte bei den Servern der Sicherheitsfirma. Die Forscher von AnubisNetworks zählten ungefähr 55 verschiedene Modelle.

Code-Ausführung als Root

So weit, so schlecht. Doch es kommt noch schlimmer: Bei der Analyse des Verbindungsprotokolls stießen die Forscher auf einen Befehl, mit dem der Server das Android-Geräte anweisen kann, beliebige Befehle auszuführen. Da der OTA-Prozess mit Root-Rechten läuft, werden auch die Befehle in diesem Kontext ausgeführt. Da die Verbindung des Updaters nicht abgesichert ist, kann sich ein Angreifer in der Position des Man-in-the-Middle als Update-Server ausgeben und den betroffenen Geräten beliebige Befehle erteilen. Die Forscher hätten es sogar noch einfacher gehabt, da die Geräte von sich aus mit den nachträglich registrierten Domains Kontakt aufgenommen haben. Hätten es die Forscher darauf angelegt, hätten sie die 2,8 Millionen Geräte, die sich gemeldet haben, wahrscheinlich mühelos unter ihre Kontrolle bringen können.

Rootkit-Verhalten

Die Forscher stießen in einer Firmware auf eine manipulierte Version des Unix-Tools top, welche die Ausführung der anfälligen Update-Prozesse verschweigt.
Bild: AnubisNetworks Ein interessanter Nebenaspekt ist, dass die betroffenen Geräte zumindest teilweise mit einer modifizierten Version des Unix-Tools top ausgestattet sind. top zeigt die Liste der derzeit laufenden Prozesse an. Die modifizierte Version macht das auch, verschweigt dabei allerdings, dass die Komponenten /system/bin/debugsrun und /system/bin/debugs ausgeführt werden. Sie gehören zu dem unsicheren OTA-Updater. Die Forscher stießen zudem auf eine entsprechend manipulierte Version von ps. Solche Tricks kennt man sonst hauptsächlich von Rootkits.

Smartphones betroffener Hersteller kann man auch hierzulande bestellen. Laut einem Advisory des US-CERT sollen mindestens die folgenden Geräte betroffen sein:

• BLU Studio G
• BLU Studio G Plus
• BLU Studio 6.0 HD
• BLU Studio X
• BLU Studio X Plus
• BLU Studio C HD
• Infinix Hot X507
• Infinix Hot 2 X510
• Infinix Zero X506
• Infinix Zero 2 X509
• DOOGEE Voyager 2 DG310
• LEAGOO Lead 5
• LEAGOO Lead 6
• LEAGOO Lead 3i
• LEAGOO Lead 2S
• LEAGOO Alfa 6
• IKU Colorful K45i
• Beeline Pro 2
• XOLO Cube 5.0

Einige der Hersteller wie BLU, Infinix, DOOGEE, LEAGOO sind durchaus auch in hiesigen Online-Shops wie Amazon.de vertreten. Laut US-CERT soll zumindest BLU inzwischen Updates verteilen, welche das Sicherheitsproblem beseitigen. Wie genau, ist derzeit nicht bekannt.

Erst Ende vergangener Woche hatten Forscher der Sicherheitsfirma Kryptowire eine Spionage-Software von Adups Technology auf Geräten chinesischer Hersteller entdeckt; darunter ZTE und auch BLU. Das gefundene Programm soll ebenfalls Befehle aus dem Netz ausführen und zudem gezielt SMS-Nachrichten abfangen können. (rei)