简介
复杂系统始终存在漏洞, 软件复杂性只会随着时间的推移而增加。无论您如何谨慎地采用安全编码实践并防范错误, 攻击者只需通过一次防御即可成功。虽然应用沙盒不能防止对你的应用的攻击, 但它确实最大限度地减少了成功应用可能造成的危害。
非沙盒应用具有运行该应用的用户的完全权限, 并且可以访问用户也可以访问的任何资源。如果该应用或它所链接的任何框架包含安全漏洞, 攻击者可能会利用这些漏洞来控制该应用, 并且在此过程中, 攻击者可以执行用户可以执行的任何操作。
iOS应用程序沙盒
沙盒你的应用是保护系统和用户的好方法, 方法是将应用的权限限制在其预期功能范围内, 从而增加恶意软件危害用户系统的难度。
应用沙盒策略旨在缓解此问题, 它有两个方面:
- 应用沙盒使你能够描述你的应用如何与系统交互。然后,系统授予你的应用完成其工作所需的访问权限, 而不是更多。
- app sandbox 允许用户通过 "打开" 和 "保存" 对话框、拖放和其他熟悉的用户交互, 透明地授予你的应用额外访问权限。
应用程序沙盒是基于几个直接的原则
通过限制对每个应用上的敏感资源的访问, app sandbox 提供了最后一道防线, 以防止用户数据被盗、损坏或删除, 或在攻击者成功利用应用中的安全漏洞的情况下劫持系统硬件。例如, 沙盒应用必须明确声明其使用以下任何资源使用权限的意图:
- 硬件 (相机、麦克风、usb、打印机)
- 网络连接 (入站或出站)
- 应用数据 (日历、位置、联系人)
- 用户文件 (下载、图片、音乐、电影、用户选择的文件)
系统会在运行时拒绝对项目定义中未明确请求的任何资源的访问。例如, 如果你正在编写草图应用, 并且你知道你的应用永远不需要访问麦克风, 你根本不要求访问, 系统知道拒绝你 (可能被破坏的) 应用使用它的任何尝试。
另一方面, 沙盒应用可以访问您请求的特定资源, 允许用户通过以通常的方式执行典型操作 (如拖放) 来展开沙盒, 并可以自动执行许多被认为安全的其他操作, 包括:
- 从 "服务" 菜单调用服务
- 读取世界上最可读的系统文件
- 打开用户选择的文件
app sandbox
的元素包括权限、容器目录、用户确定的权限、权限分离和内核强制。通过协同工作, 这些方法阻止应用访问比完成其工作所需的更多的系统。
iOS文件系统
通常禁止应用访问或创建其容器目录之外的文件。此规则的一个例外是, 应用使用公共系统接口访问用户的联系人或音乐等内容。在这些情况下, 系统框架使用帮助器应用程序来处理从相应的数据存储中读取或修改相应数据存储所需的任何与文件相关的操作
1. 0应用名称.app
这是应用程序的捆绑。此目录包含应用及其所有资源。您不能写入此目录。为了防止篡改, 在安装时对捆绑目录进行签名。写入此目录会更改签名并阻止你的应用启动。但是, 您可以获得对存储在应用包中的任何资源的只读访问权限。
itunes 或 icloud 不会备份此目录的内容。但是, itunes 确实会对从应用商店购买的任何应用进行初始同步。
2.0 Documents/
使用此目录可以存储用户生成的内容。此目录的内容可以通过文件共享提供给存放应用程序的数据 (苹果建议将程序中建立的或在程序中浏览到的文件数据保存在该目录下,iTunes备份和恢复的时候会包括此目录);
3.0 /Library
存储程序的默认设置或其它状态信息,子文件夹有Caces
, Preferences
-
/Caches
: 保存用户使用应用程序时产生的缓存文件, 比如网络请求的数据. 应用程序通常还需要负责删除这些文件. 不会被iTunes
同步; -
/Preferences
: 应用程序的偏好设置文件. 我们使用NSUserDefaults
写的设置数据都会保存到该目录下的一个plist
文件中,这就是所谓的写入plist
中. 会被iTunes
同步;
4.0 /tmp
应用程序存储的临时文件(应用程序再次启动时不需要的文件). 比如系统磁盘存储空间不足的时候, 该目录下的文件随时有可能被系统清理掉.不会被iTunes
同步.
Android 应用程序沙盒
Android
应用采用 Java
编程语言编写。Android SDK
工具将您的代码 — 连同任何数据和资源文件 — 编译到一个 APK:Android
软件包,即带有.apk
后缀的存档文件中。一个 APK
文件包含 Android
应用的所有内容,它是基于 Android
系统的设备用来安装应用的文件。
安装到设备后,每个 Android
应用都运行在自己的安全沙箱内:
-
Android
操作系统是一种多用户Linux
系统,其中的每个应用都是一个不同的用户;
默认情况下,系统会为每个应用分配一个唯一的Linux
用户ID
(该ID
仅由系统使用,应用并不知晓)。系统为应用中的所有文件设置权限,使得只有分配给该应用的用户ID
才能访问这些文件; - 每个进程都具有自己的虚拟机
(VM)
,因此应用代码是在与其他应用隔离的环境中运行;
默认情况下,每个应用都在其自己的Linux
进程内运行。Android
会在需要执行任何应用组件时启动该进程,然后在不再需要该进程或系统必须为其他应用恢复内存时关闭该进程。
Android
系统可以通过这种方式实现最小权限原则。也就是说,默认情况下,每个应用都只能访问执行其工作所需的组件,而不能访问其他组件。这样便营造出一个非常安全的环境,在这个环境中,应用无法访问系统中其未获得权限的部分。
Android
系统可以通过这种方式实现最小权限原则。也就是说,默认情况下,每个应用都只能访问执行其工作所需的组件,而不能访问其他组件。这样便营造出一个非常安全的环境,在这个环境中,应用无法访问系统中其未获得权限的部分。
不过,应用仍然可以通过一些途径与其他应用共享数据以及访问系统服务:
- 可以安排两个应用共享同一
Linux
用户ID
,在这种情况下,它们能够相互访问彼此的文件。 为了节省系统资源,可以安排具有相同用户 ID 的应用在同一 Linux 进程中运行,并共享同一 VM(应用还必须使用相同的证书签署)。 - 应用可以请求访问设备数据(如用户的联系人、短信、可装载存储装置 [SD 卡]、相机、蓝牙等)的权限。 用户必须明确授予这些权限。