Android沙箱机制

一说到沙箱，相信大家都有一个大概的认识：每个App会被分配一个uid，互相之间数据不能随意访问。
虽然做上层开发有这么个大概的认识基本也就够了，不过深入了解一下可能会给你的开发带来新的思路。今天我们就深挖一下所谓的沙箱机制。
大家都知道Android底层是Linux内核，而这一切也都源于Linux的权限机制。

Linux 权限机制

• 用户 uid gid gids
• 进程 uid gid gids，继承于所属用户，子进程继承父进程
• 文件系统，uid gid 以及相对应rwx权限
  ----------插入Begin------------
  再次看这段的时候突然有一点不明白：既然用户属于多个group，那有什么必要单独指定一个gid呢？
  其实gid是用户当前工作组，那为什么非要有个当前工作组呢？肯定是因为用户在某些操作的时候需要明确当前工作组，比如用户创建一个文件，文件的ownerGroup其实就取决于用户的当前工作组。
  ----------插入End--------------

Android

先看adb shell，我们先记住下面这个结论，后面会给出解释：
adb shell 实际上是以“shell”这个uid启动shell进程
adb shell xx 则是fork一个shell进程的子进程xx
因此xx进程的uid、gid与shell的uid、gid一致：id=2000
"id" 命令可以查看user信息：

image.png

"cat /proc/xxx/status"查看进程信息，包括uid、gid、groups

image.png

---

以上是Android中user和进程的uid gid，那么在Android中文件系统的uid、gid又是怎样的呢？

• file 事实上是在文件系统创建时对目录和文件设置了相对应的uid、gid以及权限，这里涉及到一个重要文件 fs_config.c
  对目录的定义：
  

  

  image.png
  
  对文件定义：
  
  

  image.png

• device node 的uid、gid定义则在各个ueventd.*.rc文件中

ueventd.rc
/dev/alarm 0664 system radio
/dev/rtc0 0640 system system
/dev/tty0 0660 root system
/dev/graphics/* 0660 root graphics
/dev/input/* 0660 root input
/dev/eac 0660 root audio
/dev/cam 0660 root camera

---

由于都是基于Linux的权限机制，因此Android中进程要访问文件那势必也要获取到合理的uid或者gid。
怎么获取？

• System Process
  我们知道在init进程的最后阶段，核心系统服务servicemanager、vold、surfaceflinger等进程都会被启动，他们的uid、gid也都是通过相应的.rc文件指定的。就拿suerfaceflinger来说，surfaceflinger.rc.
  
  

  image.png
• App Process
  每个app安装之后被分配uid
  Users、Groups 在android中定义 android_filesystem_config.h
  
  

  image.png
  
  
  

  image.png
  
  我们可以看到熟悉的身影：
  AID_ROOT 0
  AID_SYSTEM 1000
  AID_SHELL 2000
  而对于正常的app will be assigned AID above 10000, and the GID、UID will be the same as AID.
  以微信为例，微信的data目录权限如下：
  
  

  image.png
  
  我们看到这些文件的uid、gid都是u0_a504，这个u0_a504前半部分u0是userID，后面a504是根据微信安装后系统分配id为10504。因为这个id是唯一不重复的，只要不卸载那么10504就只能是微信uid，因此也只有微信的进程uid/gid = u0_a504，也就是说只有微信的进程可以访问微信data目录下的文件，这就保证了app私有数据的独立性与安全性。
  那么除此之外，还有什么方式可以获取权限来访问文件呢？这就和上层的permisson扯上关系了。
  其实核心文件是：platform.xml
  
  

  image.png
  
  看到这个文件大家应该就明白了，我们可以看到每个permission都会对应一个group，里面的gid是不是很熟悉。没错，对于任何申请了这些权限的app来说，它的任何进程的gids都包含了对应的gid，因此才可以访问相应的文件。就拿我们最熟悉的android.permission.WRITE_MEDIA_STORAGE权限来说，我们看下sdcard目录的文件权限：
  
  

  image.png

我们看到sdcard目录下的文件其gid都是sdcard_rw，如果一个app在AndroidManifest中申请了这个权限，那么这个app所有进程的gids一定包含sdcard_rw这个gid，那么进程就有相应的rwx权限，就可以访问这些文件。（为保证主线清晰，这些牵线搭桥的逻辑就不一一贴代码溯源了）

到这里有人一定会说：我理解的permission不是这样的啊，我manifest里面声明的permission根本没有这么复杂，另外你上面那个platform.xml文件就只有很少的几个permission，我平时用到的大部分permission都不在里面呢？
这个问题我觉得还是有必要说一下，因为确实容易产生疑问。
我们要清晰的知道，Android的permisson分为两种：

• 底层统一控制（上面讲的）
  对于非Android特有的Service(底层平台已经提供，如File访问，TCPIP数据收发等)，可以多种形式来访问：Android API，Java API，NDK C API，shell都可以访问。这样权限控制就聚口在底层，所以在底层统一控制。这个底层统一控制其实就是基于传统的Linux文件读写执行权限(rwx)。例如android.permission.WRITE_MEDIA_STORAGE
• framework逻辑控制
  绝大部分的permission权限控制发生在framwork层，在ams pms wms 中你会遇到大量调用以下方法的地方：

private void checkPermission(String permission) {  
    if (mContext.checkCallingOrSelfPermission(permission)  
               != PackageManager.PERMISSION_GRANTED) {  
           throw new SecurityException("Access denied to process: " + Binder.getCallingPid()  
                  + ", must have permission " + permission);  
    }  
}  

关于这块的逻辑因为不是本文重点，大体说一句：哪些package在manifest中申请了哪些权限，以及动态权限是否授予，这些信息都会被事先扫描或者动态加入到缓存中，然后framwork会在需要判断这些权限的时候调用checkPermission读取缓存信息。如果申请并且被授予了则放行，否则抛异常。

adb shell

我们再回头来解释一开始说到的adb shell xxx进程uid的问题。通过ps命令我们可以追溯一下adb shell进程父子链：init -> adbd -> /system/bin/sh -> xxx
我说的shell进程即 /system/bin/sh
事实上init进程的uid是root，那么正常情况adbd后面进程也都应该是root啊，为什么从adbd开始uid就成了shell呢？这一度也是我疑惑的地方，看了adbd源码发现原来adbd对uid、gid另外进行了设置。
adbd流程节选：

/* then switch user and group to "shell" */
if (setgid(AID_SHELL) != 0) {
exit(1);
}
if (setuid(AID_SHELL) != 0) {//设置uid为shell
exit(1);
}

---

另外我们看看framwork中shell包的权限声明：shell权限

image.png

我们看到几乎所有的permission都在shell包里声明了，因此adb shell可以说是权限之王（个别高级权限也没有，毕竟不是root）。

我们举个例子：
example : adb shell pm grant package_name permission_name

cat /system/bin/pm
#!/system/bin/sh
#
# Script to start "pm" on the device, which has a very rudimentary
# shell.
#
base=/system
export CLASSPATH=$base/framework/pm.jar
exec app_process $base/bin com.android.commands.pm.Pm "$@"

具体pm实现这里就不贴了，pm grant是需要验证调用者是否具有android.permission.GRANT_RUNTIME_PERMISSIONS权限，这个权限是@hide，普通app肯定没有这个能力，但是shell这个uid是有的。因此adb shell pm grant就可以给其他package授予某个权限，当然具体代码里还会根据protection_level来限制可以授予哪些权限。
清楚了这些我们可以会对adb shell了然于胸，在debug或者研究东西的时候充分利用adb shell，因为shell拥有海量权限。

当然我们也应该很清楚，在你的app中试图使用下面的代码来达到授权的目的其实是无效的：

Runtime.getRuntime().exec("pm grant package_name permission_name");

还是因为UID.