Pokec ⇒ Oldboot - prvý bootkit pre Android ("vírus")

[pRo_lama]

Viem, že sa veľa nahovorilo ohľadom vírusov pre Android, ale teraz to už bohužiaľ začína byť vážne.

Objavil sa prvý bootkit. Je to úplne niečo iné než klasický malware ako napr. DroidKungfu. Ten mohol akurát tak získať root práva a robiť ďalšie veci. Ale toto je niečo iné. Rozdiel medzi klasickým malware a bootkit je zhrnutý tu:

However, there’re many differences between DroidKungfu and Oldboot. Firstly, Oldboot’s infection method isn’t simply remounting system partition and changing files like DroidKungfu, but physically operating device’s disk (through flash or dd). Secondly, Oldboot can’t been removed or repaired in the file system level, but DroidKungfu can be. At last, this attack method, which exploits boot partition’s RAM disk feature, can be easily developed to implement more advanced file system level hidden.

Tu je článok s podrobnou analýzou daného bootkitu (čiže existuje) - http://blogs.360.cn/360mobile/2014/01/1 ... n-android/

Nemal som možnosť si to ešte celé prečítať, ale asi to má niečo dočinenia aj s IMEI podľa ten schémy čo tam je. Preto nastáva táto otázka - pred pár týždňami / dňami sa objavila nová metóda root-u cez tzv. Kingo Rooting tool, ktorá root-ne mobil cez internet. Jedná sa o nejakú službu práve z Činy odkiaľ je tento bootkit. A ide o to, že nikto nevie čo ten Kingo Rooting tool robí a aké informácie získava z mobilu. Už som tu raz písal, že na XDA písali ľudia, že netušia aká metóda sa používa a čo všetko získava z mobilu. Písalo sa aj o tom, že môže kopírovať EFS zložku, kde je práve uložené IMEI. Takže možno existuje nejaké prepojenie na to.

Dodám, že článok zverejnil Chainfire na svojom G+ účte, takže určite to nebude nejaká pochybná informácia.

[ramon.dexter]

Proto taky oořád říkám, že je hovadina cpát root do tovární ROMky. Zvlášť kdejakým pochybným toolem, u kterýho člověk pořádně neví, co dělá...

Když root, tak kompletně odemknout a flashnout už rootnutou upravenou ROM. Tam je nebezpečí nepoměrně menší.

[don_alex]

Nějak mi uniká, proč by nemělo smysl cpát root do tovární romky...

@phablet

[ludekbrno]

Já bych to pochopil tak, že pro rootnutí stock ROM je potřeba hrabat se v systému nějakým nástrojem, často pochybného původu kdesi z číny, který v telefonu vleze kdo ví kam. Taky jsem u svého telefonu nebyl z toho čínského programu úplně klidný, zvlášť když mi to tam na nainstalovalo místo Speruser nebo SuperSU jakousi čínskou appku pro přidělování root oprávnění, která navíc stále běžela na pozadí. Horko těžko se mi jí podařilo zbavit a zprovoznit místo ní prověřený SuperSU. U kompletní ROM už rootnuté od důvěryhodného vývojáře není potřeba už takové pochybné programy pro rootnutí používat. Nicméně já jsem zastáncem továrních ROM, takže doufám, že jsem si nějakou štěnici (kromě samotného google ) do telefonu nenasadil.

píšu z mobilu

[don_alex]

Naštěstí jsem ještě nemusel rootovat pochybnou čínskou aplikací, takže jsem tento problém ještě neřešil. Pravda, v takovém případě bych taky nebyl úplně ve své kůži. Ale pokud na zařízení existuje root od prověřeného autora, tak nevidím v rootování továrních rom nic špatného.

@phablet

[pRo_lama]

Prečítal som si ten článok o tom a musím povedať, že je to svinská vec.

Nechce sa mi písať čo všetko to robí, ale v princípe ide o to, že do mobilu sa dostanú určité súbory, tam kde by sa nemali. Malo by sa jednať o infikovaný boot.img, ktorý je naflashovaný do mobilu (to je jeden spôsob, ten druhým som nejako extra nepochopil, ale malo by sa jednať asi o nejakú metódu na diaľku ako ten root čo som spomínal vyššie). Čiže klasické anti-vírusové app ho nedokážu vymazať, lebo všetky súbory sa každým zapnutým mobilu vždy znova "nainštalujú".

Písali tam o tom, že väčšina infikovaných mobilov bola neznámych značiek a písali aj o konkrétnom "stredisko" kde sa to celé robilo. Iba pár z nich bolo od známych výrobcov. Oni mali nejaký Note 2 v ruke.

Ale výsledok je asi taký, že keď flashnete novú stock ROM, tak všetko je preč, lebo sa flashuje aj boot.img. Avšak informácie, ktoré medzi tým získa môžu byť už dávno preč, lebo jednu vec čo robí ten bootkit je to, že sleduje SMS a v nich určité dáta a keď ich nájde, tak si ich pošle na svoj server a danú SMS vymaže.

[ludekbrno]

Já taky ne, když jsem rootoval tovární ROM na LG OO nějakým běžný ověřeným postupem z XDA, tak jsem byl taky v klidu. Jinak já jsem obecně spíš zastáncem tovární ROM, protože na CM9 jsem měl hromadu drobných nedodělků a chyb, přestože to byla final verze. Jediným důvodem, proč jsem CM nechal, bylo to, že stock končil na 2.3.3 a to už byl hodně problém kvůli kompatibilitě aplikací. Jinak bych zůstal na tovární ROM.

píšu z mobilu

[don_alex]

Taky jsem zastáncem spíš tovární rom, ale kvůli KNOX momentálně pomalu měním názor...

Nicméně k tématu - hrozí tedy nějaké riziko, pokud rootuju metodou od některého ověřeného autora (např. Chainfire)?

@phablet

[pRo_lama]

Ak som to správne pochopil, tak ak sa daný bootkit nachádza v boot.img a tento boot.img sa rozšíri medzi ľudí, tak to bude veľmi zaujímavé. Lebo nemáš ako zistiť či sa v danom boot.img (napr. v podstrčenej stock ROM alebo custom ROM) nachádza bootkit alebo nie. Zistíš to asi iba cez app, ktorú tam oni uvádzajú. Nie som na to expert, tak neviem.

[Bohooc]

Moc zaujimave,tych japonsko-činskych rootovacich programov je viac shaume,Eroot .atd

Shaume je docela sikovny nastroj

[don_alex]

Takže ve finále může být custom rom víc nebezpečná než stock.

@phablet

[pRo_lama]

Flashnutie infikovaného boot.img bude nebezpečné.