Eliminación / Protección de un dispositivo Android desde una fuente no confiable

Recuerdo el caso en que compré dos teléfonos Android más baratos a un vendedor de eBay.

Los dos teléfonos se empacaron en la fábrica por lo que pude ver, se tomaron directamente de la fábrica en China y se me enviaron directamente. Descubrí que ese no era el caso en absoluto.

Aproximadamente entre 12 y 14 días después de la compra, noté que el navegador web abriría una página de anuncios de vez en cuando. Al principio, sin embargo, pensé que era un caso de un complemento rouge o algo así, pero ese no era el caso. Llegó al punto de que las aplicaciones aleatorias se instalarían en el teléfono sin ninguna advertencia o consentimiento.

Lo que de hecho fue el caso fue que la aplicación de YouTube fue reemplazada por un clon que se actualizó en silencio y mantuvo otra aplicación de color rojo que se ejecutó en segundo plano. Había una bomba lógica dentro de esta aplicación de colorete (que parecía ser una aplicación "auténtica" de fábrica de lenovo) que se ejecutaría 12-14 días después de que se realizó un restablecimiento de fábrica.

No hubo ningún rootkit de nivel de usuario o de nivel de kernel involucrado aquí. Parece ser bastante difícil de hacer, o al menos ocultarlos, porque las versiones recientes de Android verifican el dispositivo en el nivel del sistema de archivos con hashing en bloques de datos. Una versión anterior de la página de origen de Android hizo referencia a esto, pero ya no la encuentro. He añadido un enlace a continuación para aquellos interesados.

enlace

En mi caso, encontré una ROM alternativa a flash, pero que aún incluía aplicaciones de colorete. Al final, utilicé la nueva ROM y eliminé manualmente las aplicaciones de colorete con ADB y algunas otras herramientas (ADB inseguro y KingoRoot).

Las lecciones que aprendí de esto incluyen:

• La autenticidad física no se traduce en autenticidad virtual
• Modificar la "ROM" para Android puede ser relativamente fácil de hacer
• Los teléfonos con chipset MediaTek hacen que este proceso sea aún más fácil
• Los IMEI son bastante fáciles de cambiar en los chipsets de MediaTek
• ADB (de las herramientas de desarrollo de Google) es la única forma de eliminar el malware basado en ROM de forma efectiva
• ADB inseguro permite el acceso de PC a un usuario root de un dispositivo
• El origen de instalación de la aplicación Rouge también debe eliminarse para una solución permanente.
• La verificación de la aplicación de Google no parece analizar las aplicaciones instaladas de fábrica.
• Eliminar las aplicaciones de Rouge a mano es un proceso largo.

Si está comprando a un vendedor que no es de confianza, lo mejor que podría intentar es obtener las imágenes / ROM (system.img, recovery.img, bootloader, cualquier otra imagen de firmware) de una fuente que podría ser de confianza Hace mucho tiempo que no miraba AOSP y creo que CyanogenMod no es lo que solía ser ... Eso decirse que poner imágenes de una fuente conocida (si se pueden obtener) sería un comienzo; sin embargo, eso no necesariamente abordaría las puertas traseras de hardware o el firmware que podría existir en el dispositivo que no es compatible con flash. Esto también supone que podría reemplazar el cargador de arranque o las utilidades que usaría para actualizar el dispositivo. jtag podría ser una opción que también podría explorar.

Espero que ayude a algunos.