Exploiting Android through ADB

CloserAndroid

Hello everybody!!

Today I bring you a very interesting topic.

Anyone who has developed a bit in Android, will know that there is a tool called Android Debug Bridge (ADB) which is very useful when we are developing on Android. This tool is installed on PC and serves as a bridge or connection between our Android and the PC, making us have a command window to work directly on our smartphone.

To connect our Android to the PC we can do it in two ways; by USB or by (and here comes the interesting thing) TCP. I will show you a very interesting tool in which you can exploit various functionalities.

To start configuring our Android, we will have to follow a series of steps (which may vary slightly from one smartphone to another). Therefore, we will have to go to Settings -> About the phone and once there, look for where it says “Compilation number” and press 7 times in a row. Done this you will see something similar to the following image.

Activando opciones de desarrollo.

You are now a developer! 😉

Now, we will only have to go Settings -> Developer options and search the option “USB Debugging“; We must activate this option. In case we have given an emergent message confirming, we confirm.

Activando depuración USB.

Ready, we will have our Android ready to play.

We go to the PC, because we will have to install the ADB tool.

For this step, we can go to the official Android page and we should download the SDK Platform-Tools for our OS. Since the ADB is integrated into the Platform-Tools (along with other utilities) we will have to download the package. In the rest of Linux, I do not know if ADB (or Platform-Tools) is uploaded in the Linux repository, but if you are in Kali, just do:

 # apt-get install adb

You can install the tool easily and quickly.

Perfect, we have the PC and our Android ready; let’s connect them with USB.

Now we just have to ask ADB which devices are connected.

Dispositivos conectados.

As you can see, it has recognized our Android connected, but it has no authorization to do anything. At that moment, a confirmation will appear to allow access to our Android.

Dispositivos conectados.

After accepting, checking the option to always allow your PC (the message will not appear again every time we want to do something), if we ask ADB again for the connected devices, our Android will appear again, but now it will appear asdevice” instead of “unauthorized“.

Next, we will enable the option to debug via TCP.

Habilitar depuración TCP.

Once TCP debugging is enabled on port 5555 (by default), we can remove the USB cable.

To be able to connect with our Android, now, it is necessary that our Android has an internet connection, in my case, having it connected to WiFi, the associated IP is 192.168.1.37. (At this time there would also appear a request for permissions on the Android, if we remembered it, it will not appear).

Now we are going to use a Zucccs tool called PhoneSploit that will allow us to have an abstraction layer with our Android, where we can make interesting actions.

PhoneSploit.

To connect to our Android, just use the options it shows.

PhoneSploit connection.

Once connected, we can use a lot of options to our diposition, for example launch the shell to interact with our Android.

PhoneSploit shell.

Also with the Shell, you could access the files of the SD, photos and videos from the camera, and even WhatsApp, in short in many sites. It is true that we have not root privileges, it would be more difficult to access restricted sites, but there are many things that can be done without being root.

In addition with PhoneSploit, for example, a screenshot will be made!

PhoneSploit captura.
Captura.

As you can see, there are more options; like record the screen, install applications and so on. For example, with applications an attacker could install a malicious app, banking type for example.

We could keep choosing options, but I’ll let you try it!

Now that you know the things that can be done, you can think, can an attacker make a capture of my mobile and I do not realize? Can an attacker do all that with my Android?

Well it is a sensitive issue, the truth is that yes and no. Everything mainly falls on whether you have granted permission to the PC, otherwise, you could not. But of course, have you ever thought about when you bought a second-hand mobile (if you have done so) if it already comes with developer options enabled and even with USB debugging? 😉

Without thinking that, there are products (mostly Chinese) type SmartBox TV that comes with debugging by TCP enabled by default. Yes, the SmartBox too.

In fact, if we look at Shodan and search for “Android Debug Bridge

Shodan ADB.

Almost 13000 Android devices that Shodan have found with debugging by TCP enabled, and you just have to take a quick look to see that there are all kinds, I would even dare that there are even Smart TVs!

You can say, ok, but you have to accept the request for permission to pair the PC with the Android, yes, but of almost 13000 devices, would they all deny access? Who has not accepted a message without reading it? By statistics there will be enough! Not to say that an attacker could “bomb” requests and not stop until it is accepted.

Will any of these Android devices, your device?

I hope I have explained myself clearly and that you liked it. If you want me to continue commenting on ADB & Android, you just have to tell me and I will continue to do more of this kind a little more complex / interesting at the technical level. I know that this post has not been very technical but you have to vary too.

PS: I also remind you that the Allhacked including its posts (including this one), are also available in Spanish.

See you in the next post! 😉

Happy Hacking!

284 thoughts on “Exploiting Android through ADB

  94. 539開獎
    《539彩券:台灣的小確幸》

    哎呀,說到台灣的彩券遊戲,你怎麼可能不知道539彩券呢?每次”539開獎”,都有那麼多人緊張地盯著螢幕,心想:「這次會不會輪到我?」。

    ### 539彩券,那是什麼來頭?

    嘿,539彩券可不是昨天才有的新鮮事,它在台灣已經陪伴了我們好多年了。簡單的玩法,小小的投注,卻有著不小的期待,難怪它這麼受歡迎。

    ### 539開獎,是場視覺盛宴!

    每次”539開獎”,都像是一場小型的節目。專業的主持人、明亮的燈光,還有那台專業的抽獎機器,每次都帶給我們不小的刺激。

    ### 跟我一起玩539?

    想玩539?超簡單!走到街上,找個彩券行,選五個你喜歡的號碼,買下來就對了。當然,現在科技這麼發達,坐在家裡也能買,多方便!

    ### 539開獎,那刺激的感覺!

    每次”539開獎”,真的是讓人既期待又緊張。想像一下,如果這次中了,是不是可以去吃那家一直想去但又覺得太貴的餐廳?

    ### 最後說兩句

    539彩券,真的是個小確幸。但嘿,玩彩券也要有度,別太沉迷哦!希望每次”539開獎”,都能帶給你一點點的驚喜和快樂。

    Reply

  180. Exceptional post however I was wanting to know if you could write a litte more on this topic?
    I’d be very thankful if you could elaborate a little bit more.

    Cheers!

    Reply

  188. ‚ эпоху цифровых технологий скорость и удобство становЯтсЯ решающими факторами длЯ любителей ставок на спорт. Џриложение Pin-up длЯ Android представлЯет собой революцию в мире мобильных ставок, предоставлЯЯ пользователЯм не только бесшовный доступ к широкому спектру событий, но и обеспечиваЯ их все необходимыми инструментами длЯ быстрого и легкого размещениЯ ставок в любое времЯ и в любом месте. ‘ его помощью вы можете следить за изменениЯми коэффициентов в режиме реального времени, управлЯть вашими ставками на ходу и наслаждатьсЯ бесперебойной интеграцией с вашими устройствами Android. Ќе терЯйте времЯ и переходите в новую эру ставок Р Pin-up ставки на спорт скачать приложение уже сегоднЯ и испытайте удобство и скорость на собственном опыте. https://spinmedia.ru/kak-igrat-na-pin-up-android/

    Reply

  191. Абузоустойчивый VPS
    Виртуальные серверы VPS/VDS: Путь к Успешному Бизнесу

    В мире современных технологий и онлайн-бизнеса важно иметь надежную инфраструктуру для развития проектов и обеспечения безопасности данных. В этой статье мы рассмотрим, почему виртуальные серверы VPS/VDS, предлагаемые по стартовой цене всего 13 рублей, являются ключом к успеху в современном бизнесе

    Reply

  214. https://medium.com/@LawrenceRa94448/сервер-xr-4fcfd3551e72
    VPS SERVER
    Высокоскоростной доступ в Интернет: до 1000 Мбит/с
    Скорость подключения к Интернету — еще один важный фактор для успеха вашего проекта. Наши VPS/VDS-серверы, адаптированные как под Windows, так и под Linux, обеспечивают доступ в Интернет со скоростью до 1000 Мбит/с, что гарантирует быструю загрузку веб-страниц и высокую производительность онлайн-приложений на обеих операционных системах.

    Reply

  224. Hello dear friend, I would like to offer placement of your link (or links) on different platforms of the internet such as: forums, blogs, comments and much more. . .

    Increase your Visibility Boost Your Seo Rank – Get Organic Traffic From Google. Ranking in Google isn’t hard. All you need is a healthy number of backlinks from referring domains that have authority and trust in Google’s eyes.

    This Backlinks Service Benefits:

    1. Easily get Google rankings

    2. Get a lot of traffic from Google

    3. You can earn from the website in different ways

    4. Increase Domain Authority (DA)

    Quality guaranteed !

    PRICE – 10$

    WhatsApp: +1 (251) 840-379
    Email: promotionyoursites@gmail.com

    Reply

  227. https://medium.com/@AudreyPonc89318/ubuntu-linux-выделенный-сервер-vpsina-158740c1e9ad
    VPS SERVER
    Высокоскоростной доступ в Интернет: до 1000 Мбит/с
    Скорость подключения к Интернету — еще один важный фактор для успеха вашего проекта. Наши VPS/VDS-серверы, адаптированные как под Windows, так и под Linux, обеспечивают доступ в Интернет со скоростью до 1000 Мбит/с, что гарантирует быструю загрузку веб-страниц и высокую производительность онлайн-приложений на обеих операционных системах.

    Reply

  264. Tiêu đề: “B52 Club – Trải nghiệm Game Đánh Bài Trực Tuyến Tuyệt Vời”

    B52 Club là một cổng game phổ biến trong cộng đồng trực tuyến, đưa người chơi vào thế giới hấp dẫn với nhiều yếu tố quan trọng đã giúp trò chơi trở nên nổi tiếng và thu hút đông đảo người tham gia.

    1. Bảo mật và An toàn
    B52 Club đặt sự bảo mật và an toàn lên hàng đầu. Trang web đảm bảo bảo vệ thông tin người dùng, tiền tệ và dữ liệu cá nhân bằng cách sử dụng biện pháp bảo mật mạnh mẽ. Chứng chỉ SSL đảm bảo việc mã hóa thông tin, cùng với việc được cấp phép bởi các tổ chức uy tín, tạo nên một môi trường chơi game đáng tin cậy.

    2. Đa dạng về Trò chơi
    B52 Play nổi tiếng với sự đa dạng trong danh mục trò chơi. Người chơi có thể thưởng thức nhiều trò chơi đánh bài phổ biến như baccarat, blackjack, poker, và nhiều trò chơi đánh bài cá nhân khác. Điều này tạo ra sự đa dạng và hứng thú cho mọi người chơi.

    3. Hỗ trợ Khách hàng Chuyên Nghiệp
    B52 Club tự hào với đội ngũ hỗ trợ khách hàng chuyên nghiệp, tận tâm và hiệu quả. Người chơi có thể liên hệ thông qua các kênh như chat trực tuyến, email, điện thoại, hoặc mạng xã hội. Vấn đề kỹ thuật, tài khoản hay bất kỳ thắc mắc nào đều được giải quyết nhanh chóng.

    4. Phương Thức Thanh Toán An Toàn
    B52 Club cung cấp nhiều phương thức thanh toán để đảm bảo người chơi có thể dễ dàng nạp và rút tiền một cách an toàn và thuận tiện. Quy trình thanh toán được thiết kế để mang lại trải nghiệm đơn giản và hiệu quả cho người chơi.

    5. Chính Sách Thưởng và Ưu Đãi Hấp Dẫn
    Khi đánh giá một cổng game B52, chính sách thưởng và ưu đãi luôn được chú ý. B52 Club không chỉ mang đến những chính sách thưởng hấp dẫn mà còn cam kết đối xử công bằng và minh bạch đối với người chơi. Điều này giúp thu hút và giữ chân người chơi trên thương trường game đánh bài trực tuyến.

    Hướng Dẫn Tải và Cài Đặt
    Để tham gia vào B52 Club, người chơi có thể tải file APK cho hệ điều hành Android hoặc iOS theo hướng dẫn chi tiết trên trang web. Quy trình đơn giản và thuận tiện giúp người chơi nhanh chóng trải nghiệm trò chơi.

    Với những ưu điểm vượt trội như vậy, B52 Club không chỉ là nơi giải trí tuyệt vời mà còn là điểm đến lý tưởng cho những người yêu thích thách thức và may mắn.

    Reply

  271. VPS SERVER
    Высокоскоростной доступ в Интернет: до 1000 Мбит/с
    Скорость подключения к Интернету — еще один важный фактор для успеха вашего проекта. Наши VPS/VDS-серверы, адаптированные как под Windows, так и под Linux, обеспечивают доступ в Интернет со скоростью до 1000 Мбит/с, что гарантирует быструю загрузку веб-страниц и высокую производительность онлайн-приложений на обеих операционных системах.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *