Application checks rooted device

应用程序检测已 Root 的设备

Risk: secure

描述

存在表明正在检查 Root 或越狱（Jail-broken）设备的字符串和方法。

未进行越狱或 Root 检测本身并非漏洞，但它的存在能够缓解特定类别的漏洞或威胁带来的影响。

建议

在 Android 上检测 Root 可以使用 RootBeer 库，可以在一定程度上使用 SafetyNet API 来确保设备配置文件是已知并被批准的，或者可以执行手动检查，例如：

• 常见的 Root 文件（如 /sbin/su 或 /system/app/Superuser.apk）是否存在
• 检查 su 是否存在于 PATH 中
• 在运行的进程中检查是否有 supersu
• 将已安装的应用程序与已知的 root 应用列表（如 eu.chainfire.supersu）进行比对检查
• 检查是否存在可写的系统分区和目录

iOS 可以应用相同的概念来检查是否存在越狱：

• 常见的越狱文件（如 /Applications/Cydia.app）是否存在
• 写入应用沙盒（sandbox）外部位置的文件权限
• 由 Cydia 添加的协议处理程序（Protocol handlers）

链接

• Root detection & evasion
• OWASP Mobile Security Testing Guide - Reverse Engineering

标准

• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY215