信頼できないソースからのAndroidデバイスのクリア/保護

EBayの売り手から2台の安いAndroid電話を購入した事件を覚えています。

2台の電話は、私が知る限り工場で梱包され、中国の工場から直接取り出され、直接私に出荷されました。私はそれがまったくそうではなかったことを知りました。

購入してから約12〜14日後、Webブラウザが広告ページを頻繁に開くことに気づきました。最初は、ルージュのアドオンか何かの場合だと思っていましたが、そうではありませんでした。ランダムなアプリが警告や同意なしに電話にインストールされるようになりました。

実際のところ、YouTubeアプリは、バックグラウンドで実行される別のルージュアプリをサイレントに更新および維持するクローンに置き換えられました。このルージュアプリ（「本物の」レノボファクトリーベイクドアプリのようです）の中には、工場出荷時設定へのリセットが行われてから12〜14日後に実行されるロジックボムがありました。

ここにはユーザーレベルまたはカーネルレベルのルートキットは含まれていませんでした。最近のAndroidバージョンは、データブロックのハッシュを使用してファイルシステムレベルでデバイスを検証します。以前のバージョンのAndroidソースページでこれを参照していましたが、見つかりません。興味のある方のために、以下のリンクを追加しました。

https://source.Android.com/security/

私の場合、フラッシュに代わるROMを見つけましたが、それでもルージュなアプリが含まれていました。結局、私は新しいROMを使用し、ADBと他のいくつかのツール（ADB insecureとKingoRoot）を使用してルージュアプリを手動で削除しました。

これから学んだ教訓は次のとおりです。

• 物理的な信頼性は仮想的な信頼性に変換されません
• Androidの「ROM」の変更は比較的簡単です。
• MediaTekチップセット電話はこのプロセスをさらに簡単にします
• IMEIはMediaTekチップセットで非常に簡単に変更できます
• ADB（Googleの開発者ツールから）は、ROMベースのマルウェアを効果的に削除する唯一の方法です
• 安全でないADBは、デバイスのrootユーザーへのPCアクセスを許可します
• 恒久的な修正を行うには、ルージュアプリのインストールソースも削除する必要があります。
• Googleのアプリ検証は、工場出荷時にインストールされたアプリをスキャンしていないようです。
• 手作業でルージュアプリを削除するのは長いプロセスです。