在HTC One X AT&T 1.85固件及更早的版本上，預裝了一款ATT Ready2Go應用，該程序以system用戶運行，具有設置wifi、導入聯系人、更換壁紙和安裝應用程序等功能，我們可以利用此程序存在的漏洞獲取設備Root權限。

　　一、漏洞與利用詳情

　　漏洞出現在Ready2Go安裝應用程序的流程上。

　　Ready2Go安裝應用完整程序流程如下：

　　1、第一次通過Read2Go安裝應用時，Read2Go建立下載目錄“/data/install”，并且運行“chmod 777 /data/install”，賦予所有用戶rwx權限。

　　2、當用戶通過該程序安裝應用程序時，Read2Go會把應用程序下載到“/data/install”目錄，并且運行“chmod 666 /data/install/”。

　　3、下載完成后，Read2Go開始安裝下載的程序，安裝成功后刪除下載的apk文件。

　　利用該漏洞獲取Root權限完整流程如下：

　　1、查看“/data/install”目錄是否存在，如不存在，可以通過Ready2Go下載安裝任意應用程序的方式來創建該目錄。

　　2、挑選一個已知包名的應用程序，如“com.att.android.markthespot.apk”,然后通過以下命令建立軟連接到“/data/local.PRop”文件。

　　adb shell ls -s /data/local.prop /data/install/com.att.android.markthespot.apk

　　3、通過Ready2Go下載挑選的應用程序，由于/data/install/com.att.android.markthespot.apk是/data/local.prop文件的軟連接，Ready2Go對下載文件的操作的作用在了/data/local.prop文件(Read2Go具有system權限，可以操作/data/local.prop文件)，/data/local.prop就被修改為全局可讀寫。

　　4、通過adb reboot命令打斷Read2Go的安裝流程，阻斷Read2Go安裝成功后的刪除apk操作。

　　5、設備重新啟動后，/data/local.prop就被遺留為全局可讀寫的。

　　adb shell “echo ‘ro.kernel.qemu=1′ > /data/local.prop”

　　adb reboot

　　6、設備重新啟動后，由于ro.kernel.qemu=1，所以adb不降權，這樣adb shell連接設備就得到了以root身份運行的shell。

　　(設備啟動過程中，系統加載/data/local.prop配置文件設置系統屬性，adb最初以root運行，之后調用setuid()降低權限。降權之前，會判斷系統屬性ro.kernel.qemu，如果該屬性位1，則不降權。)