詳解Android應(yīng)用沙盒機(jī)制

更新時(shí)間：2021年04月23日 08:28:29 作者：小路

這篇文章主要介紹了Android應(yīng)用沙盒機(jī)制的相關(guān)資料，幫助大家更好的理解和學(xué)習(xí)使用Android開(kāi)發(fā)，感興趣的朋友可以了解下

前言

Android使用沙盒來(lái)保護(hù)用戶不受惡意應(yīng)用的侵害，同時(shí)也將應(yīng)用隔離開(kāi)來(lái)，防止他們互相訪問(wèn)其數(shù)據(jù)，本文主要對(duì)Android應(yīng)用沙盒中的幾種技術(shù)做簡(jiǎn)要的總結(jié)。

一、Android應(yīng)用DAC沙盒

稍微了解Android一點(diǎn)的人都知道，Android上的App并不像Linux上的用戶程序那樣，啟動(dòng)應(yīng)用的uid默認(rèn)就是登錄用戶的uid，除非你使用sudo或者setuid等機(jī)制。而是每個(gè)Android應(yīng)用都對(duì)應(yīng)了一個(gè)uid，也就是一個(gè)用戶，通過(guò)Linux系統(tǒng)的DAC機(jī)制將應(yīng)用的數(shù)據(jù)嚴(yán)格隔離開(kāi)來(lái)。
Android并沒(méi)有使用/etc/passwd配置文件以及useradd、usermod和userdel等二進(jìn)制來(lái)管理用戶，這些東西對(duì)Android來(lái)說(shuō)過(guò)于復(fù)雜。實(shí)際上Android應(yīng)用到uid的映射是由PackageManagerService完成的，也就是PMS，并且存儲(chǔ)在/data/system/packages.xml中。
將Android應(yīng)用使用DAC隔離開(kāi)之后，如果應(yīng)用要訪問(wèn)任何系統(tǒng)資源，便會(huì)被拒絕，所以Android設(shè)計(jì)了應(yīng)用權(quán)限機(jī)制來(lái)向應(yīng)用提供訪問(wèn)系統(tǒng)資源的通道，同時(shí)保護(hù)系統(tǒng)資源不被濫用。
下面是在Pixel 2 XL (RP1A.201005.004.A1) 上面的一些例子

u:r:untrusted_app:s0:c161,c256,c512,c768 u0_a161 16613 887 14608676 86088 0                  0 S com.google.android.apps.photos
u:r:untrusted_app:s0:c138,c256,c512,c768 u0_a138 17204 888 1402772 138956 0                  0 S com.android.chrome

可以看到相冊(cè)應(yīng)用的用戶為u0_a161，而Chrome瀏覽器應(yīng)用的用戶為u0_a138

二、Android應(yīng)用權(quán)限

Android應(yīng)用權(quán)限的核心類(lèi)型分為四種：普通權(quán)限、危險(xiǎn)權(quán)限、簽名權(quán)限、簽名或系統(tǒng)權(quán)限

權(quán)限類(lèi)型	權(quán)限行為
普通權(quán)限(Normal)	普通權(quán)限是只需要在AndroidManifest.xml中聲明后就可以使用的權(quán)限。
危險(xiǎn)權(quán)限(dangerous)	危險(xiǎn)權(quán)限除了需要在AndroidManifest.xml中聲明之外，在Android 6.0或更高版本還需要使用動(dòng)態(tài)權(quán)限API進(jìn)行申請(qǐng)，并且用戶點(diǎn)擊同意之后才能使用；在Android 5.1以及更早版本，會(huì)在安裝時(shí)單獨(dú)列出危險(xiǎn)權(quán)限以特別提醒用戶。注意，如果自定義權(quán)限設(shè)置為了危險(xiǎn)權(quán)限，無(wú)論Android版本是多少都只是會(huì)在安裝時(shí)單獨(dú)列出危險(xiǎn)權(quán)限。
簽名權(quán)限(signature)	簽名權(quán)限僅會(huì)授予給與定義這個(gè)權(quán)限的包相同簽名的應(yīng)用。
簽名或系統(tǒng)權(quán)限(signatureOrSystem)	signature\|privileged的舊同義詞。簽名或系統(tǒng)權(quán)限與簽名權(quán)限唯一的區(qū)別就是，簽名或系統(tǒng)權(quán)限也允許授予給特權(quán)應(yīng)用（priv_app），該字段現(xiàn)已棄用。

在自定義權(quán)限中，經(jīng)常使用簽名權(quán)限來(lái)保護(hù)敏感的接口，使其只能被可信的應(yīng)用調(diào)用——那些具備和定義權(quán)限者相同簽名的應(yīng)用。

三、應(yīng)用信息的存儲(chǔ)

應(yīng)用信息的存儲(chǔ)上文已經(jīng)提到，位于/data/system/packages.xml中，這里面存儲(chǔ)了應(yīng)用的各種信息，下面是一個(gè)示例：

<package name="com.android.storagemanager" codePath="/system/priv-app/StorageManager" nativeLibraryPath="/system/priv-app/StorageManager/lib" publicFlags="541605445" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="29" user appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="13" />
    </sigs>
    <perms>
        <item name="android.permission.USE_RESERVED_DISK" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="3" />
</package>
<package name="com.android.settings" codePath="/system/priv-app/Settings" nativeLibraryPath="/system/priv-app/Settings/lib" publicFlags="675823173" privateFlags="8" ft="165151eba60" it="165151eba60" ut="165151eba60" version="10010400" sharedUser appUseNotchMode="0" appUseSideMode="1" hwExtraFlags="0" isOrphaned="true" forceDarkMode="2">
    <sigs count="1" schemeVersion="1">
        <cert index="0" />
    </sigs>
    <perms>
        <item name="android.permission.REAL_GET_TASKS" granted="true" flags="0" />
        <!-- ... -->
    </perms>
    <proper-signing-keyset identifier="1" />
</package>

可以看到這個(gè)文件中存儲(chǔ)有很多內(nèi)容，最關(guān)鍵的信息包括應(yīng)用的uid、包名、各類(lèi)路徑，以及定義和授予的權(quán)限。
例如StorageManager這個(gè)應(yīng)用的uid是10036，而設(shè)置的uid是1000，也就是system的uid。

四、應(yīng)用權(quán)限的映射

我們知道Android使用的是Linux內(nèi)核，而在Linux的安全模型中，如果需要訪問(wèn)系統(tǒng)資源，訪問(wèn)系統(tǒng)資源的用戶和進(jìn)程必須具備相應(yīng)的權(quán)限。
Android如何將自行定義的Android權(quán)限映射到Linux層面的權(quán)限呢？答案就位于/etc/permissions/platform.xml中，下面是該文件的節(jié)選：

<permission name="android.permission.BLUETOOTH_ADMIN" >
    <group g />
</permission>
<permission name="android.permission.BLUETOOTH" >
    <group g />
</permission>

這里顯示的就是，Android的兩個(gè)藍(lán)牙權(quán)限，分別對(duì)應(yīng)了net_bt_admin和net_bt兩個(gè)Linux組，在應(yīng)用被授予相應(yīng)的權(quán)限時(shí)，PMS會(huì)自動(dòng)將應(yīng)用uid加入這兩個(gè)組中，這樣應(yīng)用就擁有了相應(yīng)系統(tǒng)資源的訪問(wèn)權(quán)限了。

五、應(yīng)用的SELinux標(biāo)簽

在Android引入SELinux之后，對(duì)應(yīng)用權(quán)限的劃分更為細(xì)致，Android默認(rèn)將應(yīng)用分為四種：不可信應(yīng)用、特權(quán)應(yīng)用、平臺(tái)應(yīng)用和系統(tǒng)應(yīng)用。

SELinux標(biāo)簽	標(biāo)簽行為
不可信應(yīng)用(untrusted_app)	不可信應(yīng)用擁有最少的特權(quán)，訪問(wèn)系統(tǒng)資源受到嚴(yán)格限制，所有用戶安裝的應(yīng)用以及部分預(yù)裝應(yīng)用都屬于此標(biāo)簽。
特權(quán)應(yīng)用(priv-app)	特權(quán)應(yīng)用位于/system/priv-app目錄或OEM定義的其它目錄下，不可卸載，但不以system uid運(yùn)行。
平臺(tái)應(yīng)用(platform_app)	平臺(tái)應(yīng)用具備平臺(tái)簽名，但不以system uid運(yùn)行。除了AOSP和部分第三方ROM之外，幾乎所有的OEM都不會(huì)公開(kāi)其平臺(tái)私鑰，所以一般情況下平臺(tái)應(yīng)用只能是OEM提供的。
系統(tǒng)應(yīng)用(system_app)	系統(tǒng)應(yīng)用既具備平臺(tái)簽名，又以system uid運(yùn)行(配置android:sharedUserId=”android.uid.system”)。使用system uid運(yùn)行意味著它們可以不受應(yīng)用沙盒的限制，并能訪問(wèn)絕大部分Android框架中的系統(tǒng)資源。