Android安全機制介紹及實踐

Android框架基礎

上圖是我們熟知的Android系統架構圖，分層的結構有利于權限的分級管理，對系統安全提供了一定的保障。Android系統采用分層的架構，由底層到上層依次為Linux內核層、HAL層、Native Lib及Runtime lib層、JNI層、framework層和應用程序層組成。Android應用程序組件是Android應用程序的基本組成單元，組件類型有Activity、Service、Broadcast Receiver、Content Provider等。Android內核本質上是增強版的LInux內核，低內存管理LMK（Low Memory Killer）、匿名共享內存（Ashmem），Binder通信機制等。這些內核增強使得Android在繼承LInux內核安全機制的同時，進一步提升了內存管理、進程通信等方面的安全性。

上圖是Android系統啟動流程圖，具體說明如下：Android系統運行于Linux內核之上，init進程是用戶空間啟動的第一個進程，職責主要為fork出系統關鍵進(Daemons)、servicemanager、zygote等；提供屬性服務管理系統屬性等。Zygote由init進程根據init.rc文件配置項創建，Zygote是一個虛擬機進程，同時也是一個虛擬機孵化器。負責虛擬機初始化、預置庫的加載及初始化等。每當系統要求執行一個Android應用程序時，Zygote就會創建一個進程來執行該應用程序。SystemSever是Zygote第一個子進程，由Zygote進程孵化出來，作為Android框架的核心，主要負責Android系統初始化并啟動其他服務運行于該進程空間。

Android 安全機制

目前Android系統智能終端設備占據了全球智能終端設備的大部分份額，隨之而來安全問題也越來越多，安全問題是Android開發中一個重要的課題。從技術架構角度來看，Android安全模型基于強健的Linux操作系統內核安全性，通過進程沙箱機制、獨特的內存管理與安全高效的進程通信機制、應用程序簽名機制、應用權限管理機制等進一步提升系統安全性。

Android系統安全機制主要包括以下幾方面：

1. 代碼安全機制。

2. 進程沙箱機制。

3. 應用權限機制。

4. 應用簽名機制。

5. 文件訪問控制機制。

6. 其他安全機制。

代碼安全機制

java不同于C/C++，java是解釋性語言，存在代碼被反編譯的隱患；Android引入了代碼混淆技術默認混淆器為proguard， proguard還可用來壓縮、優化java字節碼，刪除無用的類、字段、方法、屬性、注釋等。配置方法 在Android.mk中設置 LOCAL_PROGUARD_FLAG_FILES := proguard.flags include $(BUILD_PACKAGE) 原則 SDK API相關的不要混淆、native方法不要混淆、model不要混淆其他不需要混淆的類及方法。混淆語法

-keepclasscom.android.launcher3.CellLayout{
publicfloatgetBackgroundAlpha();
publicvoidsetBackgroundAlpha(float);
}
-keepclasscom.android.launcher3.DragLayer$LayoutParams{
publicvoidsetWidth(int);
publicintgetWidth();
publicvoidsetHeight(int);
publicintgetHeight();
publicvoidsetX(int);
publicintgetX();
publicvoidsetY(int);
publicintgetY();
}

混淆之后代碼反編譯后得到的class文件

進程沙箱隔離機制

Android將linux多用戶隔離機制應用到應用程序隔離，一個用戶標識（UID）識別一個給定用戶，應用程序權限不同允許或者限制了應用程序對設備資源的訪問。應用權限的設置共享用戶ID即共用一個進程 Android源代碼樹攜帶的系統證書括“media”、“platform”、“shared”、 “testkey”等，其中“media”證書用于多媒體、下載場景中；“platform”證書用于系統場景中；“shared”證書用于啟動器、電話簿場景中；“testkey”證書用于開發場景中，這些證書位于build/target/product/security目錄下；目前支持的“sharedUserId”屬性包括“android.uid.system”、 “com.android.uid.test”、“android.uid.calendar” 、“android.media”、“com.android.framework.externalsharedpermstestapp”、“android.uid.shared”、“android.uid.phone”等。常用的包括“android.uid.system”、“android.media”、“android.uid.shared”等。

應用權限機制

權限主要用來對應用的操作增加限制，防止惡意應用進行非法操作給用戶造成敏感數據泄漏和設備被非法控制，防止惡意收費等。權限級別如下：Normal權限、 Dangerous權限 、signatureOrSystem權限 、Signature權限 。框架層權限定義位置

frameworks/base/core/res/ AndroidManifest.xml

android:permissionGroup="android.permission-group.STORAGE"

android:label="@string/permlab_mediaStorageWrite"
android:description="@string/permdesc_mediaStorageWrite"
android:protectionLevel="signature|system"/>

設置應用權限

權限驗證Android提供了多個方法可用于驗證調用方是否具有相應的權限。如果調用方擁有相應的權限，則權限驗證的返回值為PackageManager. PERMISSION_GRANTED否則返回PackageManager.PERMISSION_DENIED。

示例代碼

if(permission!=null){
if(mContext.checkCallingOrSelfPermission(permission)
!=PackageManager.PERMISSION_GRANTED){
returnWindowManagerGlobal.ADD_PERMISSION_DENIED;
}
}

數據庫安全

Android采用的SQLite目前采用明文存儲數據；安全涉及加密、讀寫、搜索等。權限設置android:permission android:readPermission android:writePermission

android:authorities="contacts;com.android.contacts"
android:label="@string/provider_label"
android:multiprocess="false"
android:exported="true"
android:readPermission="android.permission.READ_CONTACTS"
android:writePermission="android.permission.WRITE_CONTACTS">

應用簽名機制

Android簽名機制其實是對APK包完整性和發布機構唯一性的一種校驗機制。只有同一包名且采用同一數字證書的應用才被認為是同一個應用；數字證書的最大用途是應用升級和設置應用間通信的權限；

文件訪問控制機制

Android在權限管理上應用了Linux的ACL（Access Control List）權限機制。

分區層面

在系統運行時，最外層安全保護是由Linux系統提供的，其中system.img所在的分區是只讀的，不允許用戶寫入，而data.img所在的分區是可讀寫的，用于存放用戶數據。分區的用戶權限在init.rc中定義。

單獨文件

單獨文件訪問權限控制分群組、用戶、權限。權限分可讀、可寫、可執行。命令:chownchgrpchmod。

其他安全機制

網絡安全 加密算法（敏感數據） DES（對稱）、3DES（對稱）、RSA（非對稱）、MD5、RC2/RC4（對稱）、IDEA、AES、BLOWFISH等 Web服務（HTTP層） 三種手段WS-Security、SSL、數字簽名。目前ksoap不支持WS-Security TCP層 SSL、TSL 數據鏈路層 WAPI

SEAndroid

SE Android(Security-Enhanced Android)是Android與SE Linux的結合，由美國NSA在2012年推出的Android os的安全強化套件，以支持在Android平臺上使用的SE Linux。DAC和MACDAC(Discretionary Access Control)自主訪問控制 進程理論上所擁有的權限與執行它的用戶的權限相同。比如，以root用戶啟動Browser，那么Browser就有root用戶的權限，在Linux系統上能干任何事情。

MAC（Mandatory Access Control）強制訪問控制 即任何進程想在SELinux系統中干任何事情，都必須先在安全策略配置文件中賦予權限。凡是沒有出現在安全策略配置文件中的權限，進程就沒有該權限。

說明：在MAC訪問控制下，有root權限并不能讀寫訪問任何文件；任何進程訪問特定的資源都需要遵循一定的控制策略。

開啟selinux后的文件上下文

開啟selinx后的進程上下文

分析工具

調試工具logcat 、adb 、 dumpsyslogcat

logcat[options][filterspecs]#打印log

選項介紹

-b查看日志類型，比如radio,main,events等，默認為main
-c清空日志
-s#設置過濾器
logcat-scallMode:V#tag為callMode,級別為V的log
-f#輸出到文件
-v#設置log的打印格式，是下面的一種：brief process tag thread raw time threadtime long
logformat形式如下：
-vprocess#D(4816)volumestatechangedfor/mnt/usbhost3(unmounted->removed)(MountService)
-vbrief#I/SystemServer(4816):EnteredtheAndroidsystemserver!....
-g#得到環形緩沖區的大小并退出
130|root@mars-200:/#logcat-g
/dev/log/main:ringbufferis256Kb(255Kbconsumed),maxentryis5120b,maxpayloadis4076b
/dev/log/system:ringbufferis256Kb(111Kbconsumed),maxentryis5120b,maxpayloadis4076b

adb常用命令

adb devices adb shell adb install / uninstall adb pull/push adb shell service list

dumpsys介紹

dumpsys工具用于顯示Android系統詳細信息，dumpsys是強大的系統分析工具，可以查看設備信息、進程內存使用信息、應用程序包信息、服務信息、權限設置信息、電源管理狀態信息及activity信息。工具格式：dumpsys [option]

dumpsys|grepDUMP獲取dump支持的命令；
dumpsysactivity：顯示activity的相關信息，包括任務棧等；
dumpsyswindow：顯示鍵盤，窗口和它們的關系；
dumpsysdiskstats：磁盤相關信息

安全問題相關實踐

Android逆向工程

在學習Android開發的過程你，你往往會去借鑒別人的應用是怎么開發的，那些漂亮的動畫和精致的布局可能會讓你愛不釋手，作為一個開發者，你可能會很想知道這些效果界面是怎么去實現的，這時，你便可以對改應用的APK進行反編譯查看。

反編譯的目的不是去搞破壞，主要目的是為了促進開發者學習，借鑒好的代碼，提升自我開發水平。

反編譯工具dex2jar apktool jd-gui

步驟如下：

1.將apk文件重命名為.zip文件后解壓縮提取classes.dex

2.通過dex2jar工具將classes.dex文件轉成jar包./d2j-dex2jar.sh classes.dex

3.apktool還原apk資源文件./apktool.sh -d test.apk

su權限管控

可將相關權限加入Android運行時權限管控，根據簽名、配置文件等控制使用

編輯：黃飛