- Чем опасны root права на Андроид
- Миф: наличие root-прав не влияет на безопасность
- Безопасное использование смартфона с root-доступом
- Заключение
- 5 причин, почему получать root-права на Android опасно
- Что такое root?
- Никакой оплаты со смартфона, никаких лицензионных фильмов
- Недостатки Root. Почему не стоит получать рут-права на Андроид
- Содержание
- Почему не надо получать рут-права
Чем опасны root права на Андроид
Чем опасны root права на Андроид. Android изначально строился как открытая операционная система с широкими возможностями. Вместе с тем, разработчики позаботились и о безопасности, введя ограничения на функциональность программ. Возможность полностью почувствовать себя хозяином гаджета, тем не менее, осталась: для этого достаточно получить права суперпользователя. Решаются на это далеко не все: всегда существует риск «окирпичить» устройство, да и после получения root-доступа возникает вопрос, а безопасно ли использовать такой смартфон? На этот счёт существуют различные точки зрения, и мы в статье постараемся ответить на этот вопрос.
Миф: наличие root-прав не влияет на безопасность
Современные Android-смартфоны, особенно гаджеты крупных производителей, практически невозможно взломать «изнутри». Каждое пользовательское приложение Android работает в изолированной «песочнице» и не имеет доступа к другим процессам, а любые мало-мальски важные действия пользователь должен подтверждать самостоятельно. Конечно, способы получить root-доступ «изнутри» иногда обнаруживаются, но, судя по редким сообщениям в СМИ, серьёзного влияния на безопасность операционной системы не оказывают. Именно поэтому подавляющее большинство вредоносного ПО рассчитывает не на уязвимости, а на невнимательность пользователя, пытаясь обманом получить права на использование платных услуг, перевод гаджета в режим киоска (из которого никак не выйти и нельзя ничего запустить) или даже статус администратора устройства. Но существуют устройства, которые продаются с уже разблокированным загрузчиком, либо предлагают получить root-доступ парой кликов в настройках гаджета. Такую щедрость предлагают многие китайские производители и с подобными аппаратами стоит быть особенно осторожным.
Если вы решите расширить свои системные полномочия, проблемы могут начаться уже на этапе получения прав суперпользователя. Всё разнообразие методов получения root-доступа можно условно поделить на две категории. Первая — использование ещё не закрытых уязвимостей Android. Такие программы, как KingRoot или Kingo Root во время работы обращаются к серверам, хранящим огромные коллекции эксплоитов, и ищут те, которые подойдут для конкретного устройства. Стоит ли говорить, что работа таких программ нередко приводит к печальным последствиям? Порой случается так, что эксплоит срабатывает неправильно и вместо прав суперпользователя вы получаете «кирпич», который, в лучшем случае, можно оживить полной перепрошивкой.
Кроме того, такие приложения имеют закрытый исходный код, а, значит, у вас нет никакой возможности узнать, что именно они делают с вашим устройством. А делать они могут всё, что угодно, начиная от пересылки данных из внутренней памяти устройства на китайские сервера и заканчивая установкой на гаджет Adware, избавиться от которого можно только специализированными инструментами. Именно так ведёт себя упомянутый выше KingRoot, не только размещающий рекламу на домашнем экране против вашей воли, но и отправляющий информацию об устройстве неизвестно кому.
Реклама на рабочем столе после использования KingRoot
Вторая категория — «полуофициальная», поскольку предполагает использование официальных инструкций от производителя, либо специализированного ПО для разблокировки загрузчика. Как только это сделано, у пользователя появляется возможность установки в систему менеджера root-доступа , перехватывающего соответствующие вызовы от других программ.
Однако и этот метод не лишён недостатков. Chainfire, автор самого популярного на сегодняшний день менеджера root-доступа SuperSU, в конце 2015 года продал свою разработку малоизвестной компании Coding Code Mobile Technology LLC. Эта компания использует американский штат Делавэр в качестве офшора, но её корни уходят в Китай. Исходный код SuperSU был закрыт и раньше, но имя разработчика всё это время выступало некой гарантией отсутствия в программе нежелательного кода. Теперь такой гарантии дать никто не может, и многие небезосновательно опасаются устанавливать на свои гаджеты версии SuperSU 2.80+, вышедшие после сделки.
Но, даже если вы абсолютно уверены в способе получения прав суперпользователя и менеджере root-доступа, нет никакой гарантии, что одна из безобидных на первый взгляд программ не будет эксплуатировать уязвимость, позволяющую получить системные привилегии в обход менеджера. Примеров вредоносного ПО, работающего именно таким образом, предостаточно: Tordow скрытно воровал пароли из браузера, Guerrilla и Ztorg покупали приложения в Google Play без ведома пользователя, а Triada подменял адреса в браузере, реализовав практически идеальный незаметный фишинг.
По данным «Лаборатории Касперского», один из наиболее совершенных троянов — Triada получил root-доступ на 247 устройствах
Ещё один булыжник в огород root-доступа — ограничение функциональности некоторых приложений или их полная неработоспособность после разблокировки загрузчика или получения прав суперпользователя. В первую очередь, это касается финансовых программ, например, Android Pay , Samsung Pay и Сбербанк Онлайн .
Безопасное использование смартфона с root-доступом
Дочитав до этого момента, вы могли подумать, что мы считаем root-доступ в смартфонах однозначным злом. Это, конечно же, не так: права суперпользователя открывают огромное число возможностей любителям сторонних прошивок, экспериментов, да и просто тем, кто хочет получить полный контроль над своим гаджетом. И если вы впервые решили получить root-права, мы не будем вас от этого отговаривать. Но вы должны быть готовы к возможным последствиям, в том числе — отказу работы некоторых программ и повышению уязвимости системы. Звучит тревожно, но, если соблюдать ряд несложных правил, вы едва ли столкнётесь с неприятностями.
Используйте проверенные способы получения root-прав. Не поддавайтесь на увещевания разработчиков китайских универсальных программ о возможности получить права суперпользователя в два клика. Намного лучше будет найти на форуме тему, посвящённую прошивке вашего устройства и выполнить несложную инструкцию.
Используйте надёжные менеджеры root-доступа. При выборе отдайте предпочтение программам, не вызывающим никаких сомнений в их благонадёжности. Это может быть SuperSU версии не старше 2.80 , либо новый проект Magisk с открытым исходным кодом.
Устанавливайте приложения из надёжных источников. Старайтесь устанавливать программы только из Google Play, но при этом помните, что и в официальном магазине Google можно натолкнуться на вредоносное ПО. Если нужной программы нет в Google Play, загружайте её с официального сайта разработчика или нашего САЙТА — так шансы встретить зловред сводятся к нулю.
Используйте антивирус. Если вы пользуетесь ограниченным набором программ и устанавливаете их из одних и тех же источников, антивирус вам, наверное, ни к чему. Но если вы любите устанавливать на свой гаджет десятки разных программ или кликать по рекламе с предложениями «обновить свою батарею», то дополнительная защита в виде проверенного антивируса от крупного разработчика лишней не будет.
Заключение
Root-доступ — чрезвычайно мощный инструмент, который требует ответственности при использовании. Если не проявить должного внимания к каждому этапу, начиная от разблокировки загрузчика и заканчивая использованием прав суперпользователя, вы рискуете столкнуться с различными проблемами, будь то вирусы или вредоносный код в самом менеджере root-доступа. Но, следуя нашим советам, вы минимизируете все риски и сможете без проблем использовать приложения с root-правами по их прямому назначению и сделать гаджет полностью своей собственностью.
Источник
5 причин, почему получать root-права на Android опасно
Что такое root?
Всё довольно просто. В смартфоне не все программы равны. Обычным приложениям, которые вы запускаете ярлыками, разрешается выводить что-то на экран, передавать данные, с разрешения пользователя обращаться к камере, микрофону и телефонной книге. У них есть своя маленькая песочница в памяти, из которой они не имеют права вылезать. Им нельзя шастать по хранилищу, трогать системные файлы, обращаться напрямую к «железу». Эти программы работают с «обычными» правами.
Но в системе Android есть учётная запись под названием root, и вот у неё — неограниченные права. Программа, запущенная от имени этой учётной записи, может вообще всё — в том числе подменять системные файлы, перехватывать данные, обманывать другие приложения. Иногда это нужно для того, чтобы просто тоньше настроить смартфон под себя или запустить программы, которые без root не работают. Но не всем производителям и разработчикам это нравится.
Никакой оплаты со смартфона, никаких лицензионных фильмов
Уже скоро расплачиваться на кассе супермаркета можно будет не только при помощи Айфона или нового Samsung Galaxy. Google пока помалкивает, но сам готовит Android Pay для очень многих моделей с поддержкой NFC. Разумеется, кроме смартфонов, в которых владельцы добыли root-права.
Не то, чтобы эта была какая-то намеренная подлость или месть за блокировку рекламы/удаление бесполезных предустановленных приложений со стороны Google — просто никто не хочет отвечать головой (и, тем более, кошельком по судебным искам) в случаях, когда прошивка смартфона открывается нараспашку любым приложениям по одному нажатию клавиши. И банков-партнёров Google не волнует, сколько раз вы устанавливали Cyanogen/TWRP и насколько правильно конфигурировали SuperSU — они знают, что перехватить данные в процессе оплаты можно настолько же легко, как молодёжь «взламывает на деньги» мобильные игры. По этой причине фирменные банковские приложения отказываются работать на смартфонах с root-доступом или даже просто кастомной прошивкой (никого не волнует, что у вас не было другого выхода, кроме как заменить стандартный Android 4.1 на самосборный 5.0). Выручают перепакованные варианты банк-клиентов, но банки периодически перекрывают доступ таким приложениям, да и всегда есть риск, что внутри «репака» сидит вирус/троян.
Источник
Недостатки Root. Почему не стоит получать рут-права на Андроид
В наших статьях на Трешбоксе вы могли узнать, что такое Root, и в чем заключаются его основные преимущества. Теперь пришло время разобраться с недостатками, которые приносят рут-права на Андроид. Почему не стоит устанавливать root на свой смартфон или планшет — читайте на Трешбоксе.
Содержание
Почему не надо получать рут-права
У root-прав для Android есть много преимуществ, но почти столько же недостатков, которые могут привести к удручающим последствиям. В этой статье мы постарались привести самые значимые недостатки и опасности получения рут-прав на Андроид.
Потеря гарантийного обслуживания
Если вы решили получить root на своем устройстве с Android, то будьте готовы, что ваш гаджет потеряет гарантийное обслуживание от продавца. Почти во всех случаях получение привилегий суперпользователя влечет за собой потерю гарантии, а это означает, что устройство нельзя будет бесплатно отремонтировать в случае поломки или заменить, если выявился брак. Получение приравнивается к вскрытию пломбы, которая находится на корпусе какого-нибудь гаджета или к попаданию воды внутрь аппарата без должной защиты.
Опытные пользователи могут попытаться вернуться на заводскую прошивку смартфона или планшета, но это требует определенных умений. Да и многие производители (Samsung и некоторые другие) научились встраивать так называемый «счетчик» получения рут-прав и проведения других опасных действий. Какие есть выходы из такой ситуации? Можно экспериментировать на каком-нибудь дешевом гаджете из Китая, у которого даже нет гарантии, либо дождаться истечения срока гарантийного обслуживания у вашего основного устройства. Если вы любите риск, то можно получить root на Андроид и надеяться, что все будет в порядке, а в противном случае обращаться в сторонние сервисные центры.
Стоит отметить, что некоторые производители продают смартфоны со встроенным root В основном это китайские компании.
Риск «окирпичивания»
Процесс получения root на Android — не самый легкий в случае с некоторыми устройствами. Если пользователь сделает что-то не по инструкции, то с большой вероятностью он превратит свой гаджет в кирпич, который не включается, либо впал в bootloop (постоянная перезагрузка без входа в систему). «Окирпичивание» также означает потерю всех данных. Не забывайте, что все действия для получения рут-привилегий, вы проделываете на свой страх и риск.
Избежать «окирпичивания» можно банальным изучением темы и способов рутирования вашего аппарата. Точно следуйте инструкции и не отходите от нее ни на шаг. В противном случае ваш смартфон «превратится в тыкву». Нести его в СЦ по гарантии бессмысленно, так как такие случаи не покрываются обслуживанием. Придется решать проблему другими способами или нести аппарат сторонним ремонтникам. Из всего этого выходит еще один недостаток — устанавливать root сложно и затратно по времени.
Если вы уже установили root и теперь только экспериментируете с приложениями и прошивками, то не забывайте делать полные резервные копии операционной системы (NanDroid) с помощью кастомного рекавери. В этом случае аппарат можно вернуть к жизни, даже если Android не загружается.
Проблемы с обновлениями
Полноценные рут-права в 99% случаев означают, что вы больше не сможете получать официальные обновления прошивки. Аккаунт суперпользователя предполагает изменение системных файлов в каталоге /system, а это никак не клеится с установкой официальных
Однако есть случаи, когда апдейт может установиться вместе с root, но по завершению установки аккаунт суперпользователя удаляется. Придется рутировать гаджет заново, но в новой прошивке старый способ может не сработать. В общем, если с установленным root вам пришло обновление, а после этого установилось и нормально работает, то считайте что вам очень повезло.
Чтобы получать обновления, можно установить несистемный рут (systemless root) — разновидность рут-прав, которая не предполагает модификацию системного каталога /system. Вместо этого все необходимые файлы находятся в папке /su.
Безопасность и уязвимости
Получить права суперпользователя на Android означает, что вы открываете целый ряд уязвимостей в операционной системе. И данные «дыры» в безопасности на порядок опаснее того, что используется вирусами для обычного, не рутированного Android. Поэтому если вы будете не аккуратны, то словить очень опасное вредоносное ПО со всеми вытекающими довольно легко. Результатом этого может стать утечка персональной информации вплоть до данных аккаунтов и банковских карт, а также внедрение вирусов в систему.
Но всего этого можно избежать, если пользоваться специальными утилитами и не устанавливать подозрительные программы. Например, программа SuperSU специально создана для того, чтобы раздавать рут-привилегии для других приложений. Если программа запрашивает то SuperSU обязательно уведомит об этом пользователя, а он может отказать или согласиться.
В общем, большие возможности приносят высокую ответственность, поэтому обращайтесь с root аккуратно.
Почему мы удалили Framaroot и другие приложения с Трешбокса
Так как мы затронули тему безопасности, то нужно сразу разъяснить ситуацию с приложениями, которыми можно получить root в один клик. В 2015 году на Трешбоксе была проведена чистка, в рамках которой мы удалили ряд программ для быстрого получения рут-прав на старых и даже некоторых новых версиях Android. Среди них были Framaroot, Baidu Root, CT Hack Root, Root Dashi, DingDong Root и несколько других. Скачать Framaroot для Андроид на Трешбоксе больше нельзя.
Почему? Дело в том, что такие программы используют определенные уязвимости в операционной системе Android, особенно в старых версиях, чтобы получить права суперпользователя. При этом зачастую работают некорректно и даже могут привести к непредвиденным последствиям. В сети есть много фейковых версий этих приложений вроде Framaroot на Андроид, которое не только получает root, но и еще устанавливает несколько опасных троянов.
Еще один довод против всех этих приложений заключается в том, что технология Google Safe Browsing блокирует доступ к Framaroot и другим подобным «рутерам». Самый лучший способ получения рут-прав — это с помощью компьютера или посредством установки хорошей сторонней прошивки. Если есть возможность не прибегать к рутовщикам «в один клик», то избегайте их. Одна из немногих безопасных программ для рутирования «в один клик» — Kingo Root.
Если вы избегаете получения рут на Андроид, то почему? Расскажите об этом в комментариях.
Источник