1. 制定smack规则
“Zygote”进程由init进程创建,它负责创建系统服务进程“systemserver”、“radio”进程和APP进程。其中“radio”进程的uid是1001,它能够实现打电话和发短信的功能,“systemserver”进程uid是1000,它负责创建系统服务组件,通讯录进程uid是10000,它能够访问通讯录数据库,uid大于等于10000的进程都属于Android应用程序进程。
为了实现对“radio”和通讯录进程的访问控制,本课题使用“libsmack”库中“setsmack”函数将“radio”进程的安全标签设置为“1001”。将通讯录进程的安全标签设置为“10000”。需要强调的是,上面两个uid是被Android系统硬编码,不随Android版本改变而改变。假设某个进程的uid是XXX,当“Zygote”进程“fork”此进程时,该进程首先是一个特权进程,因此它可以使用“setsmack”函数将自身安全标签设置为“XXX”,并装载Smack安全策略。本研究课题在经过大量实验基础上总结得出下面规则:
(1)确保一个进程正常运行:“XXX _ rwxa”&& “_ XXX rwxa”
由于Smack被编译到Android系统中,因此,在默认情况下,Android系统所有文件和进程的安全标签都是“_”,一个被重新设置过安全标签的进程要想正常运行,必然要和安全标签是“_”进程进行通信或者读写某些安全标签是“_”的文件。
(2)禁止一个进程正常运行:“XXX _ ----”
(3)禁止一个进程发生短信:“XXX 1001 ----”
任何一个进程要想发送短信必须在“Binder Driver”中与“radio”进程通信,因此,只要该进程不能发送消息给“radio”进程,那么该进程就不能完成发送短信的功能。
(4)容许一个进程发生短信:“XXX 1001 rwxa”&& “1001 XXX rwxa”
(5)容许通讯录进程正常访问通讯录:“10000 contact rwxa”
“/data/data/com.android.providers.contacts/database/contact2.db”存放通讯录里的信息,为此,在“dalvik_system_Zygote.cpp”中使用“libsmack”库中的函数“setxattr”将这个数据库文件的安全标签设置为“contact”。为了使通讯录进程能够正常访问通讯录,必须保证通讯录进程对此数据库文件有读、写、执行和“盲写”的权限。
(6)容许一个进程正常访问通讯录:
“XXX 10000 rwxa” && “10000 XXX rwxa”
在具备规则5的前提下,一个进程要想访问通讯录,它必须与通讯录进程在“Binder Driver”中通信,为此必须容许这两个进程能够互相发送消息给对方。
(7)禁止一个进程访问通讯录和通话记录:“XXX 10000 ----”
(8)容许一个进程访问短信记录:“XXX sms rwxa”
“/data/data/com.android.providers.telephony/database/mmssms.db”是短信和彩信的信息数据库文件,同样也是使用函数“setxattr”将这个数据库文件设置安全标签“sms”,任何一个进程要想查看短信,必须能够访问此数据库文件。
(9)禁止一个进程访问短信记录:“XXX sms ----”
(10)容许一个进程访问SD卡文件:“XXX sdcard rwxa”
Smack是利用虚拟文件系统VFS的“inode”和“super_block”为文件系统设置安全标签,因此不管SD卡采用什么样的文件系统,SD卡上的文件均可以被设置安全标签“sdcard”。
(11) 禁止一个进程访问SD卡文件:“XXX sdcard ----”
(12) 禁止Android系统打电话和发短信:“1001 _ ----”
这里的“_”代表了radio守护进程,它是由“init”进程创建的,它的可执行文件是“/system/bin/radio”,Android系统打电话和发短信功能最终是要靠它来驱动硬件实现。“1001”进程就是在“Binder Driver”中与radio守护进程进行通信,从而完成了打电话和发送短信的功能。如果想要禁止Android系统中所有进程打电话和发短信,只要“1001”进程不能发消息给radio守护进程即可。
(13) 容许Android系统正常打电话和发短信:
“1001 _ rwxa”&& “_ 1001 rwxa”
2. 装载smack策略
由于Zygote每“fork”子进程,该子进程首先是一个特权进程,如下所示:
dvmDumpLoaderStats("zygote");
pid = fork();
if (pid == 0) {
int err;
... ...
}
因此,可以在定义变量err之后加入控制代码。这里,本课题设计了如下四个函数:
#ifdef HAVE_SMACK
/*
* set process self smack label and smack rules
* return -1 if the database can not be opencorrectly
* return 2 if the uerId can not be found inthe smack rules table
* else return 1 if the smack label and rulecan be set correctly
* else return 0 if the smack label can not beset correctly
* */
static int setsmacklabelrules(intuserId);
setsmacklabelrules是根据uerId值到安全策略数据库中,查找相关的smack规则。
/*
* set sdcard label to the files on sdcard interms of encryptedfiles table
* return -1 if the database can not be opencorrectly
* return 1 if files xattr can be set correctlyon the sdcard
* else return 0
* */
#ifdef HAVE_SMACK
static intsetlabelTosdcardfiles();
setlabelTosfcardfiles是从sdcard文件列表中查找文件的绝对路径,并调用setxattr为文件设置安全标签,在此,设置短信数据库和通讯录数据库安全标签的代码也放入其中,如下所示:
if(setxattr("/data/data/com.android.providers.telephony/databases/mmssms.db",SMACKATTR, "sms", strlen("sms") + 1, 0) < 0) {
xattr = false;
}
if(setxattr("/data/data/com.android.providers.contacts/databases/contacts2.db",SMACKATTR, "contact", strlen("contact") + 1, 0) < 0) {
xattr = false;
}
为了能够进一步控制打电话和发短信行为,本课题设计了InitializeOutgoingcallwhitelist函数将白名单数据表内容导入白名单配置文件中,如下所示:
#ifdef HAVE_SMACK
/*
* to initialize outgoingcallwhitelist
* return 1 if the outgoingcallwhitelist fileis initialized correctly
* else return 0
* */
static int InitializeOutgoingcallwhitelist();
又因为radio所属的组是user,所以它不能读取Zygote创建的白名单配置文件,所以必须使用chmod修改白名单配置文件的访问模式。