android5.0,6.0第三方签名APP,在SElinux下,如何获得对一个内核节点的访问权限?

最新推荐文章于 2024-07-17 16:36:38 发布
最新推荐文章于 2024-07-17 16:36:38 发布
阅读量3.6k 收藏 3
点赞数 1
分类专栏: SEAdroid分析
在android6.0中,出于安全考虑,不允许第三方签名的app被分配mlstrustedsubject:


在external/sepolicy/untrusted_app.te文件中:


# Do not allow untrusted_app to be assigned mlstrustedsubject.
# This would undermine the per-user isolation model being
# enforced via levelFrom=user in seapp_contexts and the mls
# constraints.  As there is no direct way to specify a neverallow
# on attribute assignment, this relies on the fact that fork
# permission only makes sense within a domain (hence should
# never be granted to any other domain within mlstrustedsubject)
# and untrusted_app is allowed fork permission to itself.
neverallow untrusted_app mlstrustedsubject:process fork;


所以在使用第三方签名app时,希望第三方签名app某个进程能够对内核节点进行操作,可按如下修改:
1.在device/sprd/scx20/common/sepolicy/file_contexts 文件中添加:
/dev/abc u:object_r:abc_device:s0 
2.在device/sprd/scx20/common/sepolicy/device.te 文件中添加:
type abc_device, dev_type, mlstrustedobject;


3.在device/sprd/scx20/common/sepolicy/untrusted_app.te 文件中添加:
allow untrusted_app adc_device:chr_file operate;


operate为赋予的权限。


注:


mlstrustedsubject:这一attribute包含了所有能越过MLS检查的主体domain。


mlstrustedobject:这一attribute包含了所有能越过MLS检查的客体type。
gnnulzy
关注
专栏目录
AndroidSElinux下 如何获得一个内核节点访问权限
04-21 261
Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点访问权限。 第一步:找到需要访问...
android系统签名(高通平台)
u011897505的博客
07-24 2412
1. The following commands were used to generate the test key pairs: development/tools/make_key testkey  '/C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@andro...
android读取内核节点,AndroidSElinux下 如何获得一个内核节点访问权限【转】...
weixin_39641231的博客
05-31 351
Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点访问权限。第一步:找到需要访问该内核节点的进程(process),笔者自己这个节点由system_server进程来访问第二步:打开文件An...
androidselinux问题解决记录 一
最新发布
qq_27840511的博客
07-17 401
androidselinux问题解决记录 一
Android 5.0 内置第三方apk
cyj369258的专栏
09-08 5006
Android 5.0 内置第三方apk 举例说明内置百度apk到code中的方法 百度apk的名称为:baidu.apk 1.    将apk放置在可以编译到的路径下,如/vendor/3rdparty/baidu/baidu.apk 2.    将Android.mk放置在vendor/3rdparty/Android.mk Android.mk的内容如下所示
android开发中,apk文件安装到\system\app 的解决办法 仅限root机
素食主义の狼
02-20 306
  原文地址 http://zhidao.baidu.com/question/206374215.html 在 Android 中,如果要使用系统限制的权限(比如 android.permission.WRITE_SECURE_SETTINGS),我们需要把程序安装到 /system/app/ 下。 下面以 SecureSetting.apk 为例,演示这个操作。需要准备一台已经获得...
android6.0第三方APP获得设备节点访问权限
itdo_just的博客
10-07 5082
之前使用android4.4的系统进行开发时 system/app(系统自带APP) 目录下的 app 可以直接访问 dev 目录下的设备节点Android 5.0 以后,因为采取了 SEAndroid/SElinux 的安全机制,即使拥有 root权限,或者对某内核节点设置为 777 的权限,仍然无法在 JNI 层访问。 这里先了解一下 SEAndroid app 的分类 SELinux(或S
SeLinux详解
m0_37571604的博客
07-23 591
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinuxAndroid可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
Android获取前台进程技术方案
张兴华的技术博客
03-16 3477
Andoid系统从Android5.0开始对获取前台进程接口进行相关限制。本文为对突破Android接口限制进行的一系列研究的总结。目前所有获取前台进程的接口有如下7种方式: 接下来将对每一种方案进行详细的阐述。 1.   通过RunningTask 1.1.  实现原理 当一个App处于前台的时候,会处于RunningTask的这个栈的栈顶,所以我们可以取出Run
Android 5.1 - 7.1 系统(framework)定制、修改、移植、总结 - 上篇
热门推荐
gjy_it的博客
06-20 3万+
1:修改开机logo 修改开机logo有两种方法,一种直接去改c语言代码,第二种替换图片用python生成splash。第一种方法我没试过,感觉挺麻烦的,还有分辨率限制,超过多少分辨率就不能用第一种方法。 修改的文件路径LINUX/android/bootable/bootloader/lk/splash 准备好logo图片(png、bmp格式) 查看中原图片的分辨率,修改logo图片 保...
GDB调试Android代码——环境搭建及调试过程
朱小南的博客
07-27 1万+
网上看了好多关于GDB调试android本地代码的,但是都是直接上手,对于一点都不懂的我,真是难办,所以本人根据个人经历,总结下怎么从小白一步一步进行调试。 调试环境: 调试平台:ubuntu14.04LTS 目标手机:Android6.0虚拟机 X86架构 软件环境:android-ndk-r10b搭配adt-bundle 然后准备gdb和gdbserver,远程调试需要在
RK3326 Android8.1内置第三方apk 到/system/app、/system/priv-app、/data/app
开发界里的一股清流
07-24 8329
基本步骤 新建文件夹(与安装包名字一致) (1)文件内容:APK安装包 (2)文件内容:Android.mk 在Android 源码编译时必定执行的Makefile里添加自己的APK名字 PRODUCT_PACKAGES += \ SouGouInput 可以参考Android源码下APK的目录结构 Android.mk(以搜狗...
Android8.1内置第三方apk /system/app
kaijiehui
11-21 5843
没有代码的情况下内置第三方apk有两种方式: 我使用的是aosp 8.1源码 刷的pixel xl  第一种是在android-8.1.0_r15/vendor/qcom/marlin/prefabrication/Android.mk 目录结构 Android.mk 是新建的,下面是mk的内容 LOCAL_PATH := $(call my-dir) include $(CLEA...
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7408
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
se 概念重复
03-30 633
http://blog.csdn.net/js_wawayu/article/details/52719817基础知识SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux一个子集。 SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设
Android R selinux 解决实例
wangubuntu的专栏
10-21 1168
问题如下,新增一个 设备 /dev/video7, 在 应用访问时 log 中 报出 avc: denied, 是 selinux 问题, 初始的 log 如下: 06-17 20:23:09.244 19650 19650 I pool-4-thread-1: type=1400 audit(0.0:530): avc: denied { read } for name="video7" dev="tmpfs" ino=224395 scontext=u:r:untrusted_app_25:s0:c5
Android 应用(7)——untrusted_app访问底层硬件
横山郡守的博客
03-25 6613
参考链接: https://blog.csdn.net/Sunxiaolin2016/article/details/91039775 https://blog.csdn.net/scottmvp/article/details/115871037 背景:用户自行开发的app需要访问底层serial port。我们开发的appSELinux(或SEAndroid)中分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名
SEAndroid 问题解决
03-30 5471
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 2188
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android framework访问内核的/sys/class/gpio/gpio8/value节点,如何加权限
05-20
Android framework 中,可以通过修改设备树文件来配置 GPIO,然后在应用程序中使用 Java Native Interface (JNI) 调用内核驱动程序来访问 GPIO。 要加权限,可以使用 AndroidSELinux 权限机制。首先,需要在设备树中为 GPIO 节点添加一个新的属性,例如“gpio-permission”。然后,在 Android 的 sepolicy 文件中为这个属性添加一个新的规则,以授权访问该节点。 以下是一个示例: 1. 修改设备树文件,在 GPIO 节点中添加新的属性: ``` gpio8 { ... gpio-permission = "myapp"; }; ``` 2. 在 sepolicy 文件中添加规则: ``` # Allow myapp to access the gpio8/value node allow myapp gpio_device:file { read write }; ``` 这将授权名为“myapp”的应用程序访问 GPIO 8 的值节点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值