ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]
译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1400
术语表: /attack/glossary
修改系统分区
如果攻击者能够提权,他或她可能能够使用这些权限将恶意代码放在设备系统分区中,在设备重置之后恶意代码可能会一直存在,并且设备用户可能无法轻易删除这些代码。
出于开发目的,许多 Android 设备都提供了解锁引导加载程序的功能。未锁定的引导加载程序或许可以使攻击者能够修改系统分区。即使引导装载程序被锁定,攻击者也可能提升特权,继而修改系统分区。
缓解
| 缓解 | 描述 |
|---|---|
| 锁定引导加载程序 | |
| 安全更新 | |
| 系统分区完整性 |
检测
具有经过验证的引导能力的 Android 设备 对系统分区的完整性进行加密检查。
Android SafetyNet API 的远程认证功能可能用于识别和响应受损设备。
Samsung KNOX 还提供了远程认证功能,支持 Samsung Android 设备。
如 iOS 安全指南 所述,如果检测到未经授权的修改,iOS 设备将无法启动或无法激活设备。