Discussion:
Demande d'explication sur les ports ouverts sur un smartphone
(trop ancien pour répondre)
TeddyTheBest2004
2024-02-28 08:17:35 UTC
Permalink
Hello tout le monde,

Je dispose d'un smartphone SAMSUNG fonctionnant sous ANDROID. Petite
précision, il n'est pas rooté.
J'ai installé l'application TERMUX (voir à
https://f-droid.org/packages/com.termux/ ) afin de disposer d'un accès
direct au système d'exploitation.


Voici quelques informations qui pourraient vous être utiles et qui m'ont
été fournies par le package screenfetch -l -p :
- OS : Android 11
- Device : SM-A202F (a20e)
- ROM : RP1A.200720.012.A202FXXU3CUJ12
- Kernel : aarch64 Linux 4.4.177-22723052


Voici quelques résultats de certaines commandes :

~ $ uname -a
Linux localhost 4.4.177-22723052 #1 SMPFREE MPT wed Oct 20 09:20:08 +7
20211 aarch64 Android


J'ai installé le package nmap afin de scan localement mon smartphone;
j'ai trouvé des ports ouverts et qui me semblent justifiés. Par contre,
il y a d'autres ports que je ne connais pas. Voici donc les résultats de
la commande nmap :

~ $ nmap 127.0.0.1 -p 1-65535
Starting Nmap 7.94 (https://nmap.org) at 2024-02-26 05:03 CET
Stats: 0:04:55 elapsed; 0 hosts completed (1 up) 1 undergoing
Connect Scan
Connect Scan Timing: About
18.74% done; ETC: 05:25 (0:17:42 remaining)
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0048s latency).
Not shown: 65525 closed tcp ports (conn-refused)
PORT STATE SERVICE
5060/tcp open sip
8118/tcp open privoxy
9050/tcp open torsocks
41963/tcp open unknown
46575/tcp open unknown
47000/tcp open mbus
47100/tcp open jvl-mactalk
47200/tcp open unknown
47300/tcp open unknown
47400/tcp open unknown

Nmap done: 1 IP adress (1 host up) scanned in 1318.30 seconds


Concernant les ports suivants, parfaitement justifiés, ce sont des
applications qui les ouvrent :
PORT SERVICE APPLICATION
5060 sip Linphone version 5.2.3
8118 privoxy Orbot version 16.6.3-RC-1-tor.0.4.7.10
9050 torsocks Orbot version 16.6.3-RC-1-tor.0.4.7.10


Par contre, je ne comprend pas trop l'utilité et le fonctionnement des
autres ports. Auriez-vous des explications et une quelconque aide à
m'apporter afin de sécuriser mon smartphone ?
Merci à vous...
--
Teddy The Best
Gilbert VAISSIERE
2024-02-28 13:08:51 UTC
Permalink
Post by TeddyTheBest2004
Hello tout le monde,
Je dispose d'un smartphone SAMSUNG fonctionnant sous ANDROID. Petite
précision, il n'est pas rooté.
J'ai installé l'application TERMUX (voir à
https://f-droid.org/packages/com.termux/ ) afin de disposer d'un accès
direct au système d'exploitation.
Voici quelques informations qui pourraient vous être utiles et qui m'ont
- OS : Android 11
- Device : SM-A202F (a20e)
- ROM : RP1A.200720.012.A202FXXU3CUJ12
- Kernel : aarch64 Linux 4.4.177-22723052
~ $ uname -a
Linux localhost 4.4.177-22723052 #1 SMPFREE MPT wed Oct 20 09:20:08 +7
20211 aarch64 Android
J'ai installé le package nmap afin de scan localement mon smartphone;
j'ai trouvé des ports ouverts et qui me semblent justifiés. Par contre,
il y a d'autres ports que je ne connais pas. Voici donc les résultats de
~ $ nmap 127.0.0.1 -p 1-65535
Starting Nmap 7.94 (https://nmap.org) at 2024-02-26 05:03 CET
Stats: 0:04:55 elapsed; 0 hosts completed (1 up) 1 undergoing
Connect Scan
Connect Scan Timing: About
18.74% done; ETC: 05:25 (0:17:42 remaining)
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0048s latency).
Not shown: 65525 closed tcp ports (conn-refused)
PORT        STATE        SERVICE
5060/tcp    open        sip
8118/tcp    open        privoxy
9050/tcp    open        torsocks
41963/tcp    open        unknown
46575/tcp    open        unknown
47000/tcp    open        mbus
47100/tcp    open        jvl-mactalk
47200/tcp    open        unknown
47300/tcp    open        unknown
47400/tcp    open        unknown
Nmap done: 1 IP adress (1 host up) scanned in 1318.30 seconds
Concernant les ports suivants, parfaitement justifiés, ce sont des
PORT    SERVICE        APPLICATION
5060    sip        Linphone version 5.2.3
8118    privoxy        Orbot version 16.6.3-RC-1-tor.0.4.7.10
9050    torsocks    Orbot version 16.6.3-RC-1-tor.0.4.7.10
Par contre, je ne comprend pas trop l'utilité et le fonctionnement des
autres ports. Auriez-vous des explications et une quelconque aide à
m'apporter afin de sécuriser mon smartphone ?
Merci à vous...
Bonjour,


Un nmap lancé en local ne va pas permettre de distinguer quels ports
sont ouverts uniquement pour permettre des communications entre des
process tournant sur le système de ceux qui sont accessibles via le réseau.

Pour voir quels sont les ports accessibles de l'extérieur, il vaut mieux
lancer les scans de ports depuis un appareil sur le réseau.
Scanner les ports TCP mais aussi les ports UDP.

Il est possible que les ports 4xxxx soient des ports dynamiques pour des
communications purement locales.

La commande ss -an | grep -E "^tcp|^udp" permettrait de distinguer ceux
qui sont à l'écoute uniquement sur l'adresse de loopback (127.0.0.1 en
IPV4) de ceux à l'écoute sur tout le réseau (0.0.0.0).
Selon le système, remplacer ss -an par netstat -n
Par exemple, extrait d'une machine sous Linux :
tcp LISTEN 0 128
0.0.0.0:22 0.0.0.0:*
tcp LISTEN 0 20
127.0.0.1:25 0.0.0.0:*
tcp LISTEN 0 511
127.0.0.1:4573 0.0.0.0:*

Le port 22/TCP (SSH) est à l'écoute sur tout le réseau
Le port 25/TCP (SMTP) est à l'écoute uniquement en local
le port 4573/tcp (???) est à l'écoute uniquement en local

Pour connaître le process à l'écoute :
***@raspbx:~ $ sudo lsof -i :4573
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
node\x20/ 1840 asterisk 20u IPv4 22797 0t0 TCP localhost:4573
(LISTEN)


Cordiales salutations
Gilbert VAISSIERE
TeddyTheBest2004
2024-02-28 19:51:33 UTC
Permalink
Le 28/02/2024 à 14:08, Gilbert VAISSIERE a écrit :

Salut Gilbert et merci pour ta réponse rapide.
Post by Gilbert VAISSIERE
Pour voir quels sont les ports accessibles de l'extérieur, il vaut mieux
lancer les scans de ports depuis un appareil sur le réseau.
Scanner les ports TCP mais aussi les ports UDP.
Comme tu me l'as conseillé, j'ai lancé la commande nmap depuis un PC de
mon réseau vers le smartphone ; voilà le résultat; je ne trouve pas, en
effet, les mêmes ports d'ouverts :

~ $ nmap 192.168.170.154 -p 1-65535
Starting Nmap 7.80 ( https://nmap.org ) at 2024-02-28 20:15 CET
Nmap scan report for _gateway (192.168.170.154)
Host is up (0.0024s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE
53/tcp open domain
5060/tcp open sip
41534/tcp open unknown

Nmap done: 1 IP address (1 host up) scanned in 1317.99 seconds

Il y a toujours un port dont je n'identifie pas l'utilité ou le
fonctionnement ; le port 41534. Aurais-tu des explications à me donner
sur ce port ? Je t'en remercie si c'est le cas...
Post by Gilbert VAISSIERE
Il est possible que les ports 4xxxx soient des ports dynamiques pour des
communications purement locales.
La commande ss -an | grep -E "^tcp|^udp" permettrait de distinguer ceux
qui sont à l'écoute uniquement sur l'adresse de loopback (127.0.0.1 en
IPV4) de ceux à l'écoute sur tout le réseau (0.0.0.0).
J'ai lancé la commande ss -an en local depuis Termux ; mais il
sembmerait qu'elle nécessite des droits root ou suddoer (droit que je
n'ai pas sur mon smartphone car il n'est pas rooté). Néanmins, je te
poste les résultats de la commande ss (j'ai été contraint d'installer le
package iproute2 afin de disposer de cette commande) :

~ $ ss -an |grep -E "^tcp|^udp"
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
Post by Gilbert VAISSIERE
Selon le système, remplacer ss -an par netstat -n
J'ai lancé du coup la commande netstat ; vu les résultats infructueux de
la commande ss :

~ $ netstat -n
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
Post by Gilbert VAISSIERE
COMMAND    PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
node\x20/ 1840 asterisk   20u  IPv4  22797      0t0  TCP localhost:4573
(LISTEN)
Je ne peux pas lancer cette commande en tant que root ou sudoer car mon
smartphone n'est pas rooté. Néanmoins, je te poste le résultat de la
commande :

~ $ sudo lsof -i :41534
No superuser binary detected.
Are you rooted ?

(je m'attendais à cette réponse mais j'ai tenu à te répondre)

Du coup, aurais-tu d'autres pistes ? Merci à toi.
--
Teddy The Best
Gilbert VAISSIERE
2024-02-28 22:11:01 UTC
Permalink
Post by TeddyTheBest2004
Salut Gilbert et merci pour ta réponse rapide.
Post by Gilbert VAISSIERE
Pour voir quels sont les ports accessibles de l'extérieur, il vaut
mieux lancer les scans de ports depuis un appareil sur le réseau.
Scanner les ports TCP mais aussi les ports UDP.
Comme tu me l'as conseillé, j'ai lancé la commande nmap depuis un PC de
mon réseau vers le smartphone ; voilà le résultat; je ne trouve pas, en
~ $  nmap 192.168.170.154 -p 1-65535
Starting Nmap 7.80 ( https://nmap.org ) at 2024-02-28 20:15 CET
Nmap scan report for _gateway (192.168.170.154)
Host is up (0.0024s latency).
Not shown: 65532 closed ports
PORT      STATE SERVICE
53/tcp    open  domain
5060/tcp  open  sip
41534/tcp open  unknown
Nmap done: 1 IP address (1 host up) scanned in 1317.99 seconds
Il y a toujours un port dont je n'identifie pas l'utilité ou le
fonctionnement ; le port 41534. Aurais-tu des explications à me donner
sur ce port ? Je t'en remercie si c'est le cas...
Probablement un port dynamique
Post by TeddyTheBest2004
Post by Gilbert VAISSIERE
Il est possible que les ports 4xxxx soient des ports dynamiques pour
des communications purement locales.
La commande ss -an | grep -E "^tcp|^udp" permettrait de distinguer
ceux qui sont à l'écoute uniquement sur l'adresse de loopback
(127.0.0.1 en IPV4) de ceux à l'écoute sur tout le réseau (0.0.0.0).
J'ai lancé la commande ss -an en local depuis Termux ; mais il
sembmerait qu'elle nécessite des droits root ou suddoer (droit que je
n'ai pas sur mon smartphone car il n'est pas rooté). Néanmins, je te
poste les résultats de la commande ss (j'ai été contraint d'installer le
~ $  ss -an |grep -E "^tcp|^udp"
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
cannot open netlink socket: Permission denied
Il faudrait pouvoir lancer la commande en root; pas gagné sur Android
sans avoir les privilèges adéquats.
Post by TeddyTheBest2004
Post by Gilbert VAISSIERE
Selon le système, remplacer ss -an par netstat -n
J'ai lancé du coup la commande netstat ; vu les résultats infructueux de
~ $  netstat -n
Active Internet connections (w/o servers)
Proto    Recv-Q    Send-Q    Local Address    Foreign Address    State
Active UNIX domain sockets (w/o servers)
Proto    RefCnt    Flags    Type    State    I-Node    Path
Désolé je me suis trompé, il faut netstat -an | grep -E "^tcp|^udp"
Sans le -a, on a uniquement les connexions actives, aucune ici.

Si tu arrives à le faire fonctionner, tu devrais voir les ports à
l'écoute sur l'adresse de loopback (non accessibles à distance), ceux
sur l'interface wifi et ceux sur l'interface 4G.
Post by TeddyTheBest2004
Post by Gilbert VAISSIERE
COMMAND    PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
node\x20/ 1840 asterisk   20u  IPv4  22797      0t0  TCP
localhost:4573 (LISTEN)
Je ne peux pas lancer cette commande en tant que root ou sudoer car mon
smartphone n'est pas rooté. Néanmoins, je te poste le résultat de la
~ $  sudo lsof -i :41534
No superuser binary detected.
Are you rooted ?
(je m'attendais à cette réponse mais j'ai tenu à te répondre)
Du coup, aurais-tu d'autres pistes ? Merci à toi.
Pas d'autres pistes pour le port 41534.
Éventuellement sniffer depuis un PC et lancer une connexion telnet sur
ce port pour voir s'il y aurait une bannière ou lancer un nmap en
activant les scripts

Pour scanner les ports UDP avec nmap, l'option est -sU
L'option -A active la détection de l'OS, le script scanning, ...

nmap a pas mal d'options; on peut utiliser des scripts qui vont bien
au-delà de la réponse simpliste "port ouvert, bloqué, filtré, ..."
Restreindre aux ports intéressants

Je viens de lancer un scan d'un vieux téléphone Android, sans carte SIM,
juste un accès Wifi, il me bloque très rapidement.

Si tu as un doute concernant le comportement d'une application installée
+/- récemment, tu peux la désactiver/désinstaller et voir si ça change
quelque chose

Après, si tu veux en savoir plus, tu peux utiliser un scanner de
vulnérabilités, mais c'est une autre histoire.


Peut-être quelqu'un sur la liste aurait une meilleure idée ?



Gilbert VAISSIERE
Gilbert VAISSIERE
2024-02-29 15:42:57 UTC
Permalink
Je viens d'essayer sur un vieux téléphone (Samsung) avec adb :

adb shell netstat -an -t -u

Sur cet appareil on voit uniquement le port 52366/TCP en écoute sur
l'adresse de loopback
On voit une conversation UDP en IP V4 entre le téléphone et la BOX pour
le DHCP.
Le reste est des connexions IP V6 actives ou en attente de fermeture sur
des ports dynamiques.

Rien qui soit en écoute autrement que sur l'adresse de loopback.

Malheureusement, l'option -i pour lsof n'est pas reconnue sur cet appareil.



Sur un autre téléphone (HTC encore plus vieux), rien en écoute et des
connexions actives, dont deux, bizarrement, vers une IP, à priori
inexistante sur mon réseau et sur le port 80/UDP.
Sur ce téléphone, la commande lsof -i est acceptée, mais plusieurs
colonnes restent masquées "Permission denied"
En outre, la mise en page n'est pas idéale; certaines colonnes sont
tronquées.
Par exemple, les noms des process en première colonne sont souvent
absents ou tronqués.
Si tu as de la chance, tu pourras trouver le nom du process à l'écoute
sur le port que tu avais indiqué ou le deviner s'il n'est que
partiellement affiché.


Cordiales salutations
Gilbert VAISSIERE
TeddyTheBest2004
2024-02-29 16:28:00 UTC
Permalink
Post by Gilbert VAISSIERE
Post by TeddyTheBest2004
Il y a toujours un port dont je n'identifie pas l'utilité ou le
fonctionnement ; le port 41534. Aurais-tu des explications à me donner
sur ce port ? Je t'en remercie si c'est le cas...
Probablement un port dynamique
Entre temps, j'ai recherché sur le web si je trouvais des info sur le
port 41534. Plusieurs sources d'info, dont wikipedia (
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers )
m'indiquent que ce port est unasigned 'inconnu au niveau applicatif je
suppose).
Post by Gilbert VAISSIERE
Post by TeddyTheBest2004
J'ai lancé la commande ss -an en local depuis Termux ; mais il
sembmerait qu'elle nécessite des droits root ou suddoer (droit que je
n'ai pas sur mon smartphone car il n'est pas rooté).
Il faudrait pouvoir lancer la commande en root; pas gagné sur Android
sans avoir les privilèges adéquats.
Hé non, pas possible sur mon smartphone : il n'est pas rooté
:P
Post by Gilbert VAISSIERE
Post by TeddyTheBest2004
~ $  netstat -n
Active Internet connections (w/o servers)
Proto    Recv-Q    Send-Q    Local Address    Foreign Address    State
:p>> Active UNIX domain sockets (w/o servers)
Post by Gilbert VAISSIERE
Post by TeddyTheBest2004
Proto    RefCnt    Flags    Type    State    I-Node    Path
Désolé je me suis trompé, il faut netstat -an | grep -E "^tcp|^udp"
Sans le -a, on a uniquement les connexions actives, aucune ici.
C'est encore pire que le netstat -n :

~ $ netstat -an | grep -E "^tcp|^udp"
~ $

Ya que dal !
Post by Gilbert VAISSIERE
Si tu arrives à le faire fonctionner, tu devrais voir les ports à
l'écoute sur l'adresse de loopback (non accessibles à distance), ceux
sur l'interface wifi et ceux sur l'interface 4G.
Non, non, pas réussi.
Post by Gilbert VAISSIERE
Éventuellement sniffer depuis un PC et lancer une connexion telnet sur
ce port pour voir s'il y aurait une bannière ou lancer un nmap en
activant les scripts
Wireshark du coup pour le sniff ?
Post by Gilbert VAISSIERE
Pour scanner les ports UDP avec nmap, l'option est -sU
L'option -A active la détection de l'OS, le script scanning, ...
Bah, je teste avec nmap -a -sU depuis un autre PC du réseau :

~ $ sudo nmap 192.168.170.154 -A -sU
[sudo] Mot de passe de thierry :
Starting Nmap 7.80 ( https://nmap.org ) at 2024-02-29 13:52 CET
Nmap scan report for _gateway (192.168.170.154)
Host is up (0.021s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
53/udp open domain dnsmasq 2.51
| dns-nsid:
|_ bind.version: dnsmasq-2.51
|_dns-recursion: Recursion appears to be enabled
5060/udp open sip (SIP end point; Status: 200 Ok)
| fingerprint-strings:
| SIPOptions:
| SIP/2.0 200 Ok
| Via: SIP/2.0/UDP nm;received=192.168.170.238;branch=foo;rport=39766
| From: <sip:***@nm>;tag=root
| <sip:***@nm2>;tag=WfKwr
| Call-ID: 50000
|_ CSeq: 42 OPTIONS
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port5060-UDP:V=7.80%I=7%D=2/29%Time=65E08267%P=x86_64-pc-linux-gnu%r(SI
SF:POptions,B2,"SIP/2\.0\x20200\x20Ok\r\nVia:\x20SIP/2\.0/UDP\x20nm;receiv
SF:ed=192\.168\.170\.238;branch=foo;rport=39766\r\nFrom:\x20<sip:***@nm>;ta
SF:g=root\r\nTo:\x20<sip:***@nm2>;tag=WfKwr\r\nCall-ID:\x2050000\r\nCSeq:\
SF:x2042\x20OPTIONS\r\n\r\n");
MAC Address: 7E:89:56:6E:4E:BA (Unknown)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

TRACEROUTE
HOP RTT ADDRESS
1 20.82 ms _gateway (192.168.170.154)

OS and Service detection performed. Please report any incorrect results
at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1099.31 seconds


A priori, ports 53 et 5060 d'ouverts... avec routage vers le port 36766...
Post by Gilbert VAISSIERE
Après, si tu veux en savoir plus, tu peux utiliser un scanner de
vulnérabilités, mais c'est une autre histoire.
Peut-être quelqu'un sur la liste aurait une meilleure idée ?
Gilbert VAISSIERE
--
Teddy The Best
Jo Engo
2024-02-29 17:53:14 UTC
Permalink
Post by TeddyTheBest2004
Je dispose d'un smartphone SAMSUNG fonctionnant sous ANDROID.
En wifi, uniquement sinon tu ne verras rien :
wireshark (l'ordi sur lequel tu le lance étant bien entendu en wifi aussi)
et aussi bien sûr nmap (mêmes restrictions) sur les port soi-disant
ouverts)
--
Car le jeune homme est beau, mais le vieillard est grand.
-+- Victor Hugo -+-
Loading...