AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

看我如何绕过android P的Restrictions on non-SDK interfaces(限制反射调用系统私有方法)

2018-07-10 7469
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

0x1:背景

android P出了个新特性,限制了对hidden field 和 method 的 反射调用,那组件化这些是不是都快要挂了。我第一感觉应该是可以绕过的,于是马上研究了下,详情可以看
https://developer.android.com/preview/restrictions-non-sdk-interfaces.html
限制私有api的调用,这意味着目前几乎所有的组件化框架和多开这些都会失效,这些框架都反射调用了大量的私有系统api,android P目前给了大家一个过渡的时间,用了私有api的暂时不会奔溃,只是在logcat都会给出现warning,比如:

Accessing hidden field Landroid/os/Message;->flags:I (light greylist, JNI).   
Accessing hidden method Landroid/app/ActivityThread;->currentActivityThread()Landroid/app/ActivityThread; (dark greylist, reflection)

但之后的版本,就会出更严格的限制,使用这些api直接回抛Error,比如:NoSuchFieldError和NoSuchMethodError

0x2:源码分析

https://android.googlesource.com/platform/art/+/d7fbc0eb824e495b940dd739404d945a35f01fd3%5E%21/#F2(感谢武华第一时间给我发了代码diff)
这个提交是处理hidden API的情况的,我们需要的代码差不多就在这里面了。通过逆向思维,我们查找打印出warning的关键字Accessing hidden method ,可以定位到函数在https://android.googlesource.com/platform/art/+/master/runtime/hidden_api.h

// Issue a warning about method access.
inline void WarnAboutMemberAccess(ArtMethod* method, AccessMethod access_method)
    REQUIRES_SHARED(Locks::mutator_lock_) {
  std::string tmp;
  LOG(WARNING) << "Accessing hidden method "
               << method->GetDeclaringClass()->GetDescriptor(&tmp) << "->"
               << method->GetName() << method->GetSignature().ToString()
               << " (" << HiddenApiAccessFlags::DecodeFromRuntime(method->GetAccessFlags())
               << ", " << access_method << ")";
}

接着查找函数引用,找到上层函数ShouldBlockAccessToMember,

// Returns true if access to `member` should be denied to the caller of the
// reflective query. The decision is based on whether the caller is in boot
// class path or not. Because different users of this function determine this
// in a different way, `fn_caller_in_boot(self)` is called and should return
// true if the caller is in boot class path.
// This function might print warnings into the log if the member is greylisted.
template<typename T>
inline bool ShouldBlockAccessToMember(T* member,
                                      Thread* self,
                                      std::function<bool(Thread*)> fn_caller_in_boot,
                                      AccessMethod access_method)
    REQUIRES_SHARED(Locks::mutator_lock_) {
  DCHECK(member != nullptr);
  Runtime* runtime = Runtime::Current();
  if (!runtime->AreHiddenApiChecksEnabled()) {
    // Exit early. Nothing to enforce.
    return false;
  }
  Action action = GetMemberAction(member->GetAccessFlags());
  if (action == kAllow) {
    // Nothing to do.
    return false;
  }
  // Member is hidden. Walk the stack to find the caller.
  // This can be *very* expensive. Save it for last.
  if (fn_caller_in_boot(self)) {
    // Caller in boot class path. Exit.
    return false;
  }
  // Member is hidden and we are not in the boot class path.
  // Print a log message with information about this class member access.
  // We do this regardless of whether we block the access or not.
  WarnAboutMemberAccess(member, access_method);
  // Block access if on blacklist.
  if (action == kDeny) {
    return true;
  }
  // Allow access to this member but print a warning.
  DCHECK(action == kAllowButWarn || action == kAllowButWarnAndToast);
  // Depending on a runtime flag, we might move the member into whitelist and
  // skip the warning the next time the member is accessed.
  if (runtime->ShouldDedupeHiddenApiWarnings()) {
    member->SetAccessFlags(HiddenApiAccessFlags::EncodeForRuntime(
        member->GetAccessFlags(), HiddenApiAccessFlags::kWhitelist));
  }
  // If this action requires a UI warning, set the appropriate flag.
  if (action == kAllowButWarnAndToast || runtime->ShouldAlwaysSetHiddenApiWarningFlag()) {
    Runtime::Current()->SetPendingHiddenApiWarning(true);
  }
  return false;
}

到这里,已经不用再跟踪上层应用了,这个逻辑已经很清楚了,有兴趣的可以自己继续跟踪上去。

0x3:如何绕过

  • 方法一:
    我们的目的就是让ShouldBlockAccessToMember这个函数返回false,这样就能绕过限制了。

runtime->AreHiddenApiChecksEnabled这里是个很关键的开关,当开关是false的时候,会不检查私有函数的调用。在
https://android.googlesource.com/platform/art/+/master/runtime/runtime.h
我们找到了这个函数的逻辑:

 bool AreHiddenApiChecksEnabled() const {
    return do_hidden_api_checks_;
  }

do_hidden_api_checks_是个全局变量,继续查找do_hidden_api_checks_ 的引用,可以发现有个SetHiddenApiChecksEnabled的函数,

void SetHiddenApiChecksEnabled(bool value) {
    do_hidden_api_checks_ = value;
  }

因此,如何让do_hidden_api_checks_赋值为false很明显了,直接调用这个函数SetHiddenApiChecksEnabled(false)即可,不过找到这个函数地址也是有点小难度的,要找到Runtime这个实例的基地址加上SetHiddenApiChecksEnabled的函数偏移才行,这个偏移只能硬编码,而且从 Android N 开始,谷歌对NDK调用私有API的行为做了限制,意味着通过dlopen系统库和dlsym函数符号找到函数地址已经失效了,不过我们还是可以通过一些特别的手段解决这个问题的,这里就不继续深入了,有兴趣的可以私下找我探讨。

  • 方法二:这个方法是比较简单粗暴的,我们的目的是让ShouldBlockAccessToMember这个函数返回false,因此直接通过hook这个函数修改返回结果为false即可,我这边已经通过简单的demo绕过了这个warning。关键实现代码如下
void* (*oldShouldBlockAccessToMember)(void* p0,void* p1,void* p2,void* p3) = NULL;

bool* myShouldBlockAccessToMember(void* p0,void* p1,void* p2,void* p3)
{
      LOGE("myShouldBlockAccessToMember");
      return false;
}

extern "C" __attribute__((constructor)) void hookinit() {
    LOGE("#---------- Start hookinit ---------------#");
    unsigned long ShouldBlockAccessToMember = (long)base + 0x2af41c+1;
    MSHookFunction((void *)ShouldBlockAccessToMember, (void *)myShouldBlockAccessToMember, (void**)&oldShouldBlockAccessToMember);
    LOGE("==hook ShouldBlockAccessToMember ok")
    LOGE("#---------- End hookinit ---------------#");
}

0x4:结论

实际上无论谷歌怎么限制,主要不是在内核层限制,在自己的进程空间里面限制的话,理论上都是可以绕过的。

文章标签:
Android开发
API
关键词:
Android系统
Android SDK
android音视频终端 SDK
Android方法
音视频终端 SDK系统
fashaodexiaohai
目录
相关文章
卓伊凡
|
3月前
|
开发工具 Android开发
X Android SDK file not found: adb.安卓开发常见问题-Android SDK 缺少 `adb`(Android Debug Bridge)-优雅草卓伊凡
X Android SDK file not found: adb.安卓开发常见问题-Android SDK 缺少 `adb`(Android Debug Bridge)-优雅草卓伊凡
卓伊凡
548 11
X Android SDK file not found: adb.安卓开发常见问题-Android SDK 缺少 `adb`(Android Debug Bridge)-优雅草卓伊凡
林栩link
|
3月前
|
Linux 测试技术 语音技术
【车载Android】模拟Android系统的高负载环境
本文介绍如何将Linux压力测试工具Stress移植到Android系统,用于模拟高负载环境下的CPU、内存、IO和磁盘压力,帮助开发者优化车载Android应用在多任务并发时的性能问题,提升系统稳定性与用户体验。
林栩link
276 6
计算机程序设计Y2013070224
|
3月前
|
Java 数据库 Android开发
基于Android的电子记账本系统
本项目研究开发一款基于Java与Android平台的开源电子记账系统,采用SQLite数据库和Gradle工具,实现高效、安全、便捷的个人财务管理,顺应数字化转型趋势。
计算机程序设计Y2013070224
290 1
蓝易云
|
8月前
|
安全 搜索推荐 Android开发
Android系统SELinux安全机制详解
如此看来,SELinux对于大家来说,就像那位不眠不休,严阵以待的港口管理员,守护我们安卓系统的平安,维护这片海港的和谐生态。SELinux就这样,默默无闻,却卫士如山,给予Android系统一份厚重的安全保障。
蓝易云
285 18
卓伊凡
|
10月前
|
前端开发 Java Shell
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
卓伊凡
682 20
【08】flutter完成屏幕适配-重建Android,增加GetX路由,屏幕适配,基础导航栏-多版本SDK以及gradle造成的关于fvm的使用(flutter version manage)-卓伊凡换人优雅草Alex-开发完整的社交APP-前端客户端开发+数据联调|以优雅草商业项目为例做开发-flutter开发-全流程-商业应用级实战开发-优雅草Alex
游客7v53mftipku2u
|
存储 安全 Android开发
探索Android系统的最新安全特性
在数字时代,智能手机已成为我们生活中不可或缺的一部分。随着技术的不断进步,手机操作系统的安全性也越来越受到重视。本文将深入探讨Android系统最新的安全特性,包括其设计理念、实施方式以及对用户的影响。通过分析这些安全措施如何保护用户免受恶意软件和网络攻击的威胁,我们希望为读者提供对Android安全性的全面了解。
游客7v53mftipku2u
535 35
游客7ofzsdfcat7ls
|
监控 Java Android开发
深入探索Android系统的内存管理机制
本文旨在全面解析Android系统的内存管理机制,包括其工作原理、常见问题及其解决方案。通过对Android内存模型的深入分析,本文将帮助开发者更好地理解内存分配、回收以及优化策略,从而提高应用性能和用户体验。
游客7ofzsdfcat7ls
821 5
无糖可乐嘟嘟
|
安全 Android开发 iOS开发
深入探讨Android与iOS系统的差异及未来发展趋势
本文旨在深入分析Android和iOS两大移动操作系统的核心技术差异、用户体验以及各自的市场表现,进一步探讨它们在未来技术革新中可能的发展方向。通过对比两者的开放性、安全性、生态系统等方面,本文揭示了两大系统在移动设备市场中的竞争态势和潜在变革。
无糖可乐嘟嘟
456 2
xiaowang_lj
|
JavaScript 前端开发 Java
[Android][Framework]系统jar包,sdk的制作及引用
[Android][Framework]系统jar包,sdk的制作及引用
xiaowang_lj
453 0
mzlogin
|
程序员 开发工具 Android开发
Android|使用阿里云推流 SDK 实现双路推流不同画面
本文记录了一种使用没有原生支持多路推流的阿里云推流 Android SDK,实现同时推送两路不同画面的流的方法。
mzlogin
272 7

热门文章

最新文章

  • 1
    《Android应用开发攻略》——1.6 理解Android生命周期
  • 2
    Android开发之View动画
  • 3
    Android Studio下多渠道打包
  • 4
    系出名门Android(10) - HTTP 通信, XML 解析, 通过 Hander 实现异步消息处理
  • 5
    Android应用程序键盘(Keyboard)消息处理机制分析(17)
  • 6
    Facebook精简版可以让Android用户在连接速度欠佳的地方观看视频
  • 7
    mac下Android开发环境搭建
  • 8
    Android Studio集成Bug管理系统
  • 9
    android学习之AppWidget
  • 10
    Android菜鸟的成长笔记(2)——第一个Android应用
  • 1
    百宝箱开放平台 ✖️ 友盟+ SDK 接入准备
    126
  • 2
    百宝箱开放平台 ✖️ Web SDK
    189
  • 3
    百宝箱开放平台 ✖️ Node.js SDK
    211
  • 4
    百宝箱开放平台 ✖️ Python SDK
    770
  • 5
    百宝箱开放平台 ✖️ Java SDK
    1320
  • 6
    移动端性能监控探索:iOS RUM SDK 技术架构与实践
    250
  • 7
    AI 超级智能体全栈项目阶段一:AI大模型概述、选型、项目初始化以及基于阿里云灵积模型 Qwen-Plus实现模型接入四种方式(SDK/HTTP/SpringAI/langchain4j)
    1636
  • 8
    X Android SDK file not found: adb.安卓开发常见问题-Android SDK 缺少 `adb`(Android Debug Bridge)-优雅草卓伊凡
    548
  • 9
    百融云策略引擎服务sdk对接02优化查询要素以及反馈查询结果-优雅草卓伊凡
    142
  • 10
    MinIO Java SDK 7.1.4 升级到 8.5.17 需要注意什么
    519

    • 相关课程

    更多
  • 开源Android容器化框架Atlas开发者指南

    • 相关电子书

    更多
  • 58同城Android客户端Walle框架演进与实践之路
  • Android组件化实现
  • 蚂蚁聚宝Android秒级编译——Freeline
    • 下一篇
    一文了解:阿里云对象存储OSS是什么?