سندباکس برنامه

پلتفرم اندروید از محافظت مبتنی بر کاربر لینوکس برای شناسایی و جداسازی منابع برنامه بهره می برد. این برنامه ها را از یکدیگر جدا می کند و از برنامه ها و سیستم در برابر برنامه های مخرب محافظت می کند. برای انجام این کار، اندروید یک شناسه کاربری (UID) منحصر به فرد را به هر برنامه اندرویدی اختصاص می دهد و آن را در فرآیند خودش اجرا می کند.

Android از UID برای راه اندازی یک Application Sandbox در سطح هسته استفاده می کند. هسته امنیت بین برنامه‌ها و سیستم را در سطح فرآیند از طریق امکانات استاندارد لینوکس مانند شناسه‌های کاربر و گروهی که به برنامه‌ها تخصیص داده می‌شود، اعمال می‌کند. به طور پیش فرض، برنامه ها نمی توانند با یکدیگر تعامل داشته باشند و دسترسی محدودی به سیستم عامل دارند. اگر برنامه A سعی کند کار مخربی انجام دهد، مانند خواندن داده های برنامه B یا شماره گیری تلفن بدون اجازه، از انجام این کار جلوگیری می کند زیرا از امتیازات پیش فرض کاربر مناسب برخوردار نیست. سندباکس ساده، قابل ممیزی است و بر اساس چندین دهه جداسازی کاربر به سبک یونیکس از فرآیندها و مجوزهای فایل است.

از آنجایی که Application Sandbox در هسته قرار دارد، این مدل امنیتی هم به کدهای بومی و هم برنامه های سیستم عامل گسترش می یابد. همه نرم افزارهای بالای هسته، مانند کتابخانه های سیستم عامل، چارچوب برنامه، زمان اجرای برنامه و همه برنامه ها، در Application Sandbox اجرا می شوند. در برخی از پلتفرم‌ها، توسعه‌دهندگان به یک چارچوب توسعه خاص، مجموعه‌ای از APIها یا زبان محدود می‌شوند. در اندروید، هیچ محدودیتی در مورد نحوه نوشتن یک برنامه کاربردی که برای اجرای امنیت لازم است وجود ندارد. از این نظر، کد بومی به اندازه کد تفسیر شده جعبه‌بندی شده است.

حفاظت ها

به طور کلی، برای خارج شدن از Application Sandbox در دستگاهی که به درستی پیکربندی شده است، باید امنیت هسته لینوکس را به خطر انداخت. با این حال، مانند سایر ویژگی‌های امنیتی، حفاظت‌های فردی که جعبه ایمنی برنامه را اجرا می‌کنند، آسیب‌ناپذیر نیستند، بنابراین دفاع در عمق برای جلوگیری از آسیب‌پذیری‌های منفرد از به خطر افتادن سیستم‌عامل یا سایر برنامه‌ها مهم است.

اندروید برای اجرای سندباکس برنامه به تعدادی از محافظت ها متکی است. این اعمال در طول زمان معرفی شده اند و به طور قابل توجهی جعبه ایمنی کنترل دسترسی اختیاری مبتنی بر UID (DAC) را تقویت کرده اند. نسخه های قبلی اندروید شامل محافظت های زیر بود:

  • در اندروید 5.0، SELinux جداسازی اجباری کنترل دسترسی (MAC) را بین سیستم و برنامه‌ها فراهم کرد. با این حال، همه برنامه‌های شخص ثالث در یک زمینه SELinux اجرا می‌شدند، بنابراین جداسازی بین برنامه‌ای عمدتاً توسط UID DAC اعمال شد.
  • در اندروید 6.0، جعبه شنی SELinux برای ایزوله کردن برنامه‌ها در سراسر مرز فیزیکی هر کاربر گسترش یافت. علاوه بر این، Android پیش‌فرض‌های ایمن‌تری را برای داده‌های برنامه تنظیم می‌کند: برای برنامه‌های دارای targetSdkVersion >= 24 ، مجوزهای پیش‌فرض DAC در صفحه اصلی برنامه از 751 به 700 تغییر کرد. این پیش‌فرض ایمن‌تر را برای داده‌های برنامه خصوصی ارائه می‌کند (اگرچه برنامه‌ها ممکن است این پیش‌فرض‌ها را لغو کنند) .
  • در اندروید 8.0، همه برنامه‌ها با فیلتر seccomp-bpf اجرا می‌شدند که سیستم‌های سیستمی را که برنامه‌ها مجاز به استفاده از آن‌ها بودند محدود می‌کرد، بنابراین مرز برنامه/کرنل را تقویت می‌کرد.
  • در اندروید 9 همه برنامه‌های غیرمجاز با targetSdkVersion >= 28 باید در جعبه‌های sandbox SELinux جداگانه اجرا شوند و MAC را بر اساس هر برنامه ارائه کنند. این محافظت جداسازی برنامه‌ها را بهبود می‌بخشد، از نادیده گرفتن پیش‌فرض‌های ایمن جلوگیری می‌کند و (به‌طور قابل توجهی) از دسترسی برنامه‌ها به دنیای داده‌هایشان جلوگیری می‌کند.
  • در اندروید 10، برنامه‌ها دید خام محدودی از سیستم فایل دارند، بدون دسترسی مستقیم به مسیرهایی مانند /sdcard/DCIM. با این حال، برنامه‌ها دسترسی خام کامل به مسیرهای بسته خاص خود را حفظ می‌کنند، همانطور که با هر روش قابل اجرا، مانند Context.getExternalFilesDir() بازگردانده می‌شوند.

راهنمایی برای اشتراک گذاری فایل ها

تنظیم داده‌های برنامه به‌عنوان قابل دسترسی جهانی، یک عمل امنیتی ضعیف است. دسترسی به همه اعطا می شود و نمی توان دسترسی را فقط به گیرنده(های) مورد نظر محدود کرد. این عمل منجر به افشای اطلاعات و آسیب‌پذیری‌های گیج‌شده معاون شده است و هدف مورد علاقه بدافزارهایی است که برنامه‌هایی را با داده‌های حساس (مانند کلاینت‌های ایمیل) هدف قرار می‌دهند. در اندروید 9 و بالاتر، اشتراک‌گذاری فایل‌ها به این روش برای برنامه‌های دارای targetSdkVersion>=28 به صراحت مجاز نیست.

به جای اینکه داده های برنامه را در دسترس جهانی قرار دهید، هنگام به اشتراک گذاری فایل ها از دستورالعمل های زیر استفاده کنید:

  • اگر برنامه شما نیاز به اشتراک گذاری فایل ها با برنامه دیگری دارد، از یک ارائه دهنده محتوا استفاده کنید. ارائه‌دهندگان محتوا داده‌ها را با جزئیات مناسب و بدون جنبه‌های منفی بسیاری از مجوزهای یونیکس در دسترس جهان به اشتراک می‌گذارند (برای جزئیات، به اصول ارائه‌دهنده محتوا مراجعه کنید).
  • اگر برنامه شما فایل‌هایی دارد که واقعاً باید در دسترس جهانیان باشد (مانند عکس‌ها)، آنها باید مختص رسانه باشند (فقط عکس‌ها، ویدیوها و فایل‌های صوتی) و با استفاده از کلاس MediaStore ذخیره شوند. (برای جزئیات بیشتر در مورد نحوه افزودن یک مورد رسانه، به دسترسی به فایل‌های رسانه از فضای ذخیره‌سازی مشترک مراجعه کنید.)

مجوز زمان اجرا Storage دسترسی به مجموعه‌های با تایپ قوی را از طریق MediaStore کنترل می‌کند. برای دسترسی به فایل‌هایی با تایپ ضعیف مانند PDF و کلاس MediaStore.Downloads ، برنامه‌ها باید از هدف‌هایی مانند هدف ACTION_OPEN_DOCUMENT استفاده کنند.

برای فعال کردن رفتار Android 10، از ویژگی مانیفست requestLegacyExternalStorage استفاده کنید و بهترین شیوه‌های مجوزهای برنامه را دنبال کنید.

  • مقدار پیش‌فرض پرچم مانیفست برای برنامه‌هایی که اندروید 9 (و پایین‌تر) را هدف قرار می‌دهند true است.
  • مقدار پیش‌فرض برای برنامه‌هایی که Android 10 را هدف قرار می‌دهند نادرست است. برای انصراف موقت از نمای فضای ذخیره‌سازی فیلتر شده در برنامه‌هایی که Android 10 را هدف قرار می‌دهند، مقدار پرچم مانیفست را روی true تنظیم کنید.
  • نصب‌کننده با استفاده از مجوزهای محدود، برنامه‌های مجاز را برای فضای ذخیره‌سازی غیرمجاز در لیست سفید قرار می‌دهد. برنامه‌هایی که در لیست سفید قرار نگرفته‌اند، در جعبه ایمنی قرار می‌گیرند.