GK
Ведь пользователь же идиот, ему же нельзя доверить безопасность его собственного устройства
Size: a a a
2018 January 29
ME
а смотрел у кого вообще есть android.permission.INSTALL_PACKAGES?
У Settings есть такой пеммишен как
<uses-permission android:name="com.android.certinstaller.INSTALL_AS_USER" />
но я до конца не понял что это такое
<uses-permission android:name="com.android.certinstaller.INSTALL_AS_USER" />
но я до конца не понял что это такое
VD
Всем привет! Может кто подскажет.
Есть прошивка, в ней (скорее всего) на лоу левеле установлен загрузчик вируса, спустя какое-то время. Ловлю установку приложений в PackageManagerService.installPackageAsUser. Параметр, который показывает кто инициировал установку (installerPackageName), приходит с null. Там обычно com.android.vending бывает (Google Play), но в принципе это нормально.
Но вот Binder.getCallingPid() возвращает процесс от приложения Settings, хотя настройки мы брали чистыми с AOSP.
В итоге, непонятно каким образом установка вируса идёт от PID настроек, но еще более непонятно, кто этот вирус скачивает.
Сам вирус кладётся в папочку app/system, там создаётся скрытая папка, откуда и берутся файлы для вируса. Потом папка удаляется.
P.S. тестирую на чистой прошивке, но она идёт с некоторыми модификациями по лоу левелу и хай левелу от китайцев, что собственно и попадает под основное подозрение.
И вот я не пойму, можно ли как-то отловить, кто скачивает вирус с инета, или же кто его ставит с лоу левела.
Спасибо
Есть прошивка, в ней (скорее всего) на лоу левеле установлен загрузчик вируса, спустя какое-то время. Ловлю установку приложений в PackageManagerService.installPackageAsUser. Параметр, который показывает кто инициировал установку (installerPackageName), приходит с null. Там обычно com.android.vending бывает (Google Play), но в принципе это нормально.
Но вот Binder.getCallingPid() возвращает процесс от приложения Settings, хотя настройки мы брали чистыми с AOSP.
В итоге, непонятно каким образом установка вируса идёт от PID настроек, но еще более непонятно, кто этот вирус скачивает.
Сам вирус кладётся в папочку app/system, там создаётся скрытая папка, откуда и берутся файлы для вируса. Потом папка удаляется.
P.S. тестирую на чистой прошивке, но она идёт с некоторыми модификациями по лоу левелу и хай левелу от китайцев, что собственно и попадает под основное подозрение.
И вот я не пойму, можно ли как-то отловить, кто скачивает вирус с инета, или же кто его ставит с лоу левела.
Спасибо
А по хайлевелу там какие изменения?
PackageManager ванильный или правили?
Лежат ли дополнительные priv-app приложения и какие-нибудь дополнительные
PackageManager ванильный или правили?
Лежат ли дополнительные priv-app приложения и какие-нибудь дополнительные
.apk в дереве?ME
А вообще не смотрел у кого есть
ME
А по хайлевелу там какие изменения?
PackageManager ванильный или правили?
Лежат ли дополнительные priv-app приложения и какие-нибудь дополнительные
PackageManager ванильный или правили?
Лежат ли дополнительные priv-app приложения и какие-нибудь дополнительные
.apk в дереве?Ванильный
ME
нет, апкашки потом подгружаются
ME
т.е. в первоначлаьные пару недель никакой активности нет
ME
и месторасположение вируса тоже пустует
GD
У Settings есть такой пеммишен как
<uses-permission android:name="com.android.certinstaller.INSTALL_AS_USER" />
но я до конца не понял что это такое
<uses-permission android:name="com.android.certinstaller.INSTALL_AS_USER" />
но я до конца не понял что это такое
это установка SSL'ных сертификатов
VD
т.е. в первоначлаьные пару недель никакой активности нет
Ну он начинает выгружать когда к интернету коннектится, не раньше ведь?
ME
Ага, понял. Тогда непонятно как PID настроек смог пройти данную строчку
mContext.enforceCallingOrSelfPermission(android.Manifest.permission.INSTALL_PACKAGES, null);
mContext.enforceCallingOrSelfPermission(android.Manifest.permission.INSTALL_PACKAGES, null);
GD
достань с девайса PackageManagerService, проверь насколько он закостылен
если не закостылен, то ищи у кого android.permission.INSTALL_PACKAGES есть
если не закостылен, то ищи у кого android.permission.INSTALL_PACKAGES есть
VD
А, кстати, frameworks/base один в дереве? Не может быть такого, что рядом (vendor/whatever) лежит и прошивка собрана с кусками кастомного /base ?
А то технически это возможно.
А то технически это возможно.
ME
Ну он начинает выгружать когда к интернету коннектится, не раньше ведь?
Я так понимаю что да, но отдебажить это довольно сложно
VD
И нет ли в основном frameworks/base дополнительных зависимостей от
.jar'ок каких-нибудь, либо модулей незнакомых?ME
достань с девайса PackageManagerService, проверь насколько он закостылен
если не закостылен, то ищи у кого android.permission.INSTALL_PACKAGES есть
если не закостылен, то ищи у кого android.permission.INSTALL_PACKAGES есть
используется от AOSP. Надо бы просмотреть приложения име.т данный Permission
ME
И нет ли в основном frameworks/base дополнительных зависимостей от
.jar'ок каких-нибудь, либо модулей незнакомых?В Android.mk?
VD
VD
Кстати, предлагаю ещё чекнуть
Может там что-то левое тянется ещё (да, понял, что AOSP, но если устройство отдельное добавляли).
Хотя, что-то подсказывает, что это может быть какая-то из
device.mk вашего вендора, на котором прошивка собирается.Может там что-то левое тянется ещё (да, понял, что AOSP, но если устройство отдельное добавляли).
Хотя, что-то подсказывает, что это может быть какая-то из
.apk из приоритетных приложений, которые потом грузятся.ME
Там есть зависимости, которые добавили китайцы. И их немало. Но их нельзя выпилить, увы