PAW Server para Android: Cómo meter la pata en Android y quedar abierto de "idems"

Uno de los lectores de este blog aficionado al Hacking con Buscadores estaba pensando en hacer dorking para ver qué sacaba de los dispositivos iPhone de Apple. Yo le pasé un par de enlaces de cosas que ya había publicado antes por aquí, como la posibilidad de localizar servidores web en terminales iPhone con Jailbreak, o cómo jugando con e-mule se puede llegar a los backups de iOS para hasta robar el WhatsApp almacenados en los equipos conectados a la red P2P. Tras jugar un poco con esto, decidió mirar también lo que había en Android, y me pasó información de algo similar, pero mucho más peligroso aún (Gracias rootkit!).

Figura 1: Cómo meter la pata en Android con PAW Server

El servidor en concreto que se puede localizar por medio de dorks en Google o Shodan se llama PAW Server for Android, y está disponible en Google Play. Como la app la tenemos en nuestro servidor Tacyt, le eché un ojo para ver cuántas descargas tenía y lo que es más importante, qué cosas puede hacer en el sistema.

Figura 2: Información de PAW Server for Android en Tacyt

Como se puede ver en la imagen superior, la app tiene unas 100.000 descargas, con lo que es bastante popular. En cuanto a los permisos que exige para funcionar, ya me suponía yo que eran muchos, pero como podéis ver es una app de plataforma auténtica ya que pide permisos para hacer prácticamente cualquier cosa.

Figura 3: Permisos de PAW Server en Android (parte I)

Figura 4: Permisos de PAW Server en Android (parte II)

El gran problema que tiene este software es que, una vez instalado en tu Android, este genera un servidor web corriendo por el puerto 8080 con una página de login en la que se pueden ver, directamente, cuales son las credenciales por defecto. Eso sí, las puedes cambiar, pero... muchas de las instalaciones están con passwords por defecto.

Figura 5: PAW Server corriendo en un Android

Sumando las dos cosas, es decir, un servidor web con acceso desde Internet más una cantidad ingente de permisos, el resultado es una aplicación web que permite gestionar las llamadas de teléfono, los mensajes SMS, los correos electrónicos y todo el sistema de ficheros del mismo.

Figura 6: Se pueden hacer llamadas desde PAW Server

Se puede acceder a las apps que tenga el terminal Android, a las fotografías que haya guardado en la SDCard, a los datos que las apps guarden en cada sitio, etcétera, etcétera. Un auténtico peligro.

Figura 7: Lista de apps instaladas en el terminal

Entre las cosas más peligrosas que tiene este software están la capacidad de activar la webcam del mismo y ver en tiempo real qué es lo que está sucediendo en el lugar donde se encuentra este servidor Android o incluso grabar el sonido ambiente.

Figura 8: Acceso al sistema de ficheros completo con opción de subir y descargar archivos

Una vez que se da a grabar con el micrófono, el sitio web hace un fichero en formato 3gp que deja para descarga y reproducción en local. Luego, además, puede ser borrado directamente del terminal sin dejar pista alguna.

Figura 9: Se puede grabar el sonido ambiente con el micrófono y descargarlo vía web

A mí me parece muy peligroso que una app con esta cantidad de permisos en el sistema Android y que permite acceso remoto, tenga un usuario y contraseña por defecto, cuando debería ser exigido su cambio durante el proceso de instalación. 

Figura 10: E incluso en modo "trolling" enviar texto por el altavoz

No obstante, si eres un usuario de estas apps, recuerda que siempre hay alguien barriendo Internet para localizar cualquier servicio similar a este, así que ten mucho cuidado y fortifica tu Android. Con un sencillo dork utilizando el truco de la barra para buscar por puertos y la ruta de la página de login, te salen directamente en Google. ¡Ojo, alguno podría ser un Honeypot!

Saludos Malignos!