详解Android应用沙盒机制

前言

Android使用沙盒来保护用户不受恶意应用的侵害,同时也将应用隔离开来,防止他们互相访问其数据,本文主要对Android应用沙盒中的几种技术做简要的总结。

一、Android应用DAC沙盒

  • 稍微了解Android一点的人都知道,Android上的App并不像Linux上的用户程序那样,启动应用的uid默认就是登录用户的uid,除非你使用sudo或者setuid等机制。而是每个Android应用都对应了一个uid,也就是一个用户,通过Linux系统的DAC机制将应用的数据严格隔离开来。
  • Android并没有使用/etc/passwd配置文件以及useradd、usermod和userdel等二进制来管理用户,这些东西对Android来说过于复杂。实际上Android应用到uid的映射是由PackageManagerService完成的,也就是PMS,并且存储在/data/system/packages.xml中。
  • 将Android应用使用DAC隔离开之后,如果应用要访问任何系统资源,便会被拒绝,所以Android设计了应用权限机制来向应用提供访问系统资源的通道,同时保护系统资源不被滥用。
  • 下面是在Pixel 2 XL (RP1A.201005.004.A1) 上面的一些例子
u:r:untrusted_app:s0:c161,c256,c512,c768 u0_a161 16613 887 14608676 86088 0                  0 S com.google.android.apps.photos
u:r:untrusted_app:s0:c138,c256,c512,c768 u0_a138 17204 888 1402772 138956 0                  0 S com.android.chrome

可以看到相册应用的用户为u0_a161,而Chrome浏览器应用的用户为u0_a138

二、Android应用权限

Android应用权限的核心类型分为四种:普通权限、危险权限、签名权限、签名或系统权限

权限类型 权限行为
普通权限(Normal) 普通权限是只需要在AndroidManifest.xml中声明后就可以使用的权限。
危险权限(dangerous) 危险权限除了需要在AndroidManifest.xml中声明之外,在Android 6.0或更高版本还需要使用动态权限API进行申请,并且用户点击同意之后才能使用;在Android 5.1以及更早版本,会在安装时单独列出危险权限以特别提醒用户。注意,如果自定义权限设置为了危险权限,无论Android版本是多少都只是会在安装时单独列出危险权限。
签名权限(signature) 签名权限仅会授予给与定义这个权限的包相同签名的应用。
签名或系统权限(signatureOrSystem) signature|privileged的旧同义词。签名或系统权限与签名权限唯一的区别就是,签名或系统权限也允许授予给特权应用(priv_app),该字段现已弃用。

在自定义权限中,经常使用签名权限来保护敏感的接口,使其只能被可信的应用调用——那些具备和定义权限者相同签名的应用。

三、应用信息的存储

应用信息的存储上文已经提到,位于/data/system/packages.xml中,这里面存储了应用的各种信息,下面是一个示例:

<package name="com.android.storagemanager" codePath="/system/priv-app/StorageManager" nativeLibraryPath="/system/priv-app/StorageManager/lib" publicFlags="541605445" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="29" user appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="13" />
    </sigs>
    <perms>
        <item name="android.permission.USE_RESERVED_DISK" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="3" />
</package>
<package name="com.android.settings" codePath="/system/priv-app/Settings" nativeLibraryPath="/system/priv-app/Settings/lib" publicFlags="675823173" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="10010400" sharedUser appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="0" />
    </sigs>
    <perms>
        <item name="android.permission.REAL_GET_TASKS" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="1" />
</package>
  • 可以看到这个文件中存储有很多内容,最关键的信息包括应用的uid、包名、各类路径,以及定义和授予的权限。
  • 例如StorageManager这个应用的uid是10036,而设置的uid是1000,也就是system的uid。

四、应用权限的映射

  • 我们知道Android使用的是Linux内核,而在Linux的安全模型中,如果需要访问系统资源,访问系统资源的用户和进程必须具备相应的权限。
  • Android如何将自行定义的Android权限映射到Linux层面的权限呢?答案就位于/etc/permissions/platform.xml中,下面是该文件的节选:
<permission name="android.permission.BLUETOOTH_ADMIN" >
    <group g />
</permission>
<permission name="android.permission.BLUETOOTH" >
    <group g />
</permission>

这里显示的就是,Android的两个蓝牙权限,分别对应了net_bt_admin和net_bt两个Linux组,在应用被授予相应的权限时,PMS会自动将应用uid加入这两个组中,这样应用就拥有了相应系统资源的访问权限了。

五、应用的SELinux标签

在Android引入SELinux之后,对应用权限的划分更为细致,Android默认将应用分为四种:不可信应用、特权应用、平台应用和系统应用。

SELinux标签 标签行为
不可信应用(untrusted_app) 不可信应用拥有最少的特权,访问系统资源受到严格限制,所有用户安装的应用以及部分预装应用都属于此标签。
特权应用(priv-app) 特权应用位于/system/priv-app目录或OEM定义的其它目录下,不可卸载,但不以system uid运行。
平台应用(platform_app) 平台应用具备平台签名,但不以system uid运行。除了AOSP和部分第三方ROM之外,几乎所有的OEM都不会公开其平台私钥,所以一般情况下平台应用只能是OEM提供的。
系统应用(system_app) 系统应用既具备平台签名,又以system uid运行(配置android:sharedUserId=”android.uid.system”)。使用system uid运行意味着它们可以不受应用沙盒的限制,并能访问绝大部分Android框架中的系统资源。

下面是在Pixel 2 XL (RP1A.201005.004.A1) 上面的一些例子

可以得出以下结论:

  • Chrome在这台手机上是untrusted_app
  • 启动器nexuslauncher在这台手机上是priv_app
  • systemui在这台手机上是platform_app
  • 设置settings在这台手机上是system_app

显然其中只有设置是以system uid运行的,其它进程使用的都是普通的应用uid。

六、Android应用MAC沙盒

上面所说的SELinux标签,Android在源代码中为它们定义了不同的SELinux政策,这便实现了MAC层面的沙盒增强。

以上就是详解Android应用沙盒机制的详细内容,更多关于Android应用沙盒机制的资料请关注我们其它相关文章!

(0)

相关推荐

  • AndroidQ沙盒机制之分区存储适配

    为了让用户更好地控制自己的文件,Android Q更改了应用访问设备外部存储空间中文件的方式.Android Q用更精细的媒体特定权限来替换READ_EXTERNAL_STORAGE和WRITE_EXTERNAL_STORAGE权限,并且无需特定权限,应用即可访问自己在外部存储设备的文件. 1.针对应用私有文件的隔离存储沙盒 对于每个应用,Android Q 都会创建一个"隔离存储沙盒",以限制其他应用访问本应用在外部存储设备的文件.常见的外部存储设备是/sdcard.此定义具有两个优

  • android ndk程序获取外置SD沙盒目录的方法讲解

    android的App只能访问外置SD指定的目录,一般是: $外置SD目录 + "/Android/data/" + $apk包名 1 获取外置SD目录的方法: 调用getenv(const char *name)方法,通过环境变量"SECONDARY_STORAGE"得到,若没有这个变量,则通过"EXTERNAL_STORAGE"得到. 如果上面方法还不行,枚举/mnt目录下的所有目录. 2 获取apk包名的方法: pid_t getpid()

  • 详解Android应用沙盒机制

    前言 Android使用沙盒来保护用户不受恶意应用的侵害,同时也将应用隔离开来,防止他们互相访问其数据,本文主要对Android应用沙盒中的几种技术做简要的总结. 一.Android应用DAC沙盒 稍微了解Android一点的人都知道,Android上的App并不像Linux上的用户程序那样,启动应用的uid默认就是登录用户的uid,除非你使用sudo或者setuid等机制.而是每个Android应用都对应了一个uid,也就是一个用户,通过Linux系统的DAC机制将应用的数据严格隔离开来. A

  • 详解Android中的NestedScrolling机制带你玩转嵌套滑动

    一.概述 Android在support.v4包中为大家提供了两个非常神奇的类: NestedScrollingParent NestedScrollingChild 如果你从未听说过这两个类,没关系,听我慢慢介绍,你就明白这两个类可以用来干嘛了.相信大家都见识过或者使用过CoordinatorLayout,通过这个类可以非常便利的帮助我们完成一些炫丽的效果,例如下面这样的: 这样的效果就非常适合使用NestedScrolling机制去完成,并且CoordinatorLayout背后其实也是利用

  • 举例详解iOS开发过程中的沙盒机制与文件

    iOS沙盒机制  iOS应用程序只能在为该改程序创建的文件系统中读取文件,不可以去其它地方访问,此区域被成为沙盒,所以所有的非代码文件都要保存在此,例如图像,图标,声音,映像,属性列表,文本文件等. 每个应用程序都有自己的存储空间 应用程序不能翻过自己的围墙去访问别的存储空间的内容 打开模拟器沙盒目录 方法1.可以设置显示隐藏文件,然后在Finder下直接打开.设置查看隐藏文件的方法如下:打开终端,输入命名 <p class="p1">显示Mac隐藏文件的命令: 复制代码

  • 详解Android 消息处理机制

    摘要 Android应用程序是通过消息来驱动的,当Android主线程启动时就会在内部创建一个消息队列.然后进入一个无限循环中,轮询是否有新的消息需要处理.如果有新消息就处理新消息.如果没有消息,就进入阻塞状态,直到消息循环被唤醒. 那么在Android系统中,消息处理机制是怎么实现的呢?在程序开发时,我们经常会使用Handler处理Message(消息).所以可以知道Handler是个消息处理者,Message是消息主体.除此之外还有消息队列和消息轮询两个角色.它们分别是MessageQueu

  • 详解Android Handler机制和Looper Handler Message关系

    概述 我们就从以下六个问题来探讨Handler 机制和Looper.Handler.Message之前的关系? 1.一个线程有几个Handler? 2.一个线程有几个Looper?如何保证? 3.Handler内存泄漏原因?为什么其他的内部类没有说过这个问题? 4.为何主线程可以new Handler?如果在想要在子线程中new Handler 要做些什么准备? 5.子线程中维护的Looper,消息队列无消息的时候的处理方案是什么?有什么用? 6.Looper死循环为什么不会导致应用卡死? 一.

  • 详解Android10的分区存储机制(Scoped Storage)适配教程

    1. 简介 大家应该都有过这样的体会,手机用着用着里面就充斥着各种不懂的文件夹和文件.甚至是连已经删除的软件的文件夹还存在. 为什么会发生的这样的问题呢? 因为Google的缺席,导致Android生态野蛮生长,导致很多开发规范没有完全被落实. 为了解决这样的问题,Google决定重拳出击,提出了分区存储(Scoped Storage)机制,也叫沙盒存储机制. 那么什么是沙盒存储机制呢. 沙盒机制是一种安全机制,用于防止应用读取其他应用的数据. 每个应用程序都有自己的存储空间. 应用程序不能翻过

  • 详解Android中的Service

    Service简介: Service是被设计用来在后台执行一些需要长时间运行的操作. Android由于允许Service在后台运行,甚至在结束Activity后,因此相对来说,Service相比Activity拥有更高的优先级. 创建Service: 要创建一个最基本的Service,需要完成以下工作:1)创建一个Java类,并让其继承Service 2)重写onCreate()和onBind()方法 其中,onCreate()方法是当该Service被创建时执行的方法,onBind()是该S

  • 详解Android中Handler的内部实现原理

    本文主要是对Handler和消息循环的实现原理进行源码分析,如果不熟悉Handler可以参见博文<详解Android中Handler的使用方法>,里面对Android为何以引入Handler机制以及如何使用Handler做了讲解. 概括来说,Handler是Android中引入的一种让开发者参与处理线程中消息循环的机制.我们在使用Handler的时候与Message打交道最多,Message是Hanlder机制向开发人员暴露出来的相关类,可以通过Message类完成大部分操作Handler的功

  • 详解Android Studio正式签名进行调试的实现步骤

    详解Android Studio正式签名进行调试的实现步骤 在Android Studio中,可以使用Gradle进行打包时自动签名.其实Android Studio默认会给调试应用加上Debug签名,但有时候调一些第三方SDK时,需要正式签名才能调起来,所以接下来分享一下使用Gradle自动签名的方法. 一.创建签名文件 打开AS,选择Build->Generate Signed APK,选择要打包的项目,点击Next,再点击Create new...创建签名文件 填写签名文件响应信息,如下所

  • 详解Android Studio实现用户登陆界面demo(xml实现)

    使用Android Studio 编写的第一个demo,使用布局文件-xml实现用户登录界面 注:所建工程均为Android 6.0 所以只要是Android 6.0(包括6.0)以上的真机,模拟机都可以使用 Step1:Android Studio 开发环境的搭建: 1.安装JDK (1.8): 2.安装Android studio (3.3.1) 包含 gradle.sdk manage .avd manage : 3.使用sdk manage 下载安装 sdk: 4.使用avd manag

随机推荐