Android Rootkit相關揭秘

android Rootkit可能導致了近期部分安全公司開始涉及android平台的安全軟件研發，比如全球著名的反病毒軟件Norton的母公司Symantec賽門鐵克推出了一款基於該平台的安全產品。

Rootkit是內核的後門，如果你了解反病毒技術在Win32上我們可能還記得一些敏感的話題，比如說內核驅動，Hook SSDT等技術來實現安全監控，從目前來看Vista以後的UAC以及Linux的ACL控制幾乎限制了這些內核驅動在常規賬號下的加載，但是android123提示大家越獄的Root權限手機可能存在十分大的安全漏洞，目前我們可以通過NDK開發一些安全敏感的軟件，比如說鍵盤記錄的Rootkit，比如在/dev/input中可以處理用戶的一些輸入輸出事件，對於Root權限的機器可以隨便的通過su獲取高權限，執行iptables來阻止用戶的接入，當然通過chmod改變一些目錄的權限，獲取其他用戶的uid，危急整個android設備的安全。

對於android平台上的Rootkit的檢測對於普通用戶，在類似Win32的Ring3層上很難讀取一些敏感指紋數據來判斷，不過是後門存在可以斷定，必然存在線程，文件系統上還是需要讀寫的，一般作為後面還是監聽一些端口實現遠程的控制。

android平台的Rootkit是如何被植入的呢? 相對於iPhone App Store而言，android的Market相對自由，同時用戶可以從非Market上安裝軟件，所以少了人工審核出現一些問題是正常的，不過按照目前移動軟件的開發人員來看出現病毒開發者短期內還不會出現。