转Android 安全攻防(三): SEAndroid Zygote执行用户态许可检查控制

最新推荐文章于 2024-02-28 16:41:44 发布
最新推荐文章于 2024-02-28 16:41:44 发布
阅读量960 收藏 3
点赞数
分类专栏: seandroid

Android 安全攻防(三): SEAndroid Zygote


转自:http://blog.csdn.net/yiyaaixuexi/article/details/8495695


在Android系统中,所有的应用程序进程,以及系统服务进程SystemServer都是由Zygote孕育fork出来的。 Zygote的native获取主要研究dalvik/vm/native/dalvik_system_Zygote.cpp,SEAndroid管控应用程序资源存取权限,对于整个dalvik,也正是在此动的手脚。


首先看抛出的DalvikNativeMethoddvm_dalvik_system_Zygote,与原生Android相比,SEAndroid 在 nativeForkAndSpecialize 增加传入了两个String类型的参数:

[cpp] view plain copy print ?
  1. const DalvikNativeMethod dvm_dalvik_system_Zygote[] = { 
  2.     {"nativeFork", "()I"
  3.         Dalvik_dalvik_system_Zygote_fork }, 
  4.     { "nativeForkAndSpecialize", "(II[II[[ILjava/lang/String;Ljava/lang/String;)I"
  5.         Dalvik_dalvik_system_Zygote_forkAndSpecialize }, 
  6.     { "nativeForkSystemServer", "(II[II[[IJJ)I"
  7.         Dalvik_dalvik_system_Zygote_forkSystemServer }, 
  8.     { "nativeExecShell", "(Ljava/lang/String;)V"
  9.         Dalvik_dalvik_system_Zygote_execShell }, 
  10.     { NULL, NULL, NULL },  
const DalvikNativeMethod dvm_dalvik_system_Zygote[] = {
    {"nativeFork", "()I",
        Dalvik_dalvik_system_Zygote_fork },
    { "nativeForkAndSpecialize", "(II[II[[ILjava/lang/String;Ljava/lang/String;)I",
        Dalvik_dalvik_system_Zygote_forkAndSpecialize },
    { "nativeForkSystemServer", "(II[II[[IJJ)I",
        Dalvik_dalvik_system_Zygote_forkSystemServer },
    { "nativeExecShell", "(Ljava/lang/String;)V",
        Dalvik_dalvik_system_Zygote_execShell },
    { NULL, NULL, NULL },
}

那么这两个参数是什么呢?继续追一下 forkAndSpecialize。

[cpp] view plain copy print ?
  1. /* native public static int forkAndSpecialize(int uid, int gid,
  2. * int[] gids, int debugFlags, String seInfo, String niceName);
  3. */ 
  4. static void Dalvik_dalvik_system_Zygote_forkAndSpecialize(const u4* args, 
  5. JValue* pResult) 
  7.     pid_t pid; 
  8.  
  9.     pid = forkAndSpecializeCommon(args, false); 
  10.  
  11.     RETURN_INT(pid);  
/* native public static int forkAndSpecialize(int uid, int gid,
* int[] gids, int debugFlags, String seInfo, String niceName);
*/
static void Dalvik_dalvik_system_Zygote_forkAndSpecialize(const u4* args,
JValue* pResult)
{
    pid_t pid;

    pid = forkAndSpecializeCommon(args, false);

    RETURN_INT(pid);
}

可以看到,增加传入的2个参数一个是seInfo,用于定义新进程的SEAndroid信息,一个是niceName,用于定义新进程名。

在static pid_t forkAndSpecializeCommon(const u4* args, bool isSystemServer)中,其中SEAndroid加入了设置SELinux安全上下文代码段,seInfo和niceName:

[cpp] view plain copy print ?
  1. #ifdef HAVE_SELINUX 
  2.     err = setSELinuxContext(uid, isSystemServer, seInfo, niceName); 
  3.     if (err < 0) { 
  4.         LOGE("cannot set SELinux context: %s\n", strerror(errno)); 
  5.         dvmAbort(); 
  6.     } 
  7.     free(seInfo); 
  8.     free(niceName); 
  9. #endif  
#ifdef HAVE_SELINUX
    err = setSELinuxContext(uid, isSystemServer, seInfo, niceName);
    if (err < 0) {
        LOGE("cannot set SELinux context: %s\n", strerror(errno));
        dvmAbort();
    }
    free(seInfo);
    free(niceName);
#endif

其中设置SELinux安全上下文方法实现:

[cpp] view plain copy print ?
  1. #ifdef HAVE_SELINUX 
  2. /*
  3. * Set SELinux security context.
  4. *
  5. * Returns 0 on success, -1 on failure.
  6. */ 
  7. static int setSELinuxContext(uid_t uid,bool isSystemServer, 
  8. const char *seInfo,constchar *niceName) 
  10. #ifdef HAVE_ANDROID_OS 
  11.     return selinux_android_setcontext(uid, isSystemServer, seInfo, niceName); 
  12. #else 
  13.     return 0; 
  14. #endif 
  16. #endif  
#ifdef HAVE_SELINUX
/*
* Set SELinux security context.
*
* Returns 0 on success, -1 on failure.
*/
static int setSELinuxContext(uid_t uid, bool isSystemServer,
const char *seInfo, const char *niceName)
{
#ifdef HAVE_ANDROID_OS
    return selinux_android_setcontext(uid, isSystemServer, seInfo, niceName);
#else
    return 0;
#endif
}
#endif


再往上一层就到了libcore/dalvik/src/main/java/dalvik/system/Zygote.java ,Zygote类的封装,对应forkAndSpecialize方法中添加seInfo和niceName参数传递。

[java] view plain copy print ?
  1. public class Zygote { 
  2. ... 
  3.     public staticint forkAndSpecialize(int uid,int gid, int[] gids, 
  4.             int debugFlags, int[][] rlimits, String seInfo, String niceName) { 
  5.         preFork(); 
  6.         int pid = nativeForkAndSpecialize(uid, gid, gids, debugFlags, rlimits, seInfo, niceName); 
  7.         postFork(); 
  8.         return pid; 
  9.     } 
  10.  
  11.  
  12.     native publicstaticint nativeForkAndSpecialize(int uid,int gid, 
  13.             int[] gids, int debugFlags, int[][] rlimits, String seInfo, String niceName); 
  14.  
  15.  
  16.     /**
  17.      * Forks a new VM instance.
  18.      * @deprecated use {@link Zygote#forkAndSpecialize(int, int, int[], int, int[][])}
  19.      */ 
  20.     @Deprecated 
  21.     public staticint forkAndSpecialize(int uid,int gid, int[] gids, 
  22.             boolean enableDebugger, int[][] rlimits) { 
  23.         int debugFlags = enableDebugger ? DEBUG_ENABLE_DEBUGGER :0
  24.         return forkAndSpecialize(uid, gid, gids, debugFlags, rlimits,null,null); 
  25.     } 
  26. ...  
public class Zygote {
...
    public static int forkAndSpecialize(int uid, int gid, int[] gids,
            int debugFlags, int[][] rlimits, String seInfo, String niceName) {
        preFork();
        int pid = nativeForkAndSpecialize(uid, gid, gids, debugFlags, rlimits, seInfo, niceName);
        postFork();
        return pid;
    }


    native public static int nativeForkAndSpecialize(int uid, int gid,
            int[] gids, int debugFlags, int[][] rlimits, String seInfo, String niceName);


    /**
     * Forks a new VM instance.
     * @deprecated use {@link Zygote#forkAndSpecialize(int, int, int[], int, int[][])}
     */
    @Deprecated
    public static int forkAndSpecialize(int uid, int gid, int[] gids,
            boolean enableDebugger, int[][] rlimits) {
        int debugFlags = enableDebugger ? DEBUG_ENABLE_DEBUGGER : 0;
        return forkAndSpecialize(uid, gid, gids, debugFlags, rlimits, null, null);
    }
...
}


Android应用程序启动流程不再赘述,当建立了ZygoteConnection对象用于socket连接后,接下来就是调用ZygoteConnection.runOnce函数进一步处理了。

源码位置:frameworks/base/core/java/com/android/internal/os/ZygoteConnection.java,其中,SEAndroid增加zygote安全策略函数,在runOnce中调用。

[java] view plain copy print ?
  1. /**
  2.     * Applies zygote security policy.
  3.     * Based on the credentials of the process issuing a zygote command:
  4.     * <ol>
  5.     * <li> uid 0 (root) may specify --invoke-with to launch Zygote with a
  6.     * wrapper command.
  7.     * <li> Any other uid may not specify any invoke-with argument.
  8.     * </ul>
  9.     *
  10.     * @param args non-null; zygote spawner arguments
  11.     * @param peer non-null; peer credentials
  12.     * @throws ZygoteSecurityException
  13.     */ 
  14.    private staticvoid applyInvokeWithSecurityPolicy(Arguments args, Credentials peer, 
  15.            String peerSecurityContext) 
  16.            throws ZygoteSecurityException { 
  17.        int peerUid = peer.getUid(); 
  18.  
  19.        if (args.invokeWith !=null && peerUid !=0) { 
  20.            throw new ZygoteSecurityException("Peer is not permitted to specify " 
  21.                    + "an explicit invoke-with wrapper command"); 
  22.        } 
  23.  
  24.        if (args.invokeWith != null) { 
  25.            boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext, 
  26.                                                         peerSecurityContext, 
  27.                                                         "zygote"
  28.                                                         "specifyinvokewith"); 
  29.            if (!allowed) { 
  30.                throw new ZygoteSecurityException("Peer is not permitted to specify " 
  31.                    + "an explicit invoke-with wrapper command"); 
  32.            } 
  33.        } 
  34.    } 
  35.  
  36.    /**
  37.     * Applies zygote security policy for SEAndroid information.
  38.     *
  39.     * @param args non-null; zygote spawner arguments
  40.     * @param peer non-null; peer credentials
  41.     * @throws ZygoteSecurityException
  42.     */ 
  43.    private staticvoid applyseInfoSecurityPolicy( 
  44.            Arguments args, Credentials peer, String peerSecurityContext) 
  45.            throws ZygoteSecurityException { 
  46.        int peerUid = peer.getUid(); 
  47.  
  48.        if (args.seInfo == null) { 
  49.            // nothing to check 
  50.            return
  51.        } 
  52.  
  53.        if (!(peerUid == 0 || peerUid == Process.SYSTEM_UID)) { 
  54.            // All peers with UID other than root or SYSTEM_UID 
  55.            throw new ZygoteSecurityException( 
  56.                    "This UID may not specify SEAndroid info."); 
  57.        } 
  58.  
  59.        boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext, 
  60.                                                     peerSecurityContext, 
  61.                                                     "zygote"
  62.                                                     "specifyseinfo"); 
  63.        if (!allowed) { 
  64.            throw new ZygoteSecurityException( 
  65.                    "Peer may not specify SEAndroid info"); 
  66.        } 
  67.  
  68.        return
  69.    }  
 /**
     * Applies zygote security policy.
     * Based on the credentials of the process issuing a zygote command:
     * <ol>
     * <li> uid 0 (root) may specify --invoke-with to launch Zygote with a
     * wrapper command.
     * <li> Any other uid may not specify any invoke-with argument.
     * </ul>
     *
     * @param args non-null; zygote spawner arguments
     * @param peer non-null; peer credentials
     * @throws ZygoteSecurityException
     */
    private static void applyInvokeWithSecurityPolicy(Arguments args, Credentials peer,
            String peerSecurityContext)
            throws ZygoteSecurityException {
        int peerUid = peer.getUid();

        if (args.invokeWith != null && peerUid != 0) {
            throw new ZygoteSecurityException("Peer is not permitted to specify "
                    + "an explicit invoke-with wrapper command");
        }

        if (args.invokeWith != null) {
            boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,
                                                         peerSecurityContext,
                                                         "zygote",
                                                         "specifyinvokewith");
            if (!allowed) {
                throw new ZygoteSecurityException("Peer is not permitted to specify "
                    + "an explicit invoke-with wrapper command");
            }
        }
    }

    /**
     * Applies zygote security policy for SEAndroid information.
     *
     * @param args non-null; zygote spawner arguments
     * @param peer non-null; peer credentials
     * @throws ZygoteSecurityException
     */
    private static void applyseInfoSecurityPolicy(
            Arguments args, Credentials peer, String peerSecurityContext)
            throws ZygoteSecurityException {
        int peerUid = peer.getUid();

        if (args.seInfo == null) {
            // nothing to check
            return;
        }

        if (!(peerUid == 0 || peerUid == Process.SYSTEM_UID)) {
            // All peers with UID other than root or SYSTEM_UID
            throw new ZygoteSecurityException(
                    "This UID may not specify SEAndroid info.");
        }

        boolean allowed = SELinux.checkSELinuxAccess(peerSecurityContext,
                                                     peerSecurityContext,
                                                     "zygote",
                                                     "specifyseinfo");
        if (!allowed) {
            throw new ZygoteSecurityException(
                    "Peer may not specify SEAndroid info");
        }

        return;
    }


理所当然的,在启动一个新的进程时,frameworks/base/core/java/android/os/Process.java中也会加入SEAndroid信息seInfo。

Joy-橘子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEAndroid&SELinux
gbmaotai的博客
11-07 403
SELinux SELinux则是由NSA(美国国安局)在Linux社区的帮助下设计的一个针对Linux的安全强化系统。 在LinuxKernel中,SELinux通过LSM(LinuxSecurity Modules)实现. SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统。 自主访问控制模型(Discretionary Access Contr...
Android 安全攻防): SEAndroid Zygote
nayao-net
01-12 127
Android 安全攻防): SEAndroid ZygoteAndroid系统中,所有的应用程序进程,以及系统服务进程SystemServer都是由Zygote孕育fork出来的。 Zygote的native获取主要研究dalvik/vm/native/dalvik_system_Zygote.cpp,SEAndroid管控应用程序资源存取权限,对于整个dalvik,也正是在此动的手脚...
Android SEAndroid
Android系统攻城狮
04-14 773
根据SELinux规范,完整的SContext字符串为: user:role:type[:range] 注意,方括号中的内容表示可选项。s0属于range中的一部分。下文再详细介绍range所代表的Security Level相关的知识。 看,SContext的核心其实是前个部分:user:role:type。 刚才说了,MAC基本管理单位是TEAC(Type Enf
SEAndroid基本实现
joy
01-21 1098
“即使root权限被篡夺,只要阻止应用的恶意行为即可”。   SEAndroid是将selinux移植到android操作系统,并根据android特性进行改进的操作系统。 Seandroid中加入了selinux如下访问控制,也开发了android特有的中间件层访问控制   SE Linux通过事先定义每个进程的允许操作,禁止其进行越轨的操作(图A-1)。SEAndroid沿袭了这
详细分析Android中实现Zygote
09-03
Android系统中,Zygote进程扮演着至关重要的角色,它是所有应用程序进程和System进程的始祖,被誉为“进程孵化器”。Zygote通过自我复制的方式创建新的进程,从而确保每个新进程都能快速拥有一个预先加载好的...
模拟Android系统Zygote启动流程
最新发布
04-11
Android操作系统中,Zygote进程是整个系统的核心部分,它是所有Android应用程序进程的始祖。Zygote的启动流程非常关键,因为它涉及到系统资源的初始化、Dalvik或ART虚拟机的预加载以及核心库的加载等。让我们深入...
Android Zygote启动流程源码解析
08-03
### Android Zygote启动流程源码解析 #### 引言 在Android系统中,Zygote进程扮演着至关重要的角色,作为所有应用进程和SystemServer进程的“始祖”。了解Zygote的启动流程对于深入理解Android底层机制具有重要...
大厂高频面试题:说说你对Zygote的理解.docx
08-26
ZygoteAndroid系统中扮演着至关重要的角色,它是所有Android应用进程的起点。面试官在询问Zygote的理解时,通常希望候选人能够全面掌握Zygote的功能、启动流程以及其工作原理。 首先,让我们详细解释一下Zygote的...
Android Zygote解析
11-30
Android ZygoteAndroid操作系统中的核心组件,它在系统启动时扮演着至关重要的角色。Zygote进程的主要任务是孵化Android应用程序,通过这种方式优化应用程序的启动时间和性能。在这个过程中,Zygote首先会初始化...
深入理解SEAndroid.pdf
09-28
SEAndroid 是 Google 在 Android 4.4 上正式推出的一套以 SELinux 为基础于核心的系统 安全机制。而 SELinux 则是由美国 NSA(国安局)和一些公司(RedHat、Tresys)设计的一 个针对 Linux 的安全加强系统。
SEAndroid
gbmaotai的博客
08-21 768
SEAndroid安全机制所要保护的对象是系统中的资源,这些资源分布在各个子系统中,例如我们经常接触的文件就是分布文件子系统中的。 实际上,系统中需要保护的资源非常多,除了前面说的文件之外,还有进程、socket和IPC等等。 在用户空间中,SEAndroid包含有个主要的模块,分别是安全上下文(Security Context)、安全策略(SEAndroid Policy)和安全服务(Se...
Android 系统SELinux(SEAndroid
tq501501的博客
06-25 3762
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
android se,SEAndroid 问题解决
weixin_32058931的博客
05-27 543
终于把2个月纠结的功能做完了。 完成功能特地也总结一下一些常用的命令1.1 adb shell getenforce (查看selinux 当前的状)Enforcing: 代表SELinux处于开启状,会阻止进程违反SELinux策略访问资源的行为。Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2设置selinux 的状 adb ...
Android-SEAndroid权限问题指南
qq_40731414的博客
04-09 167
Android-SEAndroid权限问题指南:https://www.jianshu.com/p/8422fb221445
SEAndroid 介绍及其基本实现原理
万能的终端和网络
05-08 1923
SEAndroidSecurity-Enhanced Android),是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立类似沙箱的执行隔离效果,来确保每一个App之间的独立运作,也因此可以阻止恶意App对系统或其它应用程序的攻击。 SEAndroid的中心理念是,即使root权限被篡
SEAndroid学习
woai110120130的专栏
11-27 983
selinux 学习
SEAndroid 问题
laughing_zou的专栏
01-08 284
Android的底层开发过程中经常会遇到SEAndroid的avc权限问题: 首先是avc log:   avc: denied { search } forpid=8329 comm="memmst" name="lowmemorykiller"dev="sysfs" ino=13013scontext=u:r:memmst:s0tcontext=u:object_r:sysfs_low...
深入理解SELinux SEAndroid(第一部分)
ayk12345678900的博客
02-28 1045
selinux基础知识
Android进程创建与执行:从Zygote到Dalvik VM
Android有其独特的特性,如硬件抽象层(HAL),允许许多驱动程序在用户运行;Bionic是定制的C/C++运行时库,因版权问题避免了使用uCLib;SurfaceFlinger是负责图形渲染的服务,有待进一步优化;内置的Webkit浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值