前言

Android使用沙盒來保護用戶不受惡意應用的侵害，同時也將應用隔離開來，防止他們互相訪問其數(shù)據(jù)，本文主要對Android應用沙盒中的幾種技術做簡要的總結(jié)。

一、Android應用DAC沙盒

• 稍微了解Android一點的人都知道，Android上的App并不像Linux上的用戶程序那樣，啟動應用的uid默認就是登錄用戶的uid，除非你使用sudo或者setuid等機制。而是每個Android應用都對應了一個uid，也就是一個用戶，通過Linux系統(tǒng)的DAC機制將應用的數(shù)據(jù)嚴格隔離開來。
• Android并沒有使用/etc/passwd配置文件以及useradd、usermod和userdel等二進制來管理用戶，這些東西對Android來說過于復雜。實際上Android應用到uid的映射是由PackageManagerService完成的，也就是PMS，并且存儲在/data/system/packages.xml中。
• 將Android應用使用DAC隔離開之后，如果應用要訪問任何系統(tǒng)資源，便會被拒絕，所以Android設計了應用權(quán)限機制來向應用提供訪問系統(tǒng)資源的通道，同時保護系統(tǒng)資源不被濫用。
• 下面是在Pixel 2 XL (RP1A.201005.004.A1) 上面的一些例子

u:r:untrusted_app:s0:c161,c256,c512,c768 u0_a161 16613 887 14608676 86088 0                  0 S com.google.android.apps.photos
u:r:untrusted_app:s0:c138,c256,c512,c768 u0_a138 17204 888 1402772 138956 0                  0 S com.android.chrome

可以看到相冊應用的用戶為u0_a161，而Chrome瀏覽器應用的用戶為u0_a138

二、Android應用權(quán)限

Android應用權(quán)限的核心類型分為四種：普通權(quán)限、危險權(quán)限、簽名權(quán)限、簽名或系統(tǒng)權(quán)限

在自定義權(quán)限中，經(jīng)常使用簽名權(quán)限來保護敏感的接口，使其只能被可信的應用調(diào)用——那些具備和定義權(quán)限者相同簽名的應用。

三、應用信息的存儲

應用信息的存儲上文已經(jīng)提到，位于/data/system/packages.xml中，這里面存儲了應用的各種信息，下面是一個示例：

<package name="com.android.storagemanager" codePath="/system/priv-app/StorageManager" nativeLibraryPath="/system/priv-app/StorageManager/lib" publicFlags="541605445" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="29" user appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="13" />
    </sigs>
    <perms>
        <item name="android.permission.USE_RESERVED_DISK" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="3" />
</package>
<package name="com.android.settings" codePath="/system/priv-app/Settings" nativeLibraryPath="/system/priv-app/Settings/lib" publicFlags="675823173" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="10010400" sharedUser appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="0" />
    </sigs>
    <perms>
        <item name="android.permission.REAL_GET_TASKS" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="1" />
</package>

• 可以看到這個文件中存儲有很多內(nèi)容，最關鍵的信息包括應用的uid、包名、各類路徑，以及定義和授予的權(quán)限。
• 例如StorageManager這個應用的uid是10036，而設置的uid是1000，也就是system的uid。
  

四、應用權(quán)限的映射

• 我們知道Android使用的是Linux內(nèi)核，而在Linux的安全模型中，如果需要訪問系統(tǒng)資源，訪問系統(tǒng)資源的用戶和進程必須具備相應的權(quán)限。
• Android如何將自行定義的Android權(quán)限映射到Linux層面的權(quán)限呢？答案就位于/etc/permissions/platform.xml中，下面是該文件的節(jié)選：

<permission name="android.permission.BLUETOOTH_ADMIN" >
    <group g />
</permission>
<permission name="android.permission.BLUETOOTH" >
    <group g />
</permission>

這里顯示的就是，Android的兩個藍牙權(quán)限，分別對應了net_bt_admin和net_bt兩個Linux組，在應用被授予相應的權(quán)限時，PMS會自動將應用uid加入這兩個組中，這樣應用就擁有了相應系統(tǒng)資源的訪問權(quán)限了。

五、應用的SELinux標簽

在Android引入SELinux之后，對應用權(quán)限的劃分更為細致，Android默認將應用分為四種：不可信應用、特權(quán)應用、平臺應用和系統(tǒng)應用。

下面是在Pixel 2 XL (RP1A.201005.004.A1) 上面的一些例子

可以得出以下結(jié)論：

• Chrome在這臺手機上是untrusted_app
• 啟動器nexuslauncher在這臺手機上是priv_app
• systemui在這臺手機上是platform_app
• 設置settings在這臺手機上是system_app
  

顯然其中只有設置是以system uid運行的，其它進程使用的都是普通的應用uid。

六、Android應用MAC沙盒

上面所說的SELinux標簽，Android在源代碼中為它們定義了不同的SELinux政策，這便實現(xiàn)了MAC層面的沙盒增強。

以上就是詳解Android應用沙盒機制的詳細內(nèi)容，更多關于Android應用沙盒機制的資料請關注腳本之家其它相關文章！

最新評論