口袋里的木马

我刚从二手店购入三星Galaxy S手机。由于不喜欢原厂ROM，本打算刷入自定义系统，但突然意识到：如果手机已被他人植入恶意ROM，我能否察觉？

动机与手段

攻击动机包括但不限于：

• 发送付费短信牟利
• 在浏览器植入密码收集器窃取凭证
• 创建可随时访问的后门
• 构建僵尸网络客户端
• 自动购买应用市场程序

实施方式：

1. 在出售前对自有手机植入木马
2. 利用7天无理由退货政策：购买→植入→退货→循环操作
3. 批量收购二手手机，植入后低价转卖（差价通过非法收益弥补）

检测与防御困境

• 付费短信攻击：理论上可通过话单检测，但多数用户不查看详细账单
• 网络流量监控：3G通信难以抓包分析
• 自定义刷机：虽可清除木马但会使保修失效
• 安全软件失效：内核级木马可绕过所有高层防护

更隐蔽的攻击场景

攻击者甚至可通过"合法"方式实施攻击：

1. 制作含恶意功能的ROM（例如夜间发送付费短信）
2. 在下载页面添加用户协议条款（约定短信费用）
3. 利用用户不阅读协议的心理实施"合法攻击"

虽然法律上存在争议，但此类灰色操作在实践中持续发生

反思

你的手机是否正在执行未知指令？二手设备是否已成为攻击者的跳板？

附：有人想收购我的旧G1手机吗？

本文基于对Android系统底层安全机制的实践分析，揭示了移动设备供应链中的潜在威胁链