Android系统安全

系统安全

https://source.android.google.cn/security/overview/kernel-security

android安全机制如下:

系统和内核安全

在操作系统级别,Android 平台不仅提供 Linux 内核的安全功能,而且还提供安全的进程间通信 (IPC) 机制,以便在不同进程中运行的应用之间安全通信。操作系统级别的这些安全功能旨在确保即使是原生代码也要受应用沙盒的限制。无论相应代码是自带应用行为导致的结果,还是利用应用漏洞导致的结果,系统都能防止违规应用危害其他应用、Android 系统或设备本身。要了解您可以采取哪些措施来增强设备的内核安全性,请参阅内核配置。要了解必需的设置,请参阅 Android 兼容性定义文档 (CDD)。

Linux 安全

Android 平台的基础是 Linux 内核。Linux 内核多年来得到了非常广泛的应用,在千百万对安全敏感的环境中都有它的身影。在历经无数攻击以及成千上万的开发者的不断研究和修复之后,Linux 已成为许多公司和安全专业人士信任的一款既稳定又安全的内核。

作为移动计算环境的基础,Linux 内核为 Android 提供了一些关键的安全功能,其中包括:

基于用户的权限模式

  • 进程隔离
    用于实现安全 IPC 的可扩展机制
    能够移除内核中不必要的和可能不安全的部分
    作为一种多用户操作系统,Linux 内核的一个基本安全目标是将用户资源彼此隔离开来。Linux 的安全理念是防范用户资源之间相互侵扰。因此,Linux 可以:

防止用户 A 读取用户 B 的文件
确保用户 A 不会占用用户 B 的内存
确保用户 A 不会占用用户 B 的 CPU 资源
确保用户 A 不会占用用户 B 的设备(例如,电话、GPS、蓝牙)

  • 应用沙盒
    Android 平台利用基于用户的 Linux 保护机制来识别和隔离应用资源。Android 系统会为每个 Android 应用分配一个独一无二的用户 ID (UID),并使它们以这个用户身份在单独的进程中运行。这种方法与其他操作系统(包括传统的 Linux 配置)采用的方法不同。在其他操作系统中,多个应用会以相同的用户权限运行。

这样就设置了一个内核级应用沙盒。内核会在进程级别利用标准的 Linux 机制(例如,分配给应用的用户 ID 和组 ID)实现应用和系统之间的安全防护。默认情况下,应用不能彼此交互,而且应用对操作系统的访问权限会受到限制。如果应用 A(一个单独的应用)尝试执行恶意操作,例如在没有权限的情况下读取应用 B 的数据或拨打电话,操作系统会阻止此类操作,因为应用 A 没有适当的用户权限。这一沙盒机制非常简单,可审核,并且基于已有数十年历史的 UNIX 风格的进程用户隔离和文件权限机制。

由于应用沙盒位于内核层面,因此该安全模型的保护范围扩展到了原生代码和操作系统应用。位于更高层面的所有软件(例如,操作系统库、应用框架、应用运行时环境和所有应用)都会在应用沙盒中运行。在某些平台上,为了执行安全防护机制,会限制开发者只能使用特定的开发框架、API 或语言。在 Android 上,并没有为此而限制开发者必须如何编写应用,在这方面,原生代码与解释型代码一样安全。

在某些操作系统中,一个应用中的内存异常可能会破坏位于同一内存空间中的其他应用的内存数据,进而导致设备的安全性荡然无存。在 Android 中,由于所有应用及其资源都在操作系统级别的沙盒内,因此,即使出现内存数据损坏,也只能在相应应用的环境内执行代码,而且只能以操作系统确立的权限执行代码。

与所有安全功能一样,应用沙盒并不是坚不可摧的。不过,要在经过适当配置的设备上攻破应用沙盒这道防线,必须要先攻破 Linux 内核的安全功能。

系统分区和安全模式

系统分区包含 Android 的内核,以及操作系统库、应用运行时、应用框架和应用。该分区设为了只读分区。当用户将设备启动到安全模式时,第三方应用可由设备所有者手动启动,但不会默认启动。

文件系统权限

在 UNIX 风格的环境中,文件系统权限可确保一个用户不能更改或读取另一个用户的文件。在 Android 中,每个应用都以自己的用户身份运行。除非开发者明确地与其他应用共享文件,否则一个应用不能读取或更改另一个应用创建的文件。

安全增强型 Linux

Android 使用安全增强型 Linux (SELinux) 来实施访问控制策略并针对进程建立强制访问控制 (mac) 机制。如需详细信息,请参阅 Android 中的安全增强型 Linux。
https://wizardforcel.gitbooks.io/vbird-linux-basic-4e/content/143.html
https://source.android.google.cn/security/selinux/

验证启动

Android 6.0 及更高版本支持验证启动功能和 device-mapper-verity。验证启动功能旨在保证设备软件(从硬件信任根直到系统分区)的完整性。在启动过程中,无论是在哪个阶段,都会在进入下一个阶段之前以加密形式先验证下一个阶段的完整性和正确性。

Android 7.0 及更高版本支持严格强制执行的验证启动,这意味着遭到入侵的设备将无法启动。

如需更多详细信息,请参阅验证启动。

加密算法库 KeyChain/KeyStore/JCA/BC/BoringSSL/KeyMaster/TEE

Android 提供了一系列加密 API 供应用使用,其中包括标准和常用加密基元(例如,AES、RSA、DSA 和 SHA)的实现。此外,Android 还提供了适用于更高级别协议(例如,SSL 和 HTTPS)的 API。

Android 4.0 中引入了 KeyChain 类,以便应用使用系统凭据存储空间来存储私钥和证书链。

获取设备的 Root 权限

默认情况下,在 Android 上,只有内核和一小部分核心应用能够以 Root 权限运行。Android 不会阻止具有 Root 权限的用户或应用修改操作系统、内核或任何其他应用。一般来说,Root 对所有应用和所有应用数据拥有完整访问权限。如果用户在 Android 设备上更改权限来向应用授予 Root 访问权限,那么在面对恶意应用以及潜在应用缺陷时,安全风险会更大。

能够修改自己的 Android 设备对于使用 Android 平台的开发者来说非常重要。在许多 Android 设备上,用户都可以解锁引导加载程序,以便安装替代操作系统。这些替代操作系统可能会允许所有者获得 Root 访问权限,以便他们调试应用和系统组件,或者使用 Android API 未提供给应用的功能。

在某些设备上,能够亲手控制设备并拥有 USB 数据线的用户可以安装能够向其提供 Root 权限的新操作系统。为了保护所有现有用户数据免遭入侵,引导加载程序解锁机制要求引导加载程序在解锁期间清空所有现有用户数据。利用内核错误或安全漏洞获得 Root 访问权限后,可以绕过这种保护机制。

使用存储在设备上的密钥对数据进行加密的做法并不能防止 Root 用户访问应用数据。应用可以使用存储在设备之外的密钥(例如,存储在服务器上的密钥,或用户密码)进行加密,从而添加一道数据保护屏障。在没有密钥的情况下,这种方法可以提供临时保护,但应用迟早要获取密钥来进行解密,此时 Root 用户也就可以取得相应密钥了。

一种更强大的防止 Root 用户获取数据的方式是使用硬件解决方案。OEM 可以选择实现可限制特定类型的内容的访问权限的硬件解决方案,例如,适用于视频播放的 DRM 解决方案或适用于 Google 电子钱包的 NFC 相关可信存储空间。

如果设备丢失或被盗,Android 设备上的全文件系统加密功能会用设备密码来保护加密密钥,这样一来,修改启动加载程序或操作系统的做法将不足以在没有用户设备密码的情况下访问用户数据。

用户安全功能

  • 文件系统加密
    Android 3.0 及更高版本提供全文件系统加密功能,因此所有用户数据都可以在内核中进行加密。

Android 5.0 及更高版本支持全盘加密。全盘加密功能旨在用一个密钥(由用户的设备密码加以保护)来保护设备的整个用户数据分区。在启动时,用户必须先提供其凭据,然后才能访问磁盘的任何部分。

Android 7.0 及更高版本支持文件级加密。采用文件级加密时,可以使用不同的密钥对不同的文件进行加密,并且可以对这些文件进行单独解密。

如需详细了解如何实现文件系统加密,请参阅加密部分。

  • 密码保护
    Android 可以配置为先验证用户提供的密码,然后再提供对设备的访问权限。除了防止未经授权使用设备外,该密码还可以保护用于进行全文件系统加密的加密密钥。

设备管理员可以要求使用密码和/或设置密码复杂度规则。

  • 设备管理
    Android 2.2 及更高版本提供 Android Device Administration API,该 API 在系统级别提供设备管理功能。例如,内置的 Android 电子邮件应用可以使用该 API 来改善 Exchange 支持。在此情况下,Exchange 管理员可以跨设备强制执行密码政策(字母数字密码或数字 PIN 码都算作密码)。管理员还可以远程清除(即恢复出厂默认设置)丢失或被盗手机上的数据。

除了 Android 系统自带的应用,提供设备管理解决方案的第三方也可使用该 API。如需详细了解该 API,请参阅设备管理。

身份验证

  • 指纹
  • gatekeeper

生物识别解锁

模式 冒名攻击 欺骗攻击
指纹 不适用 指纹 + 指纹模具
脸部 试图看上去像是用户的脸部 高分辨率照片、乳胶(或其他高质量)面罩
语音 试图听起来像是用户的声音 录音
虹膜 不适用 高分辨率照片 + 隐形眼镜

文件加密

  • 文件级加密
  • 全盘加密

TrustZone-TEE

参考开源的optee
http://blog.csdn.net/shuaifengyun/article/details/73716352

InSE芯片系统

芯片系统COS,之前实验室做过相关的自主研发芯片,C51 CPU集成了小型的COS系统,不支持applet。熟悉基本原理。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,076评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,658评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,732评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,493评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,591评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,598评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,601评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,348评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,797评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,114评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,278评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,953评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,585评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,202评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,180评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,139评论 2 352

推荐阅读更多精彩内容