为何Android普通APP可以执行私有数据中的so文件,而system app却不可以?

置顶 已于 2022-07-28 23:28:54 修改
阅读量914 收藏 1
点赞数
分类专栏: Android Sepolicy 文章标签: android selinux 安全
于 2020-12-28 13:19:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yj4231/article/details/111853640
版权

本文基于Android 10的Sepolicy进行分析。

在热更新或者减少安装包的大小实践中,可以看到普通APP可以在安装以后下载共享库文件,也就是.so文件,然后进行动态加载动作。

同样的,如果是一个system app,想要执行类似地加载动态库的动作为什么会不行?

首先你需要知道的是:如果APP要加载一个so库,必须拥有该库文件标签的execute权限。

1. 普通APP的私有数据区的数据标签为app_data_file,而在selinux的源码中,可以找到如下策略:

#Some apps ship with shared libraries and binaries that they write out to their sandbox directory and then execute.
allow untrusted_app_all privapp_data_file:file { r_file_perms execute };
allow untrusted_app_all app_data_file:file     { r_file_perms execute };
auditallow untrusted_app_all app_data_file:file execute;

根据上述的策略和描述可以看出,允许普通的APP对私有数据的数据拥有execute权限。并且auditallow将在APP执行(execute)一个app_data_file时记录日志。

2. 我们再看system APP的数据标签为system_data_app_file:

# /data/data subdirectory for system UID apps.
type system_app_data_file, file_type, data_file_type, core_data_file_type, mlstrustedobject;

system_data_app_file和data_file_type属性关联,而后者和system APP之间有如下限制:

# Blacklist app domains not allowed to execute from /data
neverallow {
  bluetooth
  isolated_app
  nfc
  radio
  shared_relro
  system_app
} {
  data_file_type
  -dalvikcache_data_file
  -system_data_file # shared libs in apks
  -apk_data_file
}:file no_x_file_perms;

可以看出,system APP无法获取data_file_type的execute权限。 这也就是为什么system APP无法动态加载共享库。

思考:

正如最前面的注释,既然google考虑到普通APP需要在自己的存储区动态加载共享库,那拥有更高权限的system APP反而被加以限制?难道厂商的system APP就不能通过动态加载动态库来修正问题吗?不知道google是处于何种安全考虑。有想法的可以留言讨论。

yj4231
关注
专栏目录
Android APP memory统计方法
我的博客
06-10 558
Android APP memory统计方法
Android动态加载—so文件
热门推荐
抽烟的青蛙的专栏
04-05 2万+
简介前几天做一个视频播放的功能,用到了bilibili开源ijkplayer播放器的(集成ijkplayer),功能确实强大,但就是用到的ffmpeg解码库太大,不得已只能只能将so文件拿出来,通过动态的方式来加载。什么是动态加载?就是讲so文件不打包进apk,在安装完应用打开app的时候通过后台下载so库,将下载下来的so文件再写入到app里面。 首先我们要知道,Android加载so文件的方式
Android-将安全数据加密到本地.so库的一种简单方法
08-12
安全数据加密到本地.so库的一种简单方法
android版本对so支持,Android so文件兼容之abiFilters的使用
weixin_42508241的博客
05-26 673
最近項目遇到了要使用opencv的情況,涉及到了abi兼容的選擇。因為如果全部都適配的話,包很大,這樣兼容那些用戶數極少的cpu就很不划算,所以我只適配了armeabi-v7a這一個。但是今天在x64-v8a的模擬器上看的時候,提示我的library.so文件找不到,我記得這個應該是向下兼容的,但是出現這種情況很奇怪,於是我就在網上找了找答案。解決方法:abiFilters在app的gradle...
Android push到/system/app下,导致找不到so包
xiaowang_lj的博客
06-23 2470
原因是/system/app下面的APK成为系统级app时,包含SO文件app默认加载so库的路径就会变成/system/lib,而system/lib却是只读的,导致so库无法正常解压不会自动安装, 需要手动把so文件push 到 "/system/lib"目录下面。 将apk的so文件手动push到"/system/lib" 或使用 adb install 方式安装......
Android push到/system/app下,导致找不到so文件,抛出java.lang.UnsatisfiedLinkError的原因分析和解决方案
03-06 3746
首先,我们来看一份真实案例的输出日志: AndroidRuntime: FATAL EXCEPTION: main AndroidRuntime: Process: com.cmccpoc, PID: 2708 AndroidRuntime: java.lang.UnsatisfiedLinkError: Couldn't load airtalkee from loader dalvik.sy...
android app私有数据
xiaogazhang的博客
07-29 409
存放地址/data/data 需要root才能查看
android so文件崩溃,android 7.0 因为.so文件而崩溃事件解决
weixin_39542514的博客
05-28 797
菜鸟进场,方圆十里,寸草不生现在基本都在用第三方的分享,但是不知道为什么,脑残的准备自己集成微博的第三方分享,本来一路躺坑都过来了,不过遇到一个奇葩的问题,软件在android N上会崩溃,其实也就是在android7.0上会崩溃,其他手机都好的,网上查的话全都是什么android7.0更新什么什么的,没什么实质性的作用,给的一些典型解决案例也看不懂,不过最后在外国网站上找到了解决办法,其实很简单...
android 编译的so自动放到system/lib,小白windows编译android的so库
weixin_29830257的博客
05-26 1040
一般我们开发主要是使用Java,但项目有些涉及到复杂的算法或耗时操作时,通常使用C/C++完成算法实现并提供给java层(通过JNI)调用,以此提高运行的效率。这种情况下,C/C++所实现的代码以及JNI调用相关的代码被打包为.so库。笔者在项目遇到了需要使用JNI调用c++算法的情况,之前也没有相关的经验,折腾了一番之后终于跑通,故整理一下整个过程。本文以一个加法运算的简单功能为例,说明如何...
Android私有目录文件移动到公有目录
sinat_28884723的博客
10-18 664
背景:今天早上做了一个拍照后就上传到后台的需求,这个需求还是蛮好处理的,不就是拍照嘛,信誓旦旦说等会就打包出来,结果引发了思考(1、如何将文件复制到公有目录;2、如何将图片刷新到图库),搞到了下午才打包。
android c语言编译生成文件路径,android studio把c/c++文件编译成.so库(二)
weixin_32004383的博客
05-20 628
最近的项目涉及到JNI编程,经过一段时间的JNI编程之后,终于完美弄完了。所以,把在android studio编译c/c++文件成.so库的过程记录一下。在Android studio使用cmake编译 .so库1. 安装JNI(java Native Interface)的开发环境。(1)NDK(Native Development kit):NDK是一个工具集,允许你的App使用一些底层...
Android 8.0 system app加载so Permission denied 解决
lb5761311的专栏
11-06 1万+
在预置包含react native 的Android app 预置到mtk 6739的系统,此app 具体 platform 签名。此app启动会加载一些 facebook的so库 发现此app 如果预置到system/app下,启动会报错。开始以为是没有把相关的so库 放到 system/app/xx/lib 下。在Android 6.0我都是可以正常启动的。发现在8.0 仍然会报错。 报...
Android使用.so库文件
最新发布
zhenCyyl的博客
05-10 2270
前段时间开发项目用到了硬件厂商提供的.so库文件,这里就简单记录一下调用so文件的方法。上图,com.snow.hh_jni就是头文件的包名。其库名不要so文件前面的lib和后面的后缀.so。这里需要新建与头文件一致的包名与类文件。1、把.so文件放置在libs文件下。2、配置build.geradle。4、加载so库和so提供的方法。这样就可以通过类名调用方法了。
android系统里的data/app文件到底能不能读!!!
信息安全
11-19 2731
android系统data文件夹对其他用户是不可读的。而里面的APP文件夹却可以读, 试问:那这个且文件夹到底能不能通过其他方法访问(能在所以机器里访问),前提是不ROOT的手机里。如果果真不能,那不ROOT的杀毒软件是怎么扫描本地APK的,它是怎么做到了,难道是基于MD5的??? 是获取system权限,还是改变文件权限呢。如有高手路过,麻烦解答,小妹不胜感激~
android手机几个目录的介绍:/system/app; /system/vender;/data/app;/data/dalvik-cache;/mnt/asec;/mnt/secure
抢财猫股票课堂
12-21 1万+
看到很多android用户搞不清楚自己手机里这些目录到底是干什么的,索性就一一解释清楚,当然也会涉及到系统软件和用户自己的软件的区分,以及app2sd(软件搬家:从内存搬到SD卡)方面的知识 /system 存放的是rom的信息; /system/app 存放rom本身附带的软件即系统软件; /system/data 存放/system/app 核心系统软件的数据文件信息。  /
android读写data目录文件,在不root手机的情况下读取Data目录下的文件
weixin_39739661的博客
05-26 936
使用条件For the run-as command to work the app must be debuggable. This means that run-as will work for apps that you are developing and have deployed through eclipse and for any apps that have been relea...
android读写data目录文件,android读取data/data/包名/file路径下的txt文件
weixin_29146313的博客
05-26 1622
文件不能太大否则会报内存溢出import java.io.FileInputStream;import org.apache.http.util.EncodingUtils;import android.app.Activity;import android.os.Bundle;import android.widget.TextView;public class ReaddataPathActi...
android对/data/data/<package name>/files下文件的读写操作
1.01的365次方的专栏
09-02 1028
原文:http://blog.csdn.net/dinglin_87/article/details/7433541 本文重点展示,对/data/data//files文件的读写操作的实现。        一、写出数据到files文件,Activity提供了openFileOutput()方法,可以把数据输出到/data/data//files的文件
Android上获取本机安装的应用程序
dengbaoleng
11-07 324
在google上输入以上的关键字+ android,可以搜到的代码: view sourceprint? 1 List&lt;PackageInfo&gt; packs = getPackageManager().getInstalledPackages(0); 虽然,有些代码号称可以过滤掉系统自身的应用程序,但是只要细看代码就会发现...
深入解析Android System.loadLibrary:so文件加载机制与源码剖析
Android开发,理解和分析`System.loadLibrary`和`System.load`这两个方法对于加载动态链接库(.so文件)至关重要。这两个函数允许我们在应用程序加载预先编译的共享库,它们在实现上有明显的区别。 首先,`...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值