Root d’android - Linux Attitude

Root d’androidInclinez-vous car je suis root

May 2

Par peck

Correction : j'ai modifié cet article car le système pour rendre le rootage permanent ne fonctionnait pas !

Niveau :
Résumé : adb shell

Il y a peu je me suis offert un téléphone android. Devinez quoi ... c'est un linux (pas GNU pour une fois, plutôt un dalvik/linux).

Seule ombre au programme, je ne suis pas root dessus. C'est pas très fair play de la part du vendeur sachant que le téléphone m'appartient. Comment faire pour supprimer les applications installées par le fabriquant et qui me cassent les *** à se lancer sans me demander mon avis ?

Ma première mission est donc de devenir root.

Les habitués des OS de bureau auront l'idée de toucher au bootloader pendant qu'il boote. Bonne idée, mais sur une telle machine le bootloader est assez sobre, et plutôt protégé, ne parlons pas du bios. J'ai donc ignoré cette technique pour passer à une méthode plus courantes pour les bidouilleurs de tout poil : exploiter une faille de sécurité.

C'est donc grâce aux failles de sécurité que je vais avoir le droit d'accéder au système de ma propre machine ! Autrement dit, c'est parce que le fabriquant protège mal le système qu'il m'a vendu que mes droits de consommateur sont respectés ...

Les bases

Passons aux bases du téléphone, c'est un linux, mais il ne faut pas s'attendre à avoir tous les outils en ligne de commande auxquels vous êtes habitués. Pour obtenir un shell utilisateur simple (ça vous avez le droit) :

installer le sdk android (une simple extraction)
aller dans les paramètres / application / développement et activer le débogage USB
branchez le câble
sur le pc dans sdk/platform-tools lancez ./adb devices, votre téléphone doit être listé sinon il y a un problème
tapez ./adb shell et hop vous êtes sur votre téléphone

Là on est sur un terrain presque connu : un shell, qui tourne avec l'utilisateur shell. Il est limité, mais on s'y fait. Par contre l'arborescence est inhabituelle. Je vous laisse explorer ... Pour mémoire, voici les répertoires à la racine :

/acct        # accounting
/bin         # comme unix
/cache       # contenu temporaire
/config      # vide chez moi
/d           # debug
/data        # /var d'unix
/dev         # comme unix
/etc         # comme unix
/init        # comme unix
/init.rc     # comme unix
/misc        # vide chez moi
/mnt         # comme unix
/proc        # comme unix
/root        # comme unix
/sbin        # comme unix
/sdcard      # partition fat visible aux utilisateurs
/sys         # comme unix
/system      # partition readonly contenant le système android
/usbdisk     # vide chez moi

Les android étant personnalisés par le constructeur, votre version variera nécessairement.

Les failles (pour passer root)

Maintenant on veut passer de shell à root. Il est temps de passer du côté hacking de la force. Ceux qui se sentent l'âme d'un hacker expérimenté peuvent chercher eux-même les failles dans le système. Les autres vont tenter les 2 ou 3 failles connues avec les exploits associés :

dépôt d'un fichier suid root exécutable, nommé su (il parait que ça marche sur certaines machines, je ne vois pas comment ...)
exploid
rageagainstthecage
psneuter

Le binaire et les source de ces exploits sont disponibles ici.

En général il s'agit de le mettre dans un répertoire inscriptible et permettant les exécutables puis de le lancer. Il semblerait que /data/local/tmp soit disponible un peu partout pour ça.

Dans mon cas (optimus 2X) c'est psneuter qui fonctionne. Pour les autres, dites moi ce qui marche chez vous, je n'ai pas assez d'argent pour tester tous les android :)

$ ./adb push psneuter /data/local/tmp
$ ./adb shell
$ chmod 555 /data/local/tmp/psneuter 
$ /data/local/tmp/psneuter

On attend, on relance un adb shell et miracle on est root !

Busybox

Maintenant installons un environnement un peu plus user-friendly :

télécharger busybox
installer busybox :

$ ./adb push busybox /data/local/tmp
$ ./adb shell
$ chmod 555 /data/local/tmp/busybox
$ mkdir /data/busybox
$ /data/local/tmp/busybox --install
$ export PATH=/data/busybox:$PATH

Et voila ! Une vraie ligne de commande sur notre petite machine. On peut maintenant découvrir l'os et faire joujou comme on veut.

Rendons tout ça permanent

N'ayant pas trouvé de su compilé qui marche sur mon android et ayant la flemme de compiler moi-même, j'ai fait avec les moyens du bord. Ma méthode d'origine était de mettre en place un shell setuid. Malheureusement, le shell vérifie que sont uid correspond à son euid et si ce n'est pas le cas il revient en arrière. J'ai été abusé par le fait qu'il affiche tout de même un #. Ce comportement, naturel pour un script ne l'est pas nécessairement pour un shell interactif mais c'est un fait.

J'ai donc fait avec les moyens fournis par busybox :

$ mount -o remount,rw /system
$ mkdir /system/bb       # /system/bin/su existe déjà
$ cp /data/busybox/su /system/bb
$ chmod 4550 /system/bb/su
$ echo 'root::0:' > /etc/group # /etc est dans /system
$ echo 'root::0:0:root:/root:/system/bin/sh' > /etc/passwd
$ passwd # si vous voulez un vrai mot de passe
$ mount -o remount,ro  //system # retour à la normale

Après le prochain reboot, pour devenir root (avec un mot de passe) :

$ ./adb shell
$ /system/bin/su

Note : Revenir en arrière est l'affaire de quelques suppression (/data/busybox, /system/bin/su, /etc/passwd et /etc/group). Vous n'avez donc rien fait de violent à votre téléphone, vous avez maitrisé ce que vous avez fait et c'est presque invisible.

Sécurité : A tous ceux qui rootent leur android en passant par une application toute faite, savez-vous ce que fait cette application dans votre dos ? Ne fait-elle pas autre chose que vous faire passer root ? Savez-vous qu'elle installe un binaire su permettant à n'importe quelle application (et pas seulement SuperUser.apk) de passer root si elle connait l'existence de ce binaire ...

On me dit que lors de son premier lancement SuperUser.apk se met lui-même en setuid et enlève le setuid du binaire su. Ce qui du coup vous retire le root avec adb.

PS : Message personnel à Bob Morane, j'ai rien compris à ta suggestion, dans quelle situation y a-t-il des liens qui se chevauchent ?

android, Commande, Système

Comments

Guyou

May 4th, 2011 at 1:43 PM


Je te trouve un peu rapide sur le paragraphe "Sécurité". Toi-même, qu’elle confiance as-tu dans psneuter ? As-tu lu et recompilé le programme ?

Par contre, je suis entièrement d’accord avec toi : c’est dangeureux d’exécuter ce type de soft à la vas-vite. C’est tellement la mode de (devoir) rooter son téléphone qu’il est certains que les pirates ont saisi cette belle opportunité pour infester des machines.

Je pense que c’est un point de plus à verser contre les fabricants de téléphone : non seulement il y a des failles qui permettent de passer root, mais en plus leur politique sécuritaire conduit les utilisateurs à installer des softs qui ne sont controlés par personne.
peck

May 4th, 2011 at 2:28 PM


Oui j’ai lu le code source de psneuter et je pense que je peux lui faire confiance.
Par contre j’avoue que ce n’est pas moi qui l’ai compilé. C’est d’ailleurs ma prochaine étape (je sais je fais à l’envers).
Christophe

May 12th, 2011 at 12:16 AM


Tu n’es pas root sur TON téléphone et ce n’est pas normal car il t’appartient ? Quel raisonnement bizarre ! Es-tu root de ta TV, de ton autoradio, de la puce d’injection de ta voiture, de ta box (ok pour celle-ci, elle ne t’appartient pas) ? En quoi tes droits de consommateur consistent-ils à pouvoir être root sur les machines que tu achètes ?
Les raisons pour lesquelles le vendeur ne te donne pas les droits root sont diverses (droits d’auteurs, fonctionnalités activées au paiement, conformité à une déclaration aux mines, …). Est-ce parce que le système est basé sur des logiciels open-source qui justifie ta volonté de passer outre le choix de l’industriel ?
Pour ma part, j’essaie de respecter les choix des différents éditeurs et d’orienter mes achats en fonction (tu peux par exemple acheter ton téléphone ailleurs que chez un opérateur, en version nue). Et ce n’est pas parce que c’est simplement faisable de passer root que je le ferai…
Ceci dit, l’article est particulièrement intéressant comme l’ensemble de ce blog.

Gilles

October 1st, 2012 at 6:22 PM


pour Christophe: pourquoi vouloir rooter son téléphone et droits des consommateurs…
Ta télé, ta radio, ton injecteur… ont la possibilité de renvoyer ta position GPS? ta liste des sites les plus visités? Ton injecteur démarre des logiciels publicitaires?
en bref… il y a une erreur fondamentale de public, c’est comme acheter un PC ou un MAC: si je ne voulais pas ouvrir le capot de ma machine, alors, j’aurai acheté un Iphone et pas un Android!

Gilles

October 1st, 2012 at 6:27 PM


Autre chose: Android est OS qui permet de recevoir de logiciels… et il se trouve que je suis développeur: je n’aurai pas le droit d’écrire des logiciels pour ma machine Android qui nécessitent des droits avancés?
Imagine qu’il se passe la même chose sur ton PC à la maison… imagine que le fait de defragmenter to disque ou effacer des logs (admin) rendent la garantie de ton PC out!!!

peck

May 16th, 2011 at 2:34 PM


Ce n’est pas un raisonnement bizarre. Oui je peux démonter mon grille pain et en faire ce que je veux. Oui je veux être root sur ma télé pour inventer une techno télé 3D si je veux. Mes droits de consommateur impliquent qu’on ne m’empêche pas d’accéder à quelque chose que j’ai payé.

Pour la voiture, la loi peut m’interdire de modifier son fonctionnement, mais en soi ce n’est pas une prérogative du constructeur. La loi ne m’interdit pas de modifier mon téléphone, ce n’est pas une question d’opensource ou non, c’est une question de propriété.

Note au passage que mon téléphone n’a pas de surcouche opérateur.
Kcm

May 21st, 2011 at 9:47 AM


Merci pour ton post très intéressant, je ne suis pas un pro de Linux mais j’ai réussit à suivre :)

Sur mon device en 2.2.1, il y a quelques différences :
Il faut remplacer le
mount -o remount,rw /system
par un
mount -o remount,rw /dev/block/mmcblk0p25 /system
Pour trouver le paramètre a ajouter (/dev/block/mmcblk0p25 pour moi), faites juste un "mount" et regardez le point de montage /system

Sinon, le mode permanent ne marche pas mais je ne suis pas encore assez calé pour trouver la solution :) Les fichiers group et passwd disparaissent… Peut etre le S-OFF à faire
Peck

May 21st, 2011 at 12:34 PM


Le mount sans le nom du device ne marche que si on utilise le mount de busybox.
Poupoul2

May 30th, 2011 at 2:53 PM


Un truc concernant la première étape : Si pour ./adb devices, vous obtenez
???????????? no permissions

==> Il faut redémarrer le serveur adb en root ou en su :
./adb kill-server
sudo ./adb start-server
./adb devices

Et ça devrait rouler :)
peck

May 30th, 2011 at 3:31 PM


Exactement, il y a moyen de faire mieux en mettant une règle udev kivabien.
Je l’ai dans un coin, je l’ajouterai au prochain article.
196doudou

May 10th, 2012 at 7:32 AM


Salut,
Vraiment intéressante la méthode et surtout différente de ce que l’on peut rencontrer a gauche et a droite, mais pour l’instant a l’heure de Android 4.0 pense tu que cela pourrait fonctionner, me conseillerais tu de tenter le coup avec une ou l’autre piste citée plus haut? (J’ai une tablette Cube U9GT2 9.7″ sous Androis 4.0.3 )
BAT et félicitation pour ton post
peck

May 10th, 2012 at 1:53 PM


Les failles ont été corrigées sur android 4, il faut donc en trouver d’autres pour pouvoir utiliser une méthode similaire.
Patrick

September 15th, 2012 at 4:06 PM


bonjour,

j’ai trouvé l’article interessant et j’essaie de le mettre en oeuvre.
j’échoue à la 2eme etape , à savoir activer le debogage USB. mon pc est sous win xp. je ne comprends pas où se trouve les parametres/application/developpement: dans le sdk installé ? dans mon pc ?

merci d’avance pour l’aide
peck

September 15th, 2012 at 5:29 PM


Le SDK s’installe sur le PC, mais l’activation du débogage USB se fait sur le téléphone.
Paramètre est le menu paramètre du téléphone.
Philippe

November 14th, 2012 at 1:56 PM


Bonjour,
J’essaie de rooter mon téléphone sous Android 2.3.6, jusqu’à présent sans succès.
Depuis Linux, adb ne trouve aucun device, le téléphone étant pourtant bien en mode débogage USB.
Depuis Windows XP, mon téléphone semble bien détecté mais adb ne me permet que d’accéder à un filesystem monté read-only. Je ne peux donc pas faire le push de psneuter. De même, le mount -o remount,rw se solde par un Operation not permitted.
Si quelqu’un a une bonne idée, je suis preneur !
Merci.
Peck

November 14th, 2012 at 2:05 PM


Sous linux, le problème de la détection est récurent, il faut soit faire une règle udev pour donner les droits à l’utilisateur sur le périphérique (ou faire un chown si c’est temporaire), soit lancer adb en root.

Pour le push d’un fichier, il faut trouver une partition montée en rw, la commande mount devrait t’aider pour ca. En général /sdcard est rw (pas exécutable).
flutiau

November 25th, 2012 at 4:43 PM


Très intéressant. Question : aujourd’hui (novembre 2012), sous un Android récent (disons Jelly Beans) et une machine qui vient de sortir (disons Samsung Galaxy Note 2), est-ce que le tuto est encore valide ? Ne risque-t-on pas de faire des bêtises si on le suit ligne à ligne ?
Merci d’avance.
peck

November 25th, 2012 at 7:12 PM


Je n’ai pas testé ceci sur un android récent (3 ou 4 ou …).

La première chose c’est que l’exploitation de la faille ne fonctionnera pas, et donc il sera impossible de passer la première étape.

Pour le reste, android reste un linux et il faut suivre la procédure avec un peu d’intelligence, elle est valable, mais les répertoires et les droits peuvent changer d’une version à l’autre. Il est donc probable qu’il faille adapter certains points.
skn

January 3rd, 2013 at 11:42 PM


Bonjour, vous est-il possible de publier un article permettant de rooter un samsung galaxy S2 par l’intermédiaire de la faille découverte dernièrement (ExynosAbuse exploit) sans passer nécessairement par une appli (apk).

Voir : http://forum.xda-developers.com/showthread.php?t=2050297&nocache=1

Sinon bravo pour l’article, il est très intéressant ainsi que votre blog en général.
skn

January 3rd, 2013 at 11:53 PM


Des détails sur l’exploit en question : Root exploit on Exynos

http://forum.xda-developers.com/showthread.php?t=2048511
peck

January 4th, 2013 at 12:35 AM


Je n’ai malheureusement pas de S2 pour tester l’exploit en question.
Bien que ca m’intéresserait d’examiner les différences entre les androids qu’on trouve dans la nature, je n’ai pas les moyens de me le permettre.
Jeff

May 5th, 2013 at 4:06 PM


Bonjour, j’avais commence par utilliser la bidouille d’un executable ‘su’ recupéré depuis le net et installé sur l’android.
Ca marchait pour passer en superviseur, mais voulant proteger cela par un passwd, j’ai voulut utilliser votre methode qui me parait bp plus sure.
Tout a bien marché jusqu’au reboot final, puisque lorsque je tape ‘su’:

/system/bin/su
su: must be suid to work properly

Je n’arrive plus a revenir en arriere, impossible de supprimer /etc/group ,…. car je n’arrive plus a passer en root…
Comment debrouiller tout cela ??
Merci
Jeff
Jeff

May 6th, 2013 at 11:27 PM


En reprenant la premiere solution que j’avais utillisé, je peux retourner en root sur mon android.
Donc je peux faire d’autres modifs sur le systeme de fichier.
ls -l donnent :

lrwxrwxrwx root root 2013-05-05 14:35 su -> /system/xbin/busybox
-rwsrwsrwx shell root 1085140 2013-05-05 14:33 busybox

est-ce que c’est bon ?
Merci
Jef
Peck

May 7th, 2013 at 10:34 PM


A partir du moment ou su n’est plus suid t’as perdu, vu qu’il faut qu’il le soit pour passer en root.

A partir du moment ou tu as ta busybox c’est bon tu peux faire ce que tu veux en ligne de commande.
josephtux

September 25th, 2013 at 9:55 PM


Très intéressant, mais si c’est basé sur une faille d’Androïd en 2011, est-ce encore possible sur une tablette Androïd achetée en 2013 ?
( je souhaite acheter une tablette et disposer de la console, des outils GNU voire plus ( au hasard: vim, LaTeX, Grisbi.. )
Peck

October 1st, 2013 at 6:58 PM


La faille ne sera probablement pas disponible sur une tablette récente.
Mais on trouve des nouvelles failles régulièrement, il suffit juste d’en trouver une autre qui fonctionne (ou acheter un matériel qui donne l’accès root facilement).

Android a un peu changé avec la version 4, à chaque étape des choses peuvent avoir changé. Il ne faut donc pas prendre cette page littéralement, c’est juste un guide qui explique comment ça marche, pas une recette tout prête. Dans tous les cas, une fois root, il y a moyen d’installer ce qu’on veut.

Linux Attitude

Root d’androidInclinez-vous car je suis root

Les bases

Les failles (pour passer root)

Busybox

Rendons tout ça permanent

Comments

Leave a Reply

Sondage

Commentaires

Catégories

Sites ami

Archives

Linux Attitude

Root d’androidInclinez-vous car je suis root

Les bases

Les failles (pour passer root)

Busybox

Rendons tout ça permanent

Comments

Leave a Reply

Sondage

Commentaires

Tags

Catégories

Sites ami

Archives