Uno de los lectores de este blog aficionado al Hacking con Buscadores estaba pensando en hacer dorking para ver qué sacaba de los dispositivos iPhone de Apple. Yo le pasé un par de enlaces de cosas que ya había publicado antes por aquí, como la posibilidad de localizar servidores web en terminales iPhone con Jailbreak, o cómo jugando con e-mule se puede llegar a los backups de iOS para hasta robar el WhatsApp almacenados en los equipos conectados a la red P2P. Tras jugar un poco con esto, decidió mirar también lo que había en Android, y me pasó información de algo similar, pero mucho más peligroso aún (Gracias rootkit!).
El servidor en concreto que se puede localizar por medio de dorks en Google o Shodan se llama PAW Server for Android, y está disponible en Google Play. Como la app la tenemos en nuestro servidor Tacyt, le eché un ojo para ver cuántas descargas tenía y lo que es más importante, qué cosas puede hacer en el sistema.
Figura 2: Información de PAW Server for Android en Tacyt |
Como se puede ver en la imagen superior, la app tiene unas 100.000 descargas, con lo que es bastante popular. En cuanto a los permisos que exige para funcionar, ya me suponía yo que eran muchos, pero como podéis ver es una app de plataforma auténtica ya que pide permisos para hacer prácticamente cualquier cosa.
Figura 3: Permisos de PAW Server en Android (parte I) |
Figura 4: Permisos de PAW Server en Android (parte II) |
El gran problema que tiene este software es que, una vez instalado en tu Android, este genera un servidor web corriendo por el puerto 8080 con una página de login en la que se pueden ver, directamente, cuales son las credenciales por defecto. Eso sí, las puedes cambiar, pero... muchas de las instalaciones están con passwords por defecto.
Sumando las dos cosas, es decir, un servidor web con acceso desde Internet más una cantidad ingente de permisos, el resultado es una aplicación web que permite gestionar las llamadas de teléfono, los mensajes SMS, los correos electrónicos y todo el sistema de ficheros del mismo.
Se puede acceder a las apps que tenga el terminal Android, a las fotografías que haya guardado en la SDCard, a los datos que las apps guarden en cada sitio, etcétera, etcétera. Un auténtico peligro.
Entre las cosas más peligrosas que tiene este software están la capacidad de activar la webcam del mismo y ver en tiempo real qué es lo que está sucediendo en el lugar donde se encuentra este servidor Android o incluso grabar el sonido ambiente.
Una vez que se da a grabar con el micrófono, el sitio web hace un fichero en formato 3gp que deja para descarga y reproducción en local. Luego, además, puede ser borrado directamente del terminal sin dejar pista alguna.
Figura 9: Se puede grabar el sonido ambiente con el micrófono y descargarlo vía web |
A mí me parece muy peligroso que una app con esta cantidad de permisos en el sistema Android y que permite acceso remoto, tenga un usuario y contraseña por defecto, cuando debería ser exigido su cambio durante el proceso de instalación.
Figura 10: E incluso en modo "trolling" enviar texto por el altavoz |
No obstante, si eres un usuario de estas apps, recuerda que siempre hay alguien barriendo Internet para localizar cualquier servicio similar a este, así que ten mucho cuidado y fortifica tu Android. Con un sencillo dork utilizando el truco de la barra para buscar por puertos y la ruta de la página de login, te salen directamente en Google. ¡Ojo, alguno podría ser un Honeypot!
Saludos Malignos!
Afortunadamente, la mayoría de dispositivos móviles no están conectados a Internet con IP públicas, es decir, la mayoría obtienen IP privada y se hace Nat, por lo que es imposible las conexiones entrantes. Este tipo de apps son para usar con tu WiFi.
ResponderEliminarHola :), que pongo donde pide usuario y contraseña?
EliminarSalvo cuando sales de tu WiFi y entra automáticamente 3g, y te has dejado el servicio en segundo plano en vez de cerrarlo (noooo, yo siempre cierro el proceso, claro, claro) y entonces ¡zasca!
ResponderEliminarpodrias agregar una figura donde qede claro q permiso no debe tener por ningun motibo un juego o aplicación android?
ResponderEliminarCuando pide usuario y contraseña, debo agregar el e mi modem? O com0???
Eliminar¿Este tipo "Aveces Pasá", está de coña?
ResponderEliminarPor si Chema no lo ha dejado claro, lo voy a resumir:
¡Que no te lo instales, hombre!
A no ser que quieras destriparlo, pero por las preguntas que haces no me parece que sea tu objetivo.
Ains....
wow , realmente sorprendente.
ResponderEliminarLa app está diseñada así para dejar una puerta trasera.
ResponderEliminarJoder coño la puta madre
ResponderEliminar