安卓 ROM 如何检查安全性

32 天前
 RichardY
我的设备没有被 PE 官方支持,只有第三方开发者在做 ROM ,但我不信任开发者,所以在想办法自行编译。

要从头开始编译的话,我的手机厂商提供了 kernel ,可是很困惑其他的文件从哪里来,包括 Device Tree 和 proprietary (Vendor)。

想问:
1. Device Tree 和 Vendor 能否自己从设备提取/自动生成?

2. 如果不能提取或者生成,有没有办法检查第三方开发者提供的 Device Tree 和 Vendor 文件确保没有后门?

3. 如果可以提取或者生成,是否可以直接使用?会不会出现编译后的 rom 刷入手机导致手机变砖?
867 次点击
所在节点    问与答
8 条回复
YGHMXFAL
32 天前
你不逐字逐句检查源代码,整这些都是自我安慰...

检查源代码,那个工作量先不说,可能没几个人有那水平揪出后门来

你还是放宽心吧,就和翻墙一样,怕别用,用别怕
0o0O0o0O0o
32 天前
我的理解,有不对的地方欢迎楼下指正:

1. proprietary blobs 可能提取自厂商固件,也可能是在别的一些相似设备上拿来的。简单点的办法就是看源码吧,追溯到第一次添加进来的地方看看相关的代码注释和讨论,或者直接问当初添加的人
2. 理论存在,但为了不发散问题,你可以认为是没有办法
3. 视情况而定,一般是不行

我的建议是如果你不是想玩、开发、贡献,而只是一个有信任恐慌的普通用户,那就换一款设备,省心省力效果好。
darkengine
31 天前
只要不瞎折腾 boot, kernel, recovery 这三个东西不会变砖,最多只是进不了 Android 。

安卓 ROM 不是那么容易搞的,个人(除非大神)做的话最多在别人的 ROM 上加点定制化的东西。
kernelpanic
31 天前
没法确保, 有些代码加一个空格就成了后门...
RichardY
31 天前
@0o0O0o0O0o 针对第二个问题,我能否只导出 vendor 呢?因为我现在 Device Tree 和 Vendor 都有别人做好的,Device Tree 主要是一些源码,也公开在了 Github 上,Vendor 里面会有一些 so 文件没法直接看到源码,如果我能够自己导出一份 Vendor ,安全性也会有提升。
levelworm
30 天前
@darkengine 我查了下安卓 ROM 原来会包括整个操作系统。我还以为就是个 bootloader 。还是我搞错了?我对 ROM 的记忆还停留在 8086 那个带 BASICA 的年代。。。
darkengine
30 天前
@levelworm 在安卓的语境下 ROM 就是整个系统了,8086 的 ROM 指的是 BIOS ?
levelworm
30 天前
@darkengine 好像是。看来做安卓的 ROM 开发真不简单。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1043878

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX