设备安全掌控在他人手中:Root与越狱的风险解析

本文深入探讨Android Root和iOS越狱的技术原理、安全风险及检测方法。分析了特权提升带来的设备控制权变化,恶意软件如何利用这些权限窃取数据,并介绍了移动验证工具包等检测方案。企业需警惕这类设备对基础设施的威胁。

设备安全掌控在他人手中:Root与越狱的风险解析

Comarch探讨通过Root和越狱绕过Android或iOS系统的问题

虽然制造商不断加强系统限制,但用户始终在寻找绕过这些限制的方法。然而公众并未意识到,对设备进行Root和越狱带来的危害远大于好处。

制造商施加限制是为了保护用户并减少未经授权的系统配置机会。在某些情况下,无限制访问所有属性和隐藏功能允许进行微调、性能增强或为老旧不再支持的设备升级操作系统。

对于Android和iOS用户,有两种看似相似的程序可以提升用户权限,分别称为Root和越狱。尽管不受制造商欢迎,但它们每年都变得更加复杂却依然流行,不仅在黑客中,在普通用户中也是如此。

什么是Root和越狱?

Root是获取对各种Android系统的特权控制或根访问权限的过程。越狱是一种使用户能够绕过Apple设备限制的技术;通常涉及利用系统中的漏洞。它们可能有相似的目的,但具有不同的特点。

Android基于Linux,因此Root可以类似于Linux上的超级用户权限。请记住,基于Unix的操作系统上的超级用户对设备上的资源具有完全访问权限,并且可以执行具有Root权限的命令。总的来说,Root允许用户更改设置、安装或替换系统应用程序、运行需要管理员权限的专用应用程序,以及执行通常用户无法访问的其他操作。

越狱与Root类似,涉及权限提升,允许用户从第三方商店安装应用程序(Android不需要Root即可执行此类操作)或更改iPhone的默认浏览器和邮件客户端。

为什么要Root或越狱?

Root或越狱手机的第一个也是主要原因是根据自己的需求配置设备。获取超级用户访问权限使所有者能够完全控制系统。这种修改对于拥有老旧不再支持的设备的客户尤其有吸引力。

有许多流行的应用程序可以帮助在Android平台上获取超级用户权限,例如:Kingroot、360 Root、Framaroot、Baidu Easy Root、Towelroot、One Click Root或Mgyun。

通过Root,用户可以手动:

  • 将操作系统升级到最新版本
  • 解锁标准用户无法访问的选项
  • 安装第三方应用程序(非来自商店)
  • 访问所有系统资源
  • 自定义低级设备配置(例如,通过超频提高性能)
  • 延长电池寿命
  • 在任务调度程序中自动化某些进程
  • 自定义房间
  • 拦截广告
  • 完全备份设备(例如Titanium backup)
  • 获取新开发的功能
  • 移除预装软件

在非Root系统上,所有应用程序都在隔离环境(沙箱)中运行,这就是设备无法访问未经批准的资源的原因。然而,拥有超级用户访问权限后,应用程序可以在沙箱外运行并完全控制设备,包括私人数据、应用程序数据、加密密钥访问等。因此,不Root或越狱设备的最重要原因是安全。

安全问题:最常见的攻击

在Android中发现的任何类型的权限提升错误都可用于获取Root访问权限。尽管每月都有安全更新,但Android仍存在安全漏洞问题,因为大小供应商都无法保证用户应用了最新补丁。

平均而言,设备发布两年后就会过时;在此期间,它通常不再接收安全补丁或新的操作系统版本。

大多数拥有Root设备的用户没有意识到,修改现有应用程序代码是非常可能的。当进程以提升的权限运行时,它可以访问设备上存储的应用程序代码,例如应用程序jar文件。这样,网络犯罪分子可以将自己的恶意代码注入合法应用程序中。现在攻击者几乎可以做任何事情,从记录活动到更改设备上任何应用程序的交易详情。

任何具有Root访问权限的进程都可以巧妙地绕过权限,以便通过设备上安装的传感器监视用户。作为Root用户运行的间谍软件进程处于控制之中。此外,借助Root访问权限,黑客可以访问所有数据,包括备份、资源、日历以及设备上存储的机密数据(如加密密钥)。所有这些信息都容易受到恶意软件(如特洛伊木马)的攻击,这些恶意软件可以:

  • 从浏览器窃取密码(如Tordow银行木马)
  • 在Google Play中秘密购买应用程序(如Guerrilla和Ztorg木马)
  • 替换浏览器中的URL(如Triada木马)
  • 秘密安装应用程序,包括在系统分区上
  • 修改固件,使得即使设备恢复出厂设置后,木马仍保留在设备上

企业内部基础设施中的Root设备容易受到任何类型的攻击,如数据盗窃或勒索软件。在大多数情况下,恶意软件能够通过利用系统中的盲点自行获得超级用户访问权限。用户对自己的设备进行Root,相当于给恶意软件开发者送上了一份大礼。

检测Root和越狱

从技术角度来看,远程检测Root和越狱仍然非常困难,并且并非万无一失。以下是一些设备已被篡改的明显迹象:

  • 存在Cydia(类似于App Store的第三方应用程序安装程序)
  • 访问某些没有提升权限的应用程序本不应访问的目录(如/bin/bash、/etc/apt)
  • 能够找到通常不可用目录的符号链接,或写入本不可能写入的目录

一个不错但不太方便的自由开源解决方案示例是移动验证工具包(MVT)项目。单一方法可能有所帮助,但在当今世界这是不够的,这就是为什么我们推荐基于软件包、库、进程和权限分析的多轨解决方案。

市场上还有许多专业工具,结合了由AI支持的最佳启发式实践、洗钱检测机制和事件驱动安全。它们处理许多信息来源,从典型的软件包和权限开始,到意图和应用程序行为结束。

结论

根据2021年Check Point网络安全报告,几乎每个接受调查的组织在2020年都经历了至少一次移动恶意软件攻击。这些攻击中总共93%源自设备网络。

此外,46%的组织至少发生了一次员工下载恶意移动应用程序的事件,这些应用程序威胁网络和数据,或向设备上已有的恶意软件提供命令和控制通信。

2020年,在Android和iOS中发现了多个漏洞,其中最严重的漏洞可以在特权进程的上下文中实现远程代码执行(CheckRa1n和ROM,越狱漏洞)。

通过Root或越狱设备,我们放弃了安全。正确的权限分配极其重要。准确检测、跟踪和隔离越狱和Root设备可以确保企业基础设施的安全,并有助于减少攻击。实现此目标的最佳方法是使用由AI驱动的现代事件驱动监控解决方案,因为它们能有效检测多种类型的篡改。

确保安全并探索Comarch在网络安全行业的解决方案:tPro移动应用程序和网络欺诈预防系统。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次