[Android L]SEAndroid增强Androd安全性背景概要及带来的影响

最新推荐文章于 2022-07-29 17:50:59 发布
最新推荐文章于 2022-07-29 17:50:59 发布
阅读量359 收藏
点赞数
分类专栏: Android相关

目录(?)[+]

1  SEAndroid背景
      Android对于操作系统安全性方面的增强一直沿用Linux内核所提供的MAC强制访问控制套件SELinux,对权限进行了更为深度的管理,有效地控制着进程对资源的访问。2012年才问世的SE Android将SELinux移植到Android平台上,以降低恶意应用程序攻击带来的损害,提供Android系统的防御能力。
     SE Android(Secutity-Enhanced Android)是Android与SE Linux的结合,由美国NSA在2012年推出的Android操作系统的安全强化套件,以支持在Android平台上使用SE Linux。SE Android 将原来应用在Linux操作系统上的MAC强制访问控制套件SELinux移植到Android平台上,其目的在于降低恶意应用程序攻击带来的损害。然而SE Android的范畴并不局限于SELinux,它通过强化Android操作系统对应用程序的访问控制,增强应用程序之间的隔离效果,确保每个应用程序之间的独立运作,建立类似于沙盒的隔离效果,从而阻止恶意应用程序对系统或其他应用程序的攻击。
      Android是建立在标准的Linux Kernel 基础上, 自然也可以开启SELinux, 通常在通用移动平台上, 很少开启这样的安全服务, Google 为了进一步增强Android 的安全性, 经过长期的准备,目前已经在Android 5.0(L) 上完整的开启SELinux, 并对SELinux 进行深入整合形成了SEAndroid.

【声明】欢迎转载,但请保留文章原始出处:http://blog.csdn.net/yelangjueqi/article/details/46756341

2 SEAndroid安全策略概述
     SE Android的策略源码位置在external/sepolicy,其中包含用来生成SELinux内核策略文件的源代码。以下是Android 5.1的策略文件结构树:
external/sepolicy
 |.
├── access_vectors
├── adbd.te
├── Android.mk
├── app.te
├── attributes
├── binderservicedomain.te
├── bluetooth.te
├── bootanim.te
├── clatd.te
├── debuggerd.te
├── device.te
├── dex2oat.te
├── dhcp.te
├── dnsmasq.te
├── domain.te
├── drmserver.te
├── dumpstate.te
├── file_contexts
├── file.te
├── fs_use
├── genfs_contexts
├── global_macros
├── gpsd.te
├── hci_attach.te
├── healthd.te
├── hostapd.te
├── initial_sid_contexts
├── initial_sids
├── init_shell.te
├── init.te
├── inputflinger.te
├── installd.te
├── install_recovery.te
├── isolated_app.te
├── kernel.te
├── keys.conf
├── keystore.te
├── lmkd.te
├── logd.te
├── mac_permissions.xml
├── mdnsd.te
├── mediaserver.te
├── mls
├── mls_macros
├── mtp.te
├── netd.te
├── net.te
├── nfc.te
├── NOTICE
├── platform_app.te
├── policy_capabilities
├── port_contexts
├── ppp.te
├── property_contexts
├── property.te
├── racoon.te
├── radio.te
├── README
├── recovery.te
├── rild.te
├── roles
├── runas.te
├── sdcardd.te
├── seapp_contexts
├── security_classes
├── selinux-network.sh
├── service_contexts
├── servicemanager.te
├── service.te
├── shared_relro.te
├── shell.te
├── surfaceflinger.te
├── su.te
├── system_app.te
├── system_server.te
├── tee.te
├── te_macros
├── tools
│   ├── Android.mk
│   ├── checkfc.c
│   ├── check_seapp.c
│   ├── insertkeys.py
│   ├── post_process_mac_perms
│   ├── README
│   ├── sepolicy-analyze
│   │   ├── Android.mk
│   │   ├── dups.c
│   │   ├── dups.h
│   │   ├── neverallow.c
│   │   ├── neverallow.h
│   │   ├── perm.c
│   │   ├── perm.h
│   │   ├── README
│   │   ├── sepolicy-analyze.c
│   │   ├── typecmp.c
│   │   ├── typecmp.h
│   │   ├── utils.c
│   │   └── utils.h
│   └── sepolicy-check.c
├── ueventd.te
├── unconfined.te
├── uncrypt.te
├── untrusted_app.te
├── users
├── vdc.te
├── vold.te
├── watchdogd.te
├── wpa.te
└── zygote.te

SELinux内核策略文件包含file_contexts配置文件、genfs_contexts配置文件、property_contexts配置文件、seapp_contexts配置文件和mac_permissions.xml配置文件,SE Android项目的开发人员仍然在对Android系统安全进行深入的研究,因此这些策略配置也处在随时变化中。其中genfs_contexts配置文件、property_contexts配置文件和seapp_contexts配置文件是专门为SE Android系统创建的,因此不属于传统SELinux策略
     这些策略文件是在Android系统编译过程中产生并且被添加到ramdisk镜像当中,因此可以保证这些策略在系统启动的初期,映射系统分区之前,最先被加载。一旦数据分区被加载后,可以将策略文件放置在/data/system目录下并且将selinux.reload_policy属性置为1(使用setprop selinux.reload_policy 1 命令),之后重新加载/data/system目录下的策略文件,这种设置将会触发系统的init进程重新加载策略,同时重新启动ueventd和installd进程以保证它们可以重新加载与这两个服务相关的策略。需要注意的是,对于内核策略,需要在主机的编译环境中,重新编译sepolicy(make policy),并且更新到/data/system中,如果希望每次设备启动时都会自动加载/data/system下的策略文件,需要将setprop命令添加到init.rc(system/core/rootdir/init.rc)中。

2.1 seapp_contexts配置文件
Android L(5.1) seapp_contexts文件内容
[plain]  view plain  copy
  1. <span style="font-size:18px;"># Input selectors:  
  2. #     isSystemServer (boolean)  
  3. #     user (string)  
  4. #     seinfo (string)  
  5. #     name (string)  
  6. #     path (string)  
  7. #     sebool (string)  
  8. # isSystemServer=true can only be used once.  
  9. # An unspecified isSystemServer defaults to false.  
  10. # An unspecified string selector will match any value.  
  11. # A user string selector that ends in * will perform a prefix match.  
  12. # user=_app will match any regular app UID.  
  13. # user=_isolated will match any isolated service UID.  
  14. # All specified input selectors in an entry must match (i.e. logical AND).  
  15. # Matching is case-insensitive.  
  16. #  
  17. # Precedence rules:  
  18. #        (1) isSystemServer=true before isSystemServer=false.  
  19. #       (2) Specified user= string before unspecified user= string.  
  20. #       (3) Fixed user= string before user= prefix (i.e. ending in *).  
  21. #       (4) Longer user= prefix before shorter user= prefix.  
  22. #       (5) Specified seinfo= string before unspecified seinfo= string.  
  23. #       (6) Specified name= string before unspecified name= string.  
  24. #       (7) Specified path= string before unspecified path= string.  
  25. #       (8) Specified sebool= string before unspecified sebool= string.  
  26. #  
  27. # Outputs:  
  28. #     domain (string)  
  29. #     type (string)  
  30. #     levelFrom (string; one of none, all, app, or user)  
  31. #     level (string)  
  32. # Only entries that specify domain= will be used for app process labeling.  
  33. # Only entries that specify type= will be used for app directory labeling.  
  34. # levelFrom=user is only supported for _app or _isolated UIDs.  
  35. # levelFrom=app or levelFrom=all is only supported for _app UIDs.  
  36. # level may be used to specify a fixed level for any UID.  
  37. #  
  38. isSystemServer=true domain=system_server  
  39. user=system domain=system_app type=system_app_data_file  
  40. user=bluetooth domain=bluetooth type=bluetooth_data_file  
  41. user=nfc domain=nfc type=nfc_data_file  
  42. user=radio domain=radio type=radio_data_file  
  43. user=shared_relro domain=shared_relro  
  44. user=shell domain=shell type=shell_data_file  
  45. user=_isolated domain=isolated_app  
  46. user=_app seinfo=platform domain=platform_app type=app_data_file  
  47. user=_app domain=untrusted_app type=app_data_file  
  48. #user=_app seinfo=lenovoapp domain=platform_app type=app_data_file  
  49. user=_app seinfo=lenovordvr domain=platform_app type=app_data_file  
  50. user=_app seinfo=lenovordvm domain=platform_app type=app_data_file  
  51. user=_app seinfo=lenovordvs domain=platform_app type=app_data_file  
  52. user=_app seinfo=lenovordvp domain=platform_app type=app_data_file  
  53. user=_app seinfo=lenovopadr domain=platform_app type=app_data_file  
  54. user=_app seinfo=lenovopadm domain=platform_app type=app_data_file  
  55. user=_app seinfo=lenovopads domain=platform_app type=app_data_file  
  56. user=_app seinfo=lenovopadp domain=platform_app type=app_data_file</span>  
seapp_contexts文件用来标记应用程序的进程和应用程序包所在的目录。该文件的源位置在external/sepolicy目录下,下面是可以再其中设置的选项(输入)
1).isSystemServer :布尔值,匹配系统级服务程序,在文件中只能被定义为真(true)一次,默认值为假(false)
2).user:字符串,匹配应用程序的用户,若为空或没有定义为任意用户,以*结尾的字符串将进行前缀匹配。user=_app将匹配任何一般应用UID,user=_isolated将匹配任意被隔离的服务UID
3).seinfo:字符串,匹配SELinux控制类型
4).name:字符串,匹配应用名称,如com.android.deskclock
5).sebool:字符串,匹配布尔值,该字符串定义的布尔值为真时匹配

SELinux会通过该定义文件为匹配的应用程序找到对应的结果(输出)
1).domain:字符串,程序所属于域
2).type:字符串,程序所属类型
3).levelFromUid:布尔值,是否根据UID设置程序级别,当前只针对应用程序的UID。
4).level:字符串,应用程序的级别

根据这个结果,SELinux会为应用程序进程以及目录分配相应的权限。

2.2 property_contexts配置文件
Android L(5.1)property_contexts文件内容
[plain]  view plain  copy
  1. <span style="font-size:18px;">##########################  
  2. # property service keys  
  3. #  
  4. #  
  5. net.rmnet               u:object_r:net_radio_prop:s0  
  6. net.gprs                u:object_r:net_radio_prop:s0  
  7. net.ppp                 u:object_r:net_radio_prop:s0  
  8. net.qmi                 u:object_r:net_radio_prop:s0  
  9. net.lte                 u:object_r:net_radio_prop:s0  
  10. net.cdma                u:object_r:net_radio_prop:s0  
  11. net.dns                 u:object_r:net_radio_prop:s0  
  12. sys.usb.config          u:object_r:system_radio_prop:s0  
  13. ril.                    u:object_r:radio_prop:s0  
  14. gsm.                    u:object_r:radio_prop:s0  
  15. persist.radio           u:object_r:radio_prop:s0  
  16.   
  17. net.                    u:object_r:system_prop:s0  
  18. dev.                    u:object_r:system_prop:s0  
  19. runtime.                u:object_r:system_prop:s0  
  20. hw.                     u:object_r:system_prop:s0  
  21. sys.                    u:object_r:system_prop:s0  
  22. sys.powerctl            u:object_r:powerctl_prop:s0  
  23. service.                u:object_r:system_prop:s0  
  24. wlan.                   u:object_r:system_prop:s0  
  25. dhcp.                   u:object_r:dhcp_prop:s0  
  26. dhcp.bt-pan.result      u:object_r:pan_result_prop:s0  
  27. bluetooth.              u:object_r:bluetooth_prop:s0  
  28.   
  29. debug.                  u:object_r:debug_prop:s0  
  30. debug.db.               u:object_r:debuggerd_prop:s0  
  31. log.                    u:object_r:shell_prop:s0  
  32. service.adb.root        u:object_r:shell_prop:s0  
  33. service.adb.tcp.port    u:object_r:shell_prop:s0  
  34.   
  35. persist.audio.          u:object_r:audio_prop:s0  
  36. persist.logd.           u:object_r:logd_prop:s0  
  37. persist.sys.            u:object_r:system_prop:s0  
  38. persist.service.        u:object_r:system_prop:s0  
  39. persist.service.bdroid. u:object_r:bluetooth_prop:s0  
  40. persist.security.       u:object_r:system_prop:s0  
  41.   
  42. # selinux non-persistent properties  
  43. selinux.                u:object_r:security_prop:s0  
  44.   
  45. # default property context  
  46. *                       u:object_r:default_prop:s0  
  47.   
  48. # data partition encryption properties  
  49. vold.                   u:object_r:vold_prop:s0  
  50. crypto.                 u:object_r:vold_prop:s0  
  51.   
  52. # ro.build.fingerprint is either set in /system/build.prop, or is  
  53. # set at runtime by system_server.  
  54. build.fingerprint       u:object_r:fingerprint_prop:s0  
  55.   
  56. # ctl properties  
  57. ctl.bootanim            u:object_r:ctl_bootanim_prop:s0  
  58. ctl.dumpstate           u:object_r:ctl_dumpstate_prop:s0  
  59. ctl.fuse_               u:object_r:ctl_fuse_prop:s0  
  60. ctl.mdnsd               u:object_r:ctl_mdnsd_prop:s0  
  61. ctl.ril-daemon          u:object_r:ctl_rildaemon_prop:s0  
  62. ctl.bugreport           u:object_r:ctl_bugreport_prop:s0  
  63. ctl.dhcpcd_bt-pan       u:object_r:ctl_dhcp_pan_prop:s0  
  64. ctl.                    u:object_r:ctl_default_prop:s0  
  65.   
  66. # NFC properties  
  67. nfc.                    u:object_r:nfc_prop:s0  
  68. # DOLBY_START  
  69. dolby.audio             u:object_r:audio_prop:s0  
  70. dolby.                  u:object_r:system_prop:s0  
  71. # DOLBY_END</span>  
      property_contexts配置文件为权限检查定义了Android系统各属性间的安全关联。该文件为系统中的每一种服务类型定义了不同的属性,包括用户(user)、角色(role)、属性(property)和级别(level)。一种应用程序在调用某一服务资源时,系统将会根据这些属性检查是否有权限使用这些资源。
     以下是目前各项属性可用的值。
     1) 用户:u,系统默认,唯一值
     2) 角色:object_r ,系统默认,唯一值
     3) 属性:默认属性是default_prop,其他属性分别是:见上,如net_radio_prop、system_radio_prop、shell_prop ...
     4) 级别:s0 ,系统默认,唯一值

3 SELinux在Android上的更新过程
如下图所描述:

SELinux 在Android 的更新过程
1) KK 4.4 针对netd, installd, zygote, vold 四个原本具有root 权限的process, 以及它们fork 出的子进程启用Enforce 模式.
2) L 版本普遍性开启SELinux Enforce mode.
3) Permissive 模式,只打印audit 异常LOG,不拒绝请求, Enforce 模式,即打印audit 异常LOG, 也拒绝请求

4 SELinux给Android带来了哪些影响
   1) 严格限制了ROOT 权限, 以往ROOT "无法无天" 的情况将得到极大的改善.
   2) 通过SELinux保护, 降低系统关键进程受攻击的风险, 普通进程将没有权限直接连接到系统关键进程.
   3) 进一步强化APP的沙箱机制, 确保APP难以做出异常行为或者攻击行为.
   4) 将改变APP一旦安装, 权限就已经顶死的历史, APP权限动态调整将成为可能.

 参考文献
1) Android安全机制解析与应用实践(吴倩/赵晨啸)
2) MTK-SELinux问题快速分析
拿破仑的海阔天空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android studio的概要介绍与分析
06-14
Android Studio是Google官方推出的针对Android平台应用开发的集成开发环境(IDE),基于IntelliJ IDEA平台构建,提供了强大的代码编辑、调试、性能分析、版本控制等功能,是Android应用开发者的首选工具。...
Android Studio 的概要介绍与分析
最新发布
05-11
Android Studio 是一款专为 Android 开发者设计的集成开发环境(IDE)。这款工具由 Google 基于 IntelliJ IDEA 开发,提供了丰富的功能和强大的性能,让开发者能够更高效、更便捷地构建出优质的 Android 应用。 在 ...
浅谈Android应用保护(零):出发点和背景
weixin_33709364的博客
04-12 70
近几年来,无线平台特别是Android平台的安全逐渐成为各厂商关注的重点。各种新的思路和玩法层出不穷。所以,笔者基于前一段时间的学习和整理,写了这系列关于Android应用安全和保护的文章。这5篇文章主要关注客户端代码和数据的保护,介绍了几种针对Android应用的逆向分析、攻击和防护的方法。内容比较浅显,适合没有Android安全研究背...
Android的安全体系
我的嵌入式人生
06-26 2245
https://source.android.com/tech/security/1. 背景2. 系统和内核层的安全性3. 应用程序的安全性 1. 背景Android为移动设备提供了一套开源平台和开发环境。其主要的平台编译模块是:设备硬件:Android运行于手机和平板等广泛不同的硬件上,处理器各不相同,但确实可以利用一些特定硬件相关的安全能力,比如ARM v6 eXecute-Never.操作系...
浅谈android相关背景
try
09-12 458
随着移动终端的盛行,android和ios两者,我个人觉得:相对于定制机我更倾向于android,可以更加个性化,ios不是适合定制。 第一代模拟制式手机 第二代GSM、TDMA等数字手机 第三代(外语全称the 3 Generation)3G手机 2009年1月7日,工业和信息化部为中国移动、中国电信和中国联通发放3张第三代移动通信(3G)牌照,此举标志着中国正式进入3G
Android背景相关与系统架构分析
501846585_QQAndroid_java
07-29 149
1.Android背景与当前的状况 [感谢coder-pig] Android系统是由Andy Rubin创建的,后来被Google收购了;最早的版本是:Android 1.1版本而现在最新的版本是今年5.28,Google I/O大会上推出的Android M,有趣的是Android系统的命名都是以点心来命名的,下述表是15个Android版本名称,对应API号以及发布时间!
基于android手机导览系统概要设计说明书.doc
05-27
基于android手机导览系统概要设计说明书.doc
android模仿手机360安全卫士的概要设计.pdf
11-25
综上所述,这个概要设计涵盖了从项目背景、系统架构到具体功能实现的全面规划,为开发一款具备360安全卫士类似功能的Android应用提供了清晰的蓝图。通过深入理解和实施这些设计,开发者可以构建出一个强大的手机安全...
Binder中的SEAndroid控制
内核工匠
07-29 996
前言Binder 也即Android独有的进程间通信方式,在 Android 系统中无处不在。区别于共享内存、socket、管道等其他进程间通信的手段,Binder 的实现较为独特。从本质上讲,Binder 是借由对/dev/binder 的一系列操作实现的,在内核中作为驱动存在,当然其权限控制可以正常借由Linux的安全模块实现。同时,由于所有系统服务都需要在Servi...
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6548
avc: denied SELinux权限问题解决
Android 应用(7)——untrusted_app访问底层硬件
横山郡守的博客
03-25 6284
参考链接: https://blog.csdn.net/Sunxiaolin2016/article/details/91039775 https://blog.csdn.net/scottmvp/article/details/115871037 背景:用户自行开发的app需要访问底层serial port。我们开发的app在SELinux(或SEAndroid)中分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 2887
当APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
Android-SEAndroid权限问题指南
热门推荐
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1808
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
SEandroid是如何使用max_permissions.xml seapp_contexts的?
小明的专栏
09-04 2658
external/sepolicy/mac_permissions.xml 是原始的文件,通过insertkeys.py  external/sepolicy/keys.conf    得到最终的mac_permissions.xml 。 out/host/linux-x86/bin/insertkeys.py -t eng -c /home/public/workspace/seandroid
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9305
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android L代码编译及版本下载说明-V1.0
04-15
- **AndroidL编译环境**:针对Android L的具体编译配置,可能涉及SDK、NDK和AOSP(Android Open Source Project)的集成。 2. **服务器版系统说明**:文档还可能包含了针对服务器部署环境的特殊说明,比如针对性能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值