Vedo molti script per hackerare dispositivi Android e ottenere root , livello di accesso critico. Vedo milioni di persone che applicano questo ai loro dispositivi e non capiscono i rischi.
Perché gli sviluppatori Android non risolvono le vulnerabilità che risultano in root di accesso a un telefono?
Il problema di fondo non è tecnico, è incentivo. Qual è l'incentivo per i produttori di telefoni a proteggere il dispositivo da un cliente che fa il root del proprio telefono? Non tanto.
Non sono sicuro di dove stai ottenendo la tua citazione di milioni di persone che fanno il tifo per i dispositivi Android, ma sarei sorpreso se si tratta di milioni. In ogni caso, la stragrande maggioranza delle persone non ha nulla a che vedere con le capacità tecniche di rootare un telefono, anche se si tratta semplicemente di eseguire uno script. Il punto è che l'attuale schema di protezione, nonostante i buchi, è abbastanza buono da impedire alla maggior parte delle persone di fare il tifo per il proprio telefono.
In gran parte il motivo per impedire l'accesso root al telefono è quello di proteggere il telefono dalle app canaglia cambiando le impostazioni chiave, non gli utenti monkeying con il telefono. Lo schema corrente dei produttori di telefonini è "abbastanza buono" e giocare al gatto / topo non li aiuta affatto, poiché l'utente sta già rompendo il contratto di supporto quando fa il root del telefono.
Il rooting di Android è difficile da risolvere a causa della natura di Android. Poiché Android è open source, ogni produttore (Samsung, Motorola, Nokia, ecc.) Prende il sistema operativo Android di base e lo modifica:
Quindi il produttore lo consegna al venditore (Spring, Verizon, T-Mobile, ecc.) e il fornitore apporterà le sue modifiche:
Quando si ottiene il telefono, il sistema operativo Android originale è distorto in qualcosa, quasi completamente diverso da Android. Porta il telefono di un amico da un'altra rete o fornitore. Garantisco che l'app Impostazioni è diversa e ci sono diverse modifiche alla GUI.
Quindi, come influisce sul rooting? Ogni volta che viene aggiunto Android per introdurre nuovi vettori di attacco per le vulnerabilità. Se cerchi "Come eseguire il root di Android", scoprirai che non tutti i telefoni sono supportati da ogni procedura di rooting. E con "supportati" significano "vulnerabili" . Un Samsung Galaxy S3 potrebbe essere rootato con un programma e Motorola Razr è radicato in un altro.
Alcuni exploit di root funzionano su piattaforme diverse, alcuni funzionano su versioni Android (ogni versione di Android rilasciata aggiunge nuovi vettori di attacco). Il team Android probabilmente risolve le vulnerabilità di root (questa è la speculazione). Ma queste modifiche vengono propagate al produttore e / o al venditore? Il produttore aggiunge così tanti driver e codice GUI che, se viene rilevata una vulnerabilità a quel livello, non c'è nulla che il team Android possa fare al riguardo. Ad esempio, spetterebbe a Samsung risolverlo. Quindi dovrebbe inviare la patch a ciascun fornitore. Potrebbe passare un anno prima che gli utenti vedano la patch, e ormai la maggior parte delle persone ha nuovi telefoni con un nuovo software.
Risciacqua e ripeti.
Anche ora sia chiaro, sono sicuro che quando Android estrae una patch di sicurezza, i produttori e i produttori lo prendono sul serio. È probabile che questi cambiamenti arrivino alla loro build finale. Il punto che sto cercando di fare è che non ci sia molta trasparenza tra queste fasi e non so con certezza cosa accada realmente per una versione di patch / versione.
Procedura di rooting universale per Nexus 7 e Motorola Razr HD di XDA Developers. Nota come questa procedura "Universale" si applica solo a due dispositivi?
Ci sono molte ragioni diverse. Come dice Natanael, non c'è solo un exploit da applicare. Se ti riferisci a un exploit specifico, non lo hai detto.
E mantenere aggiornate le patch per un ecosistema così vasto e diversificato è costoso. Google non desidera mantenere versioni precedenti del sistema operativo Android. Eppure, milioni di questi dispositivi con il vecchio sistema operativo sono in uso. Anche se hanno fatto patch, devono affidarsi ai corrieri per emettere le patch.
È un grosso problema.
Per lo sfondo, leggi questo articolo: link
Manufacturers stop issuing updates for some device models too quickly and even when they do issue updates, some carriers don't distribute them in a timely manner.
Per un exploit specifico, questo articolo pone il problema su Google: link
Vedo che ti riferisci al tipo di exploit che consente agli utenti di diventare root sui propri dispositivi, ma la risposta è ancora valida. Una regola generale di sicurezza è che se l'attaccante (in questo caso il proprietario del dispositivo) ha accesso fisico, l'attaccante vince sempre.