Android Rootkit可能导致了近期部分安全公司开始涉及Android平台的安全软件研发,比如全球著名的反病毒软件Norton的母公司Symantec赛门铁克推出了一款基于该平台的安全产品。
Rootkit是内核的后门,如果你了解反病毒技术在Win32上我们可能还记得一些敏感的话题,比如说内核驱动,Hook SSDT等技术来实现安全监控,从目前来看Vista以后的UAC以及Linux的ACL控制几乎限制了这些内核驱动在常规账号下的加载,但是Android123提示大家越狱的Root权限手机可能存在十分大的安全漏洞,目前我们可以通过NDK开发一些安全敏感的软件,比如说键盘记录的Rootkit,比如在/dev/input中可以处理用户的一些输入输出事件,对于Root权限的机器可以随便的通过su获取高权限,执行iptables来阻止用户的接入,当然通过chmod改变一些目录的权限,获取其他用户的uid,危急整个Android设备的安全。
对于Android平台上的Rootkit的检测对于普通用户,在类似Win32的Ring3层上很难读取一些敏感指纹数据来判断,不过是后门存在可以断定,必然存在线程,文件系统上还是需要读写的,一般作为后面还是监听一些端口实现远程的控制。
Android平台的Rootkit是如何被植入的呢? 相对于iPhone App Store而言,Android的Market相对自由,同时用户可以从非Market上安装软件,所以少了人工审核出现一些问题是正常的,不过按照目前移动软件的开发人员来看出现病毒开发者短期内还不会出现。
RSS