android sdcard 权限管理策略研究

最新推荐文章于 2021-05-29 16:30:50 发布
最新推荐文章于 2021-05-29 16:30:50 发布
阅读量3.3k 收藏 3
点赞数 1
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/louyong0571/article/details/45046163
版权
自从android4.4 以来,第三方应用程序是不能再随便的访问sdcard了,从开发者的角度而言,研究一下android系统到底是怎么样来实现这样的控制还是比较有价值的。
首先分析下现状,现在已知,对于内部存储系统android的控制策略还是没有多大改变的,内部sdcard还是可以在申请了android.permission.WRITE_EXTERNAL_STORAGE
这个权限后随便访问的,而对于外置sdcard就没那么方便。网络上一般的说法是只有内置app才可以访问,其他的app就只能限定/data/data/Package_name/ 的目录下。
那具体这个差别是怎么实现的呢?
首先sdcard的权限管理是fuse 即用户空间文件系统(Filesystem in Userspace)来实现的,一旦使用了fuse,文件的访问权限就不在是单纯的Linux的ACL机制,不能光凭借文件的umask来判断谁具有读写权限了。以5.0为例:
drwxrwx--- root     sdcard_r          2014-01-01 07:47 Alarms
drwxrwx--x root     sdcard_r          2014-01-01 07:47 Android
drwxrwx--- root     sdcard_r          2014-01-02 06:35 DCIM
drwxrwx--- root     sdcard_r          2014-01-01 07:47 Download
即使app的gid加入了sdcard_r甚至sdcard_rw也是不能访问这些目录了。原因就是这个fuse的机制。本质上android的fuse并不是正统的fuse,而是fuse代码的重写,以sdcard的deamo的形式存在在android系统中,这个是google说的。
    那么找到sdcard的deamo的实现就可以找到线索了。在android源码system/core/sdcard中可以找sdcard.c这么个文件。它最终被编译成为sdcard可执行程序,这就是所谓的sdcard的守护进程。查看它的代码可以发现它在初始化以后就跑了一个for (;;)的循环,一直从/dev/fuse这个设备中读取请求,然后交给handle_fuse_request去处理。从Android的整体设计原则来猜想,这又是一个CS的典型结构,即只有这个进程可以进行真正意义上的读写操作,上层的对于sdcard的io操作,实际上是通过/dev/fuse交给这个守护进程来处理的。

事实上是这样吗。来看下sdcard是谁启动的:

-------------------------------------------------------------------------------------------------------------------------------------------------------------

service sdcard /system/bin/sdcard -u 1023 -g 1023 -l /data/media /mnt/shell/emulated
    class late_start
 
service fuse_sdcard1 /system/bin/sdcard -u 1023 -g 1023 -w 1023 -d /mnt/media_rw/sdcard1 /storage/sdcard1
    class late_start

    disabled

-----------------------------------------------------------------------------------------------------------------------------------------------------------

这个是init.rc中的片段,/system/bin/sdcard 启动时候加了很多参数 
-u 1023 应该是uid
-g 1023 应该是gid
-l /data/media /mnt/shell/emulated 这个表示的什么要看代码实现了,代码里前一个是source_path 后一个dest_path, dest_path挂载了/dev/fuse。
根据经验来猜测,上层针对 /mnt/shell/emulated的操作本质上是对/data/media 的操作,但是中间夹杂着fuse的处理,必须由sdcard这个程序来决定真正的操作。
drwxrwx--- media_rw media_rw          2014-01-01 07:47 media
可以发现这个目录的uid和gid都是media_rw, 而 # ps -c sdcard
USER     PID   PPID  VSIZE  RSS   CPU   WCHAN    PC        NAME

media_rw  2098  1     16232  1120  4  ffffffff 9b64f1d4 S /system/bin/sdcard


发现这个进程的user正式media_rw,这样就和之前的猜测不谋而合了。即,只有/system/bin/sdcard 能够真正的操作/data/media ,而/data/media 真是虚拟的sdcard的本尊!
所有对与虚拟sdcard的操作都通过fuse的设计,经kernel从/dev/fuse又给/system/bin/sdcard 这个进程,由它来正真的handle请求。  Ok,大概的逻辑就是这样了,详细的实现还是要从代码中去学习。
问题回到原来的,为什么内置sdcard可以随便访问,而外置不行呢。答案还在代码中,查看sdcard.c中对于创建文件的处理, 
static int handle_mknod(struct fuse* fuse, struct fuse_handler* handler,
        const struct fuse_in_header* hdr, const struct fuse_mknod_in* req, const char* name)
{
    bool has_rw;
    struct node* parent_node;
    char parent_path[PATH_MAX];
    char child_path[PATH_MAX];
    const char* actual_name;


    pthread_mutex_lock(&fuse->lock);
    has_rw = get_caller_has_rw_locked(fuse, hdr);
    parent_node = lookup_node_and_path_by_id_locked(fuse, hdr->nodeid,
            parent_path, sizeof(parent_path));
    TRACE("[%d] MKNOD %s 0%o @ %"PRIx64" (%s)\n", handler->token,
            name, req->mode, hdr->nodeid, parent_node ? parent_node->name : "?");
    pthread_mutex_unlock(&fuse->lock);


    if (!parent_node || !(actual_name = find_file_within(parent_path, name,
            child_path, sizeof(child_path), 1))) {
        return -ENOENT;
    }    
    if (!check_caller_access_to_name(fuse, hdr, parent_node, name, W_OK, has_rw)) {
        return -EACCES;
    }    
    __u32 mode = (req->mode & (~0777)) | 0664;
    if (mknod(child_path, mode, req->rdev) < 0) { 
        return -errno;
    }    
    return fuse_reply_entry(fuse, hdr->unique, parent_node, name, actual_name, child_path);
}


其中check_caller_access_to_name 是关键,因为他会返回EACCES! 
static bool check_caller_access_to_name(struct fuse* fuse,
        const struct fuse_in_header *hdr, const struct node* parent_node,
        const char* name, int mode, bool has_rw) {
    /* Always block security-sensitive files at root */
    if (parent_node && parent_node->perm == PERM_ROOT) {
        if (!strcasecmp(name, "autorun.inf")
                || !strcasecmp(name, ".android_secure")
                || !strcasecmp(name, "android_secure")) {
            return false;
        }
    }


    /* No additional permissions enforcement */
    if (fuse->derive == DERIVE_NONE) {
        return true;
    }


    /* Root always has access; access for any other UIDs should always
     * be controlled through packages.list. */
    if (hdr->uid == 0) {
        return true;
    }


    /* If asking to write, verify that caller either owns the
     * parent or holds sdcard_rw. */
    if (mode & W_OK) {
        if (parent_node && hdr->uid == parent_node->uid) {
            return true;
        }


        return has_rw;
    }


    /* No extra permissions to enforce */
    return true;
}


注释写的比较清楚就不多分析了,重点是has_rw ,这个谁决定
has_rw = get_caller_has_rw_locked(fuse, hdr);


get_caller_has_rw_locked的实现 
  /* Return if the calling UID holds sdcard_rw. */
  static bool get_caller_has_rw_locked(struct fuse* fuse, const struct fuse_in_header *hdr) {
      /* No additional permissions enforcement */
      if (fuse->derive == DERIVE_NONE) {
          return true;
      }
  
      appid_t appid = multiuser_get_app_id(hdr->uid);
      return hashmapContainsKey(fuse->appid_with_rw, (void*) (uintptr_t) appid);
  }


hashmapContainsKey这个方法,看appid是不是在appid_with_rw 这个map中,那这个map是哪里来的呢?通过追踪可以发现时通过/data/system/packages.list这个文件解析得出的。
  
	 if (strtoul(token, NULL, 10) == fuse->write_gid) {
		  hashmapPut(fuse->appid_with_rw, (void*) (uintptr_t) appid, (void*) (uintptr_t) 1);
		  break;
	}


这段代码在解析packages.list中的每一行,如果有gid = fuse->write_gid的那就会被加到这个Hashmap中了。
com.android.providers.downloads.ui 10005 0 /data/data/com.android.providers.downloads.ui default 1028,1015,1023,1024,2001,3003,3007
com.android.pacprocessor 10040 0 /data/data/com.android.pacprocessor platform 3003
com.android.certinstaller 10024 0 /data/data/com.android.certinstaller platform none
com.android.speechrecorder 10050 0 /data/data/com.android.speechrecorder default none
android 1000 0 /data/system platform 1028,1015,3002,3001,3003
那fuse->write_gid 是什么呢?
gid_t write_gid = AID_SDCARD_RW; 这是初始化时候的值,AID_SDCARD_RW 在system/core/include/private/android_filesystem_config.h中有定义, 1015正是sdcard_rw的group id。
但是,但是,还记得init.rc里面的 -w吗?
service fuse_sdcard1 /system/bin/sdcard -u 1023 -g 1023 -w 1023 -d /mnt/media_rw/sdcard1 /storage/sdcard1
这个-w的值就覆盖了write_gid , 1023是什么gid?
#define AID_MEDIA_RW      1023 
ok,正是media_rw的group id。


AID_SDCARD_RW  和 AID_MEDIA_RW 有什么差别,怎么才能加入这个对应group呢?
android权限管理机制,加permission呗。那来看看对应的permission是怎么声明的。 


    <permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"
        android:permissionGroup="android.permission-group.STORAGE"
        android:label="@string/permlab_sdcardWrite"
        android:description="@string/permdesc_sdcardWrite"
        android:protectionLevel="dangerous" />


    <!-- @SystemApi Allows an application to write to internal media storage
         @hide  -->
    <permission android:name="android.permission.WRITE_MEDIA_STORAGE"
        android:permissionGroup="android.permission-group.STORAGE"
        android:label="@string/permlab_mediaStorageWrite"
        android:description="@string/permdesc_mediaStorageWrite"
        android:protectionLevel="signature|system" />

要加入sdcard_rw组需要加android.permission.WRITE_EXTERNAL_STORAGE,
要加入media_rw组需要加android.permission.WRITE_MEDIA_STORAGE。


Ok,真相大白了! WRITE_EXTERNAL_STORAGE的protectionLevel 仅仅是dangerous, 而WRITE_MEDIA_STORAGE的protectionLevel 是signature|system, 这就是为什么第三方应用程序不能随便访问sdcard的原因!










louyong0571
关注
专栏目录
Android7.x之MediaServer支持sdcard_rw读写(二十三)
Android系统攻城狮
04-13 583
1.Android具有system权限为什么不可以访问SDcard? 官方文档中找到如下解释: Processes that continue holding open fds on the sdcard a little after it is requested to be unmounted will be killed so that it can unmount. We don't want the system process to be able to access the sdcard..
获取手机中sdCard的权限
RylynnKang 的博客
10-19 1410
AndroidManifest.xml中进行配置
android media_rw sdcard_rw,大约Android 了解权限管理
weixin_32789583的博客
05-29 2914
Android应用程序开发人员。为android权限机制一直觉得很奇怪。为什么要这个东西权限?为什么要AndroidManifest里面写的uses-permission 这样的事情?我一直搞不清楚,着没什么问题也就认了,没去好好深究过。这回就来好好看下吧。原来在设备上有这么个文件/system/etc/permissions/platform.xml 打开来看是这种内容,非常眼熟吧。这不就是在...
android sd media rw,Android 外部SD卡/U盤無法寫入解決方法(需要root)
weixin_29093169的博客
05-28 877
但今天我遇到一個問題,就是我買了只TF卡裝上去以后發現:一般程序無法寫入TF卡,而系統自帶的文件工具能夠寫入。什么原因呢?好在這個平板已經是root的,馬上調出rootexplorer文件管理器查看SD卡和內部存儲器的權限(permission)。發現雖然SD卡和內部存儲器都是屬於(owner)是System 但是不同的就是group不一樣。sdsdcard_rw,外部sd是media_rw。...
Android 9.0中sdcard 的权限和挂载问题
热门推荐
私房菜
01-02 3万+
Android 从6.0 开始引入了,应用对于storage 进行读取、存储的时候,需要注册、申请对应的权限。Android 8.0中对于sdcard 读写只需要申请权限即可使用,可以在Android 9.0 中同样的应用执行同样的步骤,却提示了Permission denied。本文将借此对sdcard 进行简单地剖析。代码基于版本Android 9.0正常使用storage 读写操作,需要注意一下几步:1、申请对应的storage 权限2、确定应用获取到正确的mount mode。
android 读取外置SDCard
10-11
在PicoSDCardSample这样的示例项目中,通常会包含完整的代码示例,展示如何实现上述操作,包括错误处理和权限管理,这对于学习和理解如何在Android中操作外置SDCard非常有帮助。开发者应仔细研究这些示例,以更好地...
androidQ sd卡权限使用详解
08-19
总的来说,Android Q的SD卡权限变更要求开发者更加谨慎地处理用户数据,并确保应用遵循现代的权限和存储管理规范。这不仅有助于提升用户隐私,也有助于保持应用在不同Android版本上的兼容性。因此,理解并适配这些新...
Android应用源码SdCard读写文件实例源码.zip
最新发布
10-29
总的来说,这个实例源码将帮助开发者理解如何在Android应用中处理SDCard的读写操作,同时也要注意随着Android版本的更新,权限管理和文件访问策略的变化。通过学习和实践,开发者可以更好地掌握Android存储系统,并...
Android 读取sdcard上的图片实例(必看)
08-31
Android平台上,读取SD卡(外部存储)上的图片是一项常见的任务,特别是在开发与媒体相关的应用程序时。以下是一个详细的步骤,演示如何实现这一...因此,实际开发中需要根据目标Android版本来适配不同的访问策略
android获取SDcard内存空间
02-27
首先,了解Android对存储权限的管理至关重要。在Android 6.0(API级别23)及更高版本,应用需要在运行时请求`WRITE_EXTERNAL_STORAGE`和`READ_EXTERNAL_STORAGE`权限。在AndroidManifest.xml中添加以下权限: ```...
Android 外部SD卡/U盘无法写入解决方法(需要root)
大师的资源
11-29 3万+
Android平板替代FTP服务器实战 一文得到很多人的好评。   但今天我遇到一个问题,就是我买了只TF卡装上去以后发现:一般程序无法写入TF卡,而系统自带的文件工具能够写入。   什么原因呢?   好在这个平板已经是root的,马上调出rootexplorer文件管理器查看SD卡和内部存储器的权限(permission) 。   发现虽然SD卡和内部存储器都是属于(owner)是Sys
Android frameworks层读写sdcard
luoyesiqiu的专栏
06-08 5184
场景和思路 我们想在frameworks层读写sdcard,但是直接读写是不行的,提示权限不足。于是就想怎么把它所属的进程找出来,然后给这个进程加sdcard读写权限。 做法 android.os.Process.myPid()方法可以获取当前代码所在的进程的id。再通过ps|grep [pid]命令,我们可以知道frameworks中的代码所属system_server进程,而syst...
Android 9.0 sdCard文件读写
纵容的博客
02-22 1万+
目录 背景描述: 解决方案: 处理过程中遇到的问题(代码中需要替换的点) 结尾: 背景描述: 9.0之后,Google合入一笔patch,去掉了WRITE_MEDIA_STORAGE权限中的sdcard_rw。导致之前的文件读写方式无法对sdcard生效 http://androidxref.com/9.0.0_r3/search?q=&amp;defs=&amp;refs=&......
Android对外置sd卡的权限问题(上)
maetelibom的博客
06-30 2万+
作者:许勇权         在调查图库中关于在内外存置卡之间移动/复制操作时,写了一个小程序测试在内外存储卡操作的可行性和性能问题,发现第三方应用无法访问外置存储卡。   调查后得知,在2.x的版本中,android手机只有/data/目录用于存放第三方应用应用内部数据,在manifest中配置的权限“android.permission.WRITE_EXTERNAL_STORAGE”
android sdcard存储方案(基于fuse文件系统):之一
Fybon的专栏
05-15 2万+
基于fuse文件系统的android sdcard存储方案
android Q上SD卡路径
04-28 2295
data drwxrwx--x 54 system system 4096 1970-01-16 06:10 data /data/media drwxrwx--- 4 media_rw media_rw 4096 2019-04-22 13:17 media /data/media/0 drwxrwx--- 1...
Android存储系统-使用fuse来管理外置存储
woai110120130的专栏
08-09 1万+
        本文不是主要简介fuse文件系统,本文主要是将Android如何使用fuse文件系统来做到灵活的权限管理Android对于外置存储的管理,需要实现以下几个目标: 1、读写外置存储需要 android.permission.READ_EXTERNAL_STORAGE和android.permission.WRITE_EXTERNAL_STORAGE, 这两个权限是运行时权限,可以动态的授予和撤销, 所以主存储目
Android fuse文件系统
frank_zyp的博客
04-25 1万+
一、fuse文件系统挂载   从android4.4 以来,第三方应用程序是不能再随便的访问sdcardsdcard权限管理是fuse 即用户空间文件系统(Filesystem in Userspace)来实现的,android 7.0版本中的直接在vold中,fork一个进程直接开启sdcard进程挂载fuse文件系统。并且在卸载sd的时候,在vold中卸载fuse文件系统。   在an
Android系统分区理解及分区目录细解
石头的专栏
09-11 9143
···Android分区:  System分区, Data分区,Cache分区,SDCard分区.在Adb中使用df 来查看分区情况。  1 跨分区不能用 MV命令来拷贝。但是可以用CP命令。如PWD,当前目录为:/data/local/tmp 。  此目录下有个busybox和1.txt文件。则利用CP命令拷贝如下:./busybox cp1.txt /system.  2 Androi
Android VOLD深度解析:存储管理与udev的关系
"对Android系统中的VOLD代码进行深入分析,涉及存储管理的细节。VOLD是Volume Daemon的缩写,在Android系统中扮演着udev的角色,负责管理设备的存储部分。" 在Android系统中,VOLD(Volume Daemon)是至关重要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值