Android應用程式獲得root許可權
Android應用程式獲得root許可權
我在博文《Android程式的安全系統》中提到兩種讓root許可權的辦法。最近在網上發現很多朋友轉載那篇文章,但是對那篇文章中提到的第一種方法怎樣實現,不是很明白。本文將會以一個例子實現來演示怎樣讓一個Android應用程式獲得root許可權。
問題
我遇到的問題是我想在Java應用程式中動態mount一個NFS的系統,但是執行mount命令必須要要root許可權才可以。一般情況下,在Android的Java層是不能獲得root許可權的。
思路
我在博文《
1、實現一個init實現一個Service,來幫助Android應用程式執行root許可權的命令。
2、實現一個虛擬裝置,這個裝置幫助Android應用程式執行root許可權的命令。
本文將會選擇第一種來解決Android應用程式mount NFS檔案系統的問題。
Init.rc Service
在Android系統init.rc中定義很多Service,具體定義格式可以參考《Android Platform Developer’s Guide
現在問題是Android應用程式怎樣啟動讓init程序知道我們想執行那個程序呢?答案是設定系統屬性“ctl.start”,把 “ctl.start”設定為你要執行的Service,假設為“xxx”,Android系統將會幫你執行“ctl.start”系統屬性中指定的 Service。那麼執行結果init程序將會將會寫入命名為“init.svc.+Service名稱”的屬性中,也就是“init.svc.xxx” 屬性,應用程式可以參考查閱這個值來確定Service執行的情況。想更深入瞭解Android property系統可以參考博文《
Android property許可權
難道Android屬性“ctl.start”是所有程序都可以設定的嗎?那世界不就亂套了,誰都可以可以執行init.rc中Service了,檢視 property_service.c中的原始碼,設定Android系統屬性的函式為handle_property_set_fd:
1: void handle_property_set_fd(int fd)
2: {
3: ......
4: switch(msg.cmd) {
5: case PROP_MSG_SETPROP:
6: msg.name[PROP_NAME_MAX-1] = 0;
7: msg.value[PROP_VALUE_MAX-1] = 0;
8:
9: if(memcmp(msg.name,"ctl.",4) == 0) {
10: if (check_control_perms(msg.value, cr.uid, cr.gid)) {
11: handle_control_message((char*) msg.name + 4, (char*) msg.value);
12: } else {
13: ERROR("sys_prop: Unable to %s service ctl [%s] uid: %d pid:%d\n",
14: msg.name + 4, msg.value, cr.uid, cr.pid);
15: }
16: }
17: ......
18: }
19: }
從原始碼中我們發現如果設定“ctl.”開頭的Android系統property,將會呼叫check_control_perms函式來檢查呼叫者的許可權,其定義如下:
1: static int check_control_perms(const char *name, int uid, int gid) {
2: int i;
3: if (uid == AID_SYSTEM || uid == AID_ROOT)
4: return 1;
5:
6: /* Search the ACL */
7: for (i = 0; control_perms[i].service; i++) {
8: if (strcmp(control_perms[i].service, name) == 0) {
9: if ((uid && control_perms[i].uid == uid) ||
10: (gid && control_perms[i].gid == gid)) {
11: return 1;
12: }
13: }
14: }
15: return 0;
16: }
我們發現root許可權和system許可權的應用程式將會授權修改“ctl.”開頭的Android系統屬性。否則將會檢查control_perms全域性變數中的定義許可權和Service。
如果想更深入的瞭解Android Init程序和Android Property的許可權控制,請參考《Android Permission》。
例項
通過上面的介紹我們基本已經有思路了,下面以上面提出的mount nfs檔案系統為例說明:
1、首先定義一個執行mount的指令碼,我把它位於/system/etc/mount_nfs.sh,定義如下:
1: #!/system/bin/sh
2:
3: /system/bin/busybox mount -o rw,nolock -t nfs 192.168.1.6:/nfs_srv /data/mnt
不要忘了把它加上可執行許可權。
2、在init.rc中加入一個Service定義,定義如下:
1: service mount_nfs /system/etc/mount_nfs.sh
2: oneshot
3: disabled
3、讓自己的應用程式獲得system許可權,博文《Android程式的安全系統》中提到了怎樣獲得system許可權,請參考,這裡就不贅述了。
4、在自己應用程式中設定System系統屬性“ctl.start”為“mount_nfs”,這樣Android系統將會幫我們執行mount_nfs系統屬性了。這裡需要強調的是不能夠呼叫System.getProperty,這個函式只是修改JVM中的系統屬性。而不能修改Android的系統屬性。可以呼叫 android.os.SystemProperties(Android 2.1 Eclair系統可以呼叫這個API),如果你的Android版本不能呼叫這個類,只能通過JNI,呼叫C/C++層的API property_get和property_set函數了。如果想詳細瞭解請參考《(翻譯)Android屬性系統》。程式碼如下:
1: SystemProperties.set("ctl.start", "mount_nfs");
5、最後在自己應用程式中,讀取“init.svc.mount_nfs”Android系統Property,檢查執行結果。程式碼如下:
1: while(true)
2: {
3: mount_rt = SystemProperties.get("init.svc.mount_nfs", "");
4: if(mount_rt != null && mount_rt.equals("stopped"))
5: {
6: return true;
7: }
8:
9: try
10: {
11: Thread.sleep(1000);
12: }catch(Exception ex){
13: Log.e(TAG, "Exception: " + ex.getMessage());
14: }
15: }
init程序維護一個service的佇列,所以我們需要輪訓來查詢service的執行結果。
通過上面的這些步驟,Android應用程式就能夠呼叫init.rc中定義的Service了。這樣你的Android應用程式也就獲得了root許可權。
總結
通過上文可以看出,在Android獲得root許可權還是需要一些前提的,比如:
1、必須是Android系統開發人員,否則你無法修改init.rc等檔案。 2、你的應用程式必須要獲得system許可權。
這樣可以防止root許可權被應用程式無限制的使用,最終危及Android系統安全。
希望本文對你能有所幫助,如果有錯誤之處敬請指正。