大量Android裝置存在Root Bridge漏洞，亞洲成重災區，臺灣第3嚴重

InfoSec資安研究人員Kevin Beaumont揭露Root Bridge漏洞，不少裝置供應商錯誤使用Android Debug Bridge（ADB），導致數萬Android裝置存在一個5555連接埠，任何人都可以連上這些裝置，無須密碼的使用管理員權限，進行遠端存取控制，安靜無聲的安裝惡意程式也沒問題。

包括美國的油輪以及韓國智慧型手機都受影響，研究人員掃描這些裝置，統計每天有1萬不重複IP，一個月有10萬不重複IP上線，由於浮動IP與轉址的影響，無法確定數量但肯定非常多。

ADB是Android開發人員常會碰到的名詞，這是一個Android SDK中的工具，提供伺服器與客戶端的架構，開發者藉由ADB可以直接控制Android模擬器或是真實的Android裝置，進行上傳、下載或是安裝apk等工作。由於這工具提供了Unix殼層存取權限，因此可以在裝置上執行各種不同的命令。

但有問題的並非ADB功能本身，而是該功能被供應商以錯誤的方式部署，Kevin Beaumont表示，理論上Root在非開發者版本應該被停用，但在不少裝置上明顯存在旁路。供應商仍在製造販售啟用ADB功能的商品，ADB監聽5555連接埠，可以與任何人建立連線，不需要認證就能以管理者權限執行任何命令，當然，那些破解自己裝置取得Root權限的使用者，同樣也受這個安全性漏洞影響。

Kevin Beaumont在網路上掃描有問題的裝置，發現美國的郵輪、香港的數位視訊錄影機以及韓國的智慧型手機都存在Root Bridge漏洞，甚至特定型號的智慧電視也受波及。分析原始收集來的資料，在24小時內有接近1萬個不重複IP，而在30天中則有10萬不重複IP的裝置上線，但由於轉址以及動態IP的影響，很難精確地知道究竟有多少裝置存在漏洞，但是可以肯定數量非常多。而這些裝置許多都已成為奴工，正偷偷的替駭客開採加密貨幣。

相關問題最早由奇虎360在2月時發出警告，主要發生的地區是亞洲，Kevin Beaumont以臺灣IP部署蜜罐（Honeypot），很快的裝置就被感染了經過修改的Mirai惡意蠕蟲，並且與挖礦程式捆綁在一起。這個挖礦架構沒有C2伺服器裝置控制，純粹使用對等網路（Peer-to-peer，P2P）以5555連接埠相互感染，Kevin Beaumont提到，由於這個蠕蟲的程式碼存在一些臭蟲，導致沒能散布的很好，只能在幾種裝置上運作。（圖片出處Piotr Bazydło）

研究人員進一步使用物聯網搜尋引擎Shodan，掃描連網裝置的5555連接埠，但由於許多應用程式都可以監聽5555連接埠，因此他們使用Netflow的資料交叉分析，以及Rapid7 Metasploit模組adb_server_exec的檢查指令，確定中國境內存在極大數量的有問題活躍裝置。

Kevin Beaumont進一步表示，把Root Bridge漏洞單純看做是駭客用來挖礦會簡單許多，但事實上可能沒這麼簡單，因為這個漏洞任何有心人士都能利用，不少裝置存在於企業內部，因而可能演變成非常嚴重的問題。他表示，製造商不應該在連網裝置啟用ADB的網路連線功能，應該盡速向用戶提供軟體更新，企業也應該對內部的裝置進行徹底健檢，確認曝露於漏洞風險的裝置數量。