Estaba revisando qué programas se están conectando a Internet en mi Android Nexus 5, y vi que Root ya se había desconectado de la conexión a SoftLayer Technologies, inc (IP 108.168.176.245 Puerto 5222 de manera insegura sobre http - estado: TCP_Close_Wait).
¿Por qué se conecta Root a SoftLayer? ¿Es esto normal?
Para cualquiera que vea actividad sospechosa en internet en su teléfono, así es como lo descubrí:
Monitorizo mi teléfono en ocasiones aleatorias (varias veces al día) utilizando esta increíble aplicación llamada: SockStat (sin conflicto de intereses).
Cuando encontré esta IP ayer 108.168.176.245, bloqueé todo en AFWall+ (firewall de código abierto para Android), de esta manera, cualquier aplicación que intente conectarse de forma remota será registrada (activa el registro si está desactivado).
En mi caso, vi que WhatsApp+ intentaba conectarse a la misma IP que investigaba. Busqué la IP de WhatsApp+ y sí, está en la red de SoftLayer. Esperé un poco, ¡y finalmente capturé lo que hizo que Root se conectara! La misma IP pero esta vez, "(Kernel) - Linux kernel" está intentando conectarse a esa IP.
A partir de aquí, enviaré un correo al desarrollador* y preguntaré cómo obtuvo Root sin solicitar Root desde la aplicación Superusuario.
Aún no he descubierto qué está intentando conectarse a Baidu (180.76.3.151), pero obtienes la idea a partir de la primera IP sospechosa.
Espero que esto ayude.
*WhatsApp+ es un cliente de WhatsApp de terceros. Aunque no estoy seguro de cómo funciona internamente.
PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
0 votos
No, esto no es normal. ¿Cómo y qué pasos utilizaste para obtener acceso de root? Tienes software "MALO" en tu dispositivo. ¿Has intentado deshacer el acceso de root al dispositivo? ¿Sigue solicitando acceso para esa dirección IP?
0 votos
He rooteado mi Nexus 5 utilizando el método "OEM unlock" hace mucho tiempo cuando lo compré por primera vez. No creo que tenga nada que ver con este cambio reciente. Acabo de comprobar y SockStat (aplicación de código abierto) mostró que acaba de enviar un TCP_SYN justo ahora. Cada vez que abro la aplicación parece desaparecer.
0 votos
Acabo de lanzar la aplicación, vi que estableció brevemente una conexión con 180.76.3.151 (capturé de inmediato una captura de pantalla para buscar la IP, y se desconectó y desapareció inmediatamente). Esta segunda IP está en China y pertenece a la empresa Baidu. Tengo AFwall+ que no muestra registros Root, solo registros de la aplicación. ¿Cómo puedo saber qué aplicación está usando Root para establecer una conexión?