Bootloader锁的实现与脆弱性分析

摘要

Bootloader作为Android手机的引导程序,在Android系统正式启动之前就以高权限执行.Bootloader除提供加载内核传递启动信任链的功能外,还可能支持解锁功能,即允许打破这种信任传递关系.Bootloader解锁后,不会再验证内核的签名,也允许更改各分区的内容.各个厂商定制Bootloader时还会增加解锁码类的额外验证.本文分为两个部分分别分析国内两个厂商定制的Bootloader,并分享其中发现的问题,以及介绍解决问题的思路和方法.Bootloader是Android启动过程中的关键组件，是具有ELI或EL3级别的权限，如果发生问题可能会导致很严重的后果。其输入接口有限，漏洞缓解措施十分有限。想要保证它的安全运行除了要验证fastboot的输入外，还应该考虑到它读取Android系统本身可控的分区内容时的校验，以及版本回滚控制等问题。由于官方没有给出统一的解决方案，厂商定制时就势必要根据自身系统特性考量有效的运行模式。