ZTEs Score M-Smartphones haben eine offene Hintertür

Originalartikel von Weichao Sun, Mobile Threats Analyst

Der chinesische Hersteller ZTE hat das Vorhandensein einer Sicherheitslücke in seinem Android-Smartphone Score M bestätigt. Angreifer könnten über diese Lücke Root-Privilegien erlangen und die vollständige Kontrolle über das betroffene Gerät übernehmen.

Die Sicherheitsforscher von Trend Micro haben diese Hintertür analysiert und festgestellt, es handelt sich um eine ELF (Executable and Linkable Format)-Datei unter /system/bin/ namens “sync_agent” mit setuid-Berechtigung. Damit kann sie sich selbst als Root konfigurieren.

Wird die Datei ausgeführt, so prüft sie das mitgelieferte Kennwort gegen das im eigenen Code angegebene Kennwort “ztex1609523” und, falls es übereinstimmt, setzt sie einen System Call [setuid) mit 0 als Parameter ab. Auch wenn der Nutzer, der die Hintertür anstößt, keine Root-Berechtigung hat, kann der Systemaufruf trotzdem erfolgreich sein, sa die Hintertür ein setuid-Attribut hat. Damit wird die EUID (Effective UID) der Hintertür auf 0 gesetzt, ebenfalls ein Root-Privileg.

Dann launch die Hintertür das Programm /system/bin/sh, um eine Root-Shell zu erhalten.

Mit strace konnten die Sicherheitsexperten alle Systemaufrufe im Backdoor-Prozess nachvollziehen. Die Hintertür war in der Lage, sich als Root zu setzten und /system/bin/sh auszuführen.

Während dieser Systemaufrufe bekam der Nutzer nie einen Hinweis darauf zu sehen, dass der Schädling Root-Privilegien erlangt hat oder dass Befehle ausgeführt wurden.

Die Analyse zeigte auch, dass diese Root-Shell nur lokal verwendet werden kann, denn die Hintertür öffnete keinen Socket oder entfernten Kommunikationstunnel. Dennoch glauben die Experten, dass sie von weiteren bösartigen Anwendungen genutzt werden kann, um auch eine entfernte Root-Shell damit zu kombinieren. Eine solche App muss der Hintertür lediglich ein Bash-Skript liefern, das dann ausgeführt wird. Ein solches Skript könnte folgendermaßen aussehen:

Dieses Beispiel tut nichts al seine Zeile mit mehreren Ls und seine ID auszugeben sowie die Root-Berechtigungen anzukündigen. Nun ließen die Forscher die Hintertür mit diesem Skript als Parameter laufen:

Man sieht, das Skript war erfolgreich. Mit strace lässt sich der System Call ausgeben:

Die an die Funktion execve gesendeten Argumente wechselten zu besagtem Skript.

Daraus lässt sich schließen, dass ein Schädling die Hintertür in Verbindung mit einer entfernten Hintertür oder einem Bot sehr einfach ausnützen kann. Die vorinstallierte Hintertür benötigt lediglichen einen SMS-Befehl oder die Verbindung zu einem entfernten C&C-Server, um Befehle zu empfangen.

 

Besitzer eines ZTE Score M können diese Hintertür in fünf Schritten beseitigen:

  • Führen Sie die Hintertür in einer adb shell: /system/bin/sync_agent ztex1609523 aus.
  • Um zu prüfen, welches Gerät Ihr /system dir gemountet hat, führen Sie den Befehl „mount“ aus. Sie erhalten eine Ausgabe, ähnlich der in der Abbildung:


  • Montieren Sie die System-Partition erneut als RW mit dem Befehl: mount –o remount,rw /your/device/name /system.
  • Entfernen Sie die Hintertür vom System mit dem Befehl: rm /system/bin/sync_agent.
  • Verlassen sie die Hintertür mit ctrl+C.

Es empfiehlt sich, eine vertrauenswürdige mobile Sicherheitslösung einzusetzen, wie etwa Mobile Security Personal Edition. Weitere Anleitungen für die mobile Sicherheit liefern die E-Guides:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*