SEAndroid之IPC

最新推荐文章于 2022-09-13 10:43:13 发布
最新推荐文章于 2022-09-13 10:43:13 发布
阅读量627 收藏
点赞数
文章标签: SEAndroid ipc IT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/android_squad/article/details/40745099
版权

SELinux 在系统级增加了强制访问控制,每个VFS node均在Security Server的控制之中。IPC是系统的重要功能,未经授权的使用均会给系统带来安全隐患,所以本文重点对SEAndroidIPC中安全功能进行分析,作为Android的主要通信工具socketbinder,在SEAndroid均增加了权限的控制,下面@安卓安全小分队 分别对两个进行简要的分析。

一、binder

为了增加binder的权限控制,首先在kernelpolicy中增加一个class,并且增加了几个方法,

{ "binder", { "impersonate", "call", "set_context_mgr", "transfer", "receive"} },

     Impersonate:该进程是否可以代表另一个进程使用binder

     Call:该进程是否可以调用另一个进程

     Set_context_mgr:是否可以将自己注册成Context Manager

     Transfer:是否可以传递某类型的binder引用到其他进程

     Receive:是否可以接收某类型binder引用


binder调用规则的配置有些繁琐,所以在TE中使用宏进行配置 binder_use binder_call binder_transfer binder_service。相应的功能介绍在代码里已经注释的比较清晰,如:

# binder_call(clientdomain, serverdomain)
# Allow clientdomain to perform binder IPC to serverdomain.
define(`binder_call', `
# First we receive a Binder ref to the server, then we call it.
allow $1 $2:binder { receive call };
# Receive and use open files from the server.
allow $1 $2:fd use;')

对于TE文件只需简单配置即可,例如servicemanager

    allow servicemanager self:binder set_context_mgr;

    allow servicemanager domain:binder { receive transfer };

配置表示了servicemanager可以将自己设置为context manager,并且它可以对所有domain执行receivetransfer的操作。

 

下面看一下驱动的实现流程。首先在security_ops中增加了4个操作函数

.binder_set_context_mgr = selinux_binder_set_context_mgr,
.binder_transaction =              selinux_binder_transaction,
.binder_transfer_binder = selinux_binder_transfer_binder,
.binder_transfer_file =            selinux_binder_transfer_file,


首先看一下第一个函数,其的实现原理就是去AVC中查询当前的sid是否设置了context_mgr的权限,如果未经授权,则禁止此次操作。

static int selinux_binder_set_context_mgr(struct task_struct *mgr)
{
         u32 mysid = current_sid();
         u32 mgrsid = task_sid(mgr);
         return avc_has_perm(mysid, mgrsid, SECCLASS_BINDER, BINDER__SET_CONTEXT_MGR, NULL);
}

对于transaction的控制也是类似,在binder_transaction中增加hook,用来检查本次调用的权限,其中也是同样在AVC中查询权限。

static void binder_transaction(struct binder_proc *proc,
                                 struct binder_thread *thread,
                                 struct binder_transaction_data *tr, int reply)
……
                 if (security_binder_transaction(proc->tsk, target_proc->tsk) < 0) {
                          return_error = BR_FAILED_REPLY;
                          goto err_invalid_target_handle;
                 }
……
 
static int selinux_binder_transaction(struct task_struct *from, struct task_struct *to)
{
         u32 mysid = current_sid();
         u32 fromsid = task_sid(from);
         u32 tosid = task_sid(to);
         int rc;
 
         if (mysid != fromsid) {
                 rc = avc_has_perm(mysid, fromsid, SECCLASS_BINDER, BINDER__IMPERSONATE, NULL);
                 if (rc)
                          return rc;
         }
 
         return avc_has_perm(fromsid, tosid, SECCLASS_BINDER, BINDER__CALL, NULL);
}


调用AVC进行权限查询和其他hook是一致的,基本原理如下图所示,如果cache中未能查到,就会去security server中查询policy,并且cache起来。

 



二、service sockets

普通socket的权限管理在SELinux中均已实现,所以这里主要分析在SEAndroidservice sockets的处理。Init进程在创建service附属socket的同时,根据file_contexts查询当前socket的权限,并将信息加入到socketsecurity context中,启动后的权限如下所示:

srw------- system   system            u:object_r:installd_socket:s0 installd
srw-rw-rw- root     root              u:object_r:keystore_socket:s0 keystore
srw-rw---- root     system            u:object_r:netd_socket:s0 netd
srw-rw-rw- root     root              u:object_r:property_socket:s0 property_service
srw-rw---- root     radio             u:object_r:rild_socket:s0 rild
……


关于socket使用权限的配置可以简单的使用两个宏定义unix_socket_connectunix_socket_send,他们分别对应着TCPUDP类型的socket访问。

# unix_socket_connect(clientdomain, socket, serverdomain)
# Allow a local socket connection from clientdomain via
# socket to serverdomain.
define(`unix_socket_connect', `
allow $1 $2_socket:sock_file write;
allow $1 $3:unix_stream_socket connectto;
')

对于规则的配置只需如下,他表示了adbd domainsubject可以通过vold_socket类型的socket访问volddomain

unix_socket_connect(adbd, vold, vold)
有什么分析不妥的地方欢迎围观、拍砖!

鲶鱼团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20cn扫描之IPC扫描
07-07
20cn扫描之IPC扫描 v1.1.7z
Binder中的SEAndroid控制
内核工匠
07-29 934
前言Binder 也即Android独有的进程间通信方式,在 Android 系统中无处不在。区别于共享内存、socket、管道等其他进程间通信的手段,Binder 的实现较为独特。从本质上讲,Binder 是借由对/dev/binder 的一系列操作实现的,在内核中作为驱动存在,当然其权限控制可以正常借由Linux的安全模块实现。同时,由于所有系统服务都需要在Servi...
SEAndroid安全机制对Binder IPC的保护分析
810364804
08-11 287
SEAndroid安全机制中,除了文件和属性,还有Binder IPC需要保护。Binder IPCAndroid系统的灵魂,使用得相当广泛又频繁。例如,应用程序都是Binder IPC请求访问系统服务和资源。因此,SEAndroid安全机制必须要为Binder IPC保驾护航,阻止一个进程非法访问其它进程的服务和资源。本文就详细分析SEAndroid安全机制对Binder IP...
Android安全策略SELinux
qq_27672101的博客
08-01 9523
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
[Android L]SEAndroid增强Androd安全性背景概要及带来的影响
好久不见
07-04 5657
Android [Android L] SEAndroid增强Androd安全性背景概要及带来的影响 Android是建立在标准的Linux Kernel 基础上, 自然也可以开启SELinux, 通常在通用移动平台上, 很少开启这样的安全服务, Google 为了进一步增强Android 的安全性, 经过长期的准备,目前已经在Android 5.0(L) 上完整的开启SELinux, 并对SELinux 进行深入整合形成了SEAndroid.
IPC方式之Socket
09-14
IPC方式之Socket,demo根据《Android开发艺术探索》模仿的,简单直接,容易上手,值得下载看看
IPC方式之ContentProvider
09-14
IPC方式之ContentProvider,根据《Android开发艺术探索》自己模仿的例子,简单实用,一目了然。
IPC方式之aidl
09-06
IPC方式之aidl,自己根据任大神的例子,自己单独写了一个,值得好好学习
android ipc之AIDL
01-25
android ipc之AIDL通讯客户端程序源代码,跨应用跨进程通讯示例,与前面的客户端资源程序相对于,可供参考
android Binder安全性、Unix Socket安全性研究
键盘的起始页
09-13 1110
风险点: Binder 的服务任何 应用都可以bindService,或者提供类似的Binder服务(第三方应用可以做成和Binder 服务相同包名)安全建议:① 、需要确保 AIDL应用优先安装/预制(不要OTA后下载);②、Binder 里 可以获取 Binder.getCallingPid(),然后通过pid获取应用包名、签名来 对调用方的来源进项验证 (高版本普通应用 未必能通过pid获取包名,系统应用除外);③、Binder接口里增加鉴权参数(需要自行设计)
Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
weixin_39524574的博客
05-10 126
原标题:Linux强制访问控制机制模块详细描述(1)2 详细分析2.1模块功能描述对于SELinux中实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/selinux/ss/mls.c、security/selinux/ss/context.h及security/selinux/ss/mls_types.h中,对于这些操作下面会进行详细介绍,这里不再赘述。2...
SEAndroid kernel 源码解析2--策略执行
MrHare的博客
05-08 926
SEAndroid kernel 源码解析——策略执行
SEAndroid策略
移动编程
05-21 580
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
AndroidP SEAndroid 项目实战
android
09-08 1077
SEAndroid 项目实战1、介绍2、如何配置2.1、sepolicy的来源 1、介绍 首先什么是 SEAndroid,我们都知道 Android 是基于 linux系统搭建的,而 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强 制访问控制的实现,是 Linux 历史上最杰出的新安全子系统,SEAndroid 也是基于 SELinux 从 Android 4.4平台之后加入到 Android 系统的, SEAndroidSELinux的基础上添加了
Android-SEAndroid权限问题指南
热门推荐
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
linux 对象管理器,Linux多安全策略和动态安全策略框架模块详细分析之函数实现机制中文件对象管理器分析(3)...
weixin_36327991的博客
05-12 439
3.决策的实施当主体对客体进行访问时,客体管理器会收集主体和客体的SID,并根据此SID对在AVC中进行查找:如果找到,则根据相应的安全决策进行处理;反之客体管理器会将主体的SID、客体的SID以及客体的类型传递给安全服务器,安全服务器会根据这些数据及相应的安全策略来计算访问向量,并将计算结果返回给客体管理器,同时将该结果存放到AVC。本节主要以文件系统为例说明文件访问时决策的检索过程,文件操作分...
SEAndroid kernel层源码解析1——从hook点到策略点
MrHare的博客
05-05 1273
SEAndroid 利用LSM模块实施MAC访问控制,LSM模块在内核中设置很多的hook点,对资源的访问会重定向到SElinux的函数策略执行函数,以create_socket为例,利用源码,分析从hook点到策略点的流程
Linux安全体系的文件权限管理
neverforgetZYP的专栏
10-09 6463
<br /><br />自主访问机制(Discretionary Access Control,DAC) 指对象(比如程序、文件或进程等)的的拥有者可以任意的修改或授予此对象相应的权限。Linux的UGO(User、Group、Other)和ACL(Access Control List,访问控制列表)权限管理方式就是典型的自主访问机制。<br />Linux支持UGO和ACL权限管理方式,UGO将权限位信息存储在节点的权限中,ACL将权限位信息存储在节点的扩展属性中。不同的文件系统权限位的存储和处理方式不
ipc notify
最新发布
03-28
IPC Notify是一种进程间通信(IPC)机制,用于在不同的进程之间传递通知和消息。它是Linux操作系统中的一种通信方式,通过文件描述符实现。 IPC Notify的基本原理是,一个进程创建一个通知对象(notification ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值