No Chrome OS e no Android, o dm-verity é usado para verificar a partição do sistema. No Chrome OS, como não há disco RAM inicial, o mapeamento e o resumo raiz são fornecidos na linha de comando do kernel com o parâmetro dm . No Android, não sei se as informações de dm-verity estão incluídas nos parâmetros de inicialização (suspeito que não), mas sei que uma chave pública armazenada no disco de RAM inicial é usada para verificar o resumo raiz da partição do sistema .
Posso ver como você pode não conseguir modificar o mapeamento no Chrome OS enquanto o sistema está em execução, já que é passado um parâmetro do kernel que pode muito bem torná-lo imutável. Como, como eu imagino, o mapeamento no Android é configurado no espaço do usuário, eu pensaria que também seria capaz de alterá-lo, evitando assim a segurança que o dm-verity fornece. Então, o que impede que isso aconteça em ambos os casos?