Android rooting: methods, detection, and evasion

Abstract

Android rooting enables device owners to freely customize their own devices and run useful apps that require root privileges. While useful, rooting weakens the security of Android devices and opens the door for malware to obtain privileged access easily. Thus, several rooting prevention mechanisms have been introduced by vendors, and sensitive or high-value mobile apps perform rooting detection to mitigate potential security exposures on rooted devices. However, there is a lack of understanding whether existing rooting prevention and detection methods are effective. To fill this knowledge gap, we studied existing Android rooting methods and performed manual and dynamic analysis on 182 selected apps, in order to identify current rooting detection methods and evaluate their effectiveness. Our results suggest that these methods are ineffective. We conclude that reliable methods for detecting rooting must come from integrity-protected kernels or trusted execution environments, which are difficult to bypass.

El rooteado Android permite a los propietarios de dispositivos personalizar libremente sus propios dispositivos y ejecutar aplicaciones útiles que requieren privilegios root. Si bien es útil, rootear debilita la seguridad de los dispositivos Android y abre la puerta al malware para obtener acceso privilegiado fácilmente. Por lo tanto, varios mecanismos de prevención de rooteado se han introducido por los vendedores, y aplicaciones móviles sensibles o de alto valor realizan detección de rooteado para mitigar los posibles riesgos de seguridad en los dispositivos rooteados. Sin embargo, hay una falta de comprensión sobre la eficacia de los métodos de prevención y detección de rooteado existentes. Para llenar este vacío de conocimiento, se estudiaron métodos de rooteado Android existentes y se realizó el análisis manual y dinámico en 182 aplicaciones seleccionadas, con el fin de identificar los métodos de detección actuales de rooteado y evaluar su eficacia. Nuestros resultados sugieren que estos métodos son ineficaces. Llegamos a la conclusión de que los métodos fiables para la detección de rooteado debe provenir de granos de integridad protegido o entornos de ejecución de confianza, que son difíciles de pasar por alto.

El rootejat Android permet als propietaris de dispositius personalitzar lliurement els seus propis dispositius i executar aplicacions útils que requereixen privilegis root. Si bé és útil, rootejar afebleix la seguretat dels dispositius Android i obre la porta al malware per obtenir accés privilegiat fàcilment. Per tant, diversos mecanismes de prevenció de rootejat s'han introduït pels venedors, i aplicacions mòbils sensibles o d'alt valor realitzen detecció de rootejat per mitigar els possibles riscos de seguretat en els dispositius rootejat. No obstant això, hi ha una falta de comprensió sobre l'eficàcia dels mètodes de prevenció i detecció de rootejat existents. Per omplir aquest buit de coneixement, es van estudiar mètodes de rootejat Android existents i es va realitzar l'anàlisi manual i dinàmic en 182 aplicacions seleccionades, amb la finalitat d'identificar els mètodes de detecció actuals de rootejat i avaluar la seva eficàcia. Els nostres resultats suggereixen que aquests mètodes són ineficaços. Arribem a la conclusió que els mètodes fiables per a la detecció de rootejat ha de provenir de grans d'integritat protegit o entorns d'execució de confiança, que són difícils de passar per alt.