CIBERGUERRA

Caso: RAGENTEK – tres millones de puertas traseras para China alrededor del mundo.

Un fabricante chino ha desarrollado software para celulares con predisposición para puertas traseras y ataques de man-in-the-middle… por segunda vez.

Por Tomás Gálvez

open-to-hackers

Imagen tomada de https://androidcommunity.com/security-researcher-finds-backdoor-to-mediatek-processors-open-to-hackers-20160201/

Los teléfonos inteligentes son la norma y la mayoría de usuarios guardan en ellos información personal y profesional. Dependiendo del usuario esta información puede comprender desde videos privados hasta secretos gubernamentales. Poseer acceso y control sobre un teléfono inteligente ajeno provee diferentes grados de poder sobre el dueño del teléfono y sus alrededores. Cuando se  posee acceso y control sobre tres millones de teléfonos se posee una gran cantidad de poder.

La empresa Ragentek, originaria de Shanghai, desarrolló el firmware (i.e., programa de control de dispositivos a bajo nivel) de más de 2.8 millones de smartphones Android de distintas marcas, con tres problemas.

Los teléfonos que usan este firmware se conectan a tres direcciones web para solicitar actualizaciones e instrucciones, un mecanismo conocido como firmware over-the-air (FOTA). La comunicación permite ejecución remota de comandos sin restricciones. El primer problema, parcialmente remediado, era que dos de las direcciones no estaban registradas. Alguien podría haberlas registrado y usado para entregar software malicioso, o simplemente para recolectar información que estos dispositivos envían automáticamente, incluyendo el número telefónico. AnubisNetworks, quien descubrió la vulnerabilidad en el firmware de Ragentek, registró las direcciones para evitar que cayeran en malas manos.

El segundo problema, aún no remediado, es que la comunicación antes mencionada se realiza de forma no segura. Eso significa que la información enviada puede ser interceptada por un atacante, y más peligrosamente que las respuestas enviadas a los aparatos pueden ser falsificadas con malas intenciones. El tercer problema, ya resuelto, es sin embargo el más preocupante: Ragentek intenta ocultar activamente las comunicaciones peligrosas.

distribution-of-observed-devices-by-manufacturer

Imagen tomada de http://blog.anubisnetworks.com/blog/ragentek-android-ota-update-mechanism-vulnerable-to-mitm-attack

Se ha reportado que la mayoría de dispositivos afectados son de marca BLU. El listado también incluye las marcas Infinix, DOOGEE, LEAGOO, IKU, XOLO y Beeline. Hasta el momento sólo BLU ha publicado una actualización que remedie el problema, por lo que si usted tiene un dispositivo BLU asegúrese de tenerlo actualizado. De lo contrario contacte a su fabricante y mientras tanto, evite conectarse con su dispositivo a redes públicas. Tome estas precauciones aun cuando su smartphone no sea de las marcas mencionadas, ya que más del 40% de dispositivos que se han conectado a las direcciones registradas por AnubisNetworks tienen fabricante desconocido.

Este no es un suceso aislado. El caso de AdUps Technology (otra empresa de Shanghai) fue descubierto pocos días antes que el de Ragentek y es más severo  debido a que la información enviada por los celulares sí era recolectada y usada por el desarrollador. AdUps ha indicado que esta característica fue deliberadamente incluida para propósitos mercadológicos, aunque admite que la funcionalidad se incluyó en teléfonos destinados a Estados Unidos “por error”. AdUps también ha mencionado que son una empresa privada, y que el gobierno Chino no tiene nada que ver con ellos.

Oficinas de Ragentek, tomado de http://english.ragentek.com/plus/list.php?tid=14

Levanta fuertes sospechas que los equipos afectados por AdUps fueran mayoritariamente BLU y dirigidos principalmente a Estados Unidos, igual que en el caso de Ragentek. AdUps provee firmware para 700 millones de dispositivos, por lo que no podemos estar seguros de qué celulares presentan riesgo. Huawei niega la presencia de este firmware espía en sus smartphones, aunque Kryptowire, quien reportó el firmware de AdUps, indica lo contrario.

Probablemente sea mejor evitar el uso de smartphones de fabricación china, en especial los de gama baja. Aunque cualquier indicio de espionaje chino apunte a Estados Unidos, la forma en la que Ragentek y AdUps lo hacen permite que la información recolectada sea accesible fácilmente para quien tenga las herramientas y el interés. Y quienes tienen herramientas e interés en nuestra información normalmente tienen también malas intenciones.

Fuentes:

http://arstechnica.com/security/2016/11/powerful-backdoorrootkit-found-preinstalled-on-3-million-android-phones/
https://www.kb.cert.org/vuls/id/624539
http://www.bleepingcomputer.com/news/security/second-chinese-firm-in-a-week-found-hiding-backdoor-in-firmware-of-android-devices/
http://english.ragentek.com/plus/list.php?tid=14
http://blog.anubisnetworks.com/blog/ragentek-android-ota-update-mechanism-vulnerable-to-mitm-attack
http://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/
http://arstechnica.com/security/2016/11/chinese-company-installed-secret-backdoor-on-hundreds-of-thousands-of-phones/

No hay comentarios

Agregar comentario