Android Q SEAndroid 执行可执行文件提示权限不足

最新推荐文章于 2026-04-02 02:58:55 发布
原创 最新推荐文章于 2026-04-02 02:58:55 发布 · 置顶 · 4.6k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
探讨Android Q系统中,部分APP调用exec执行应用私有目录和files目录下可执行文件出现权限不足的问题。分析发现,权限问题与APP的安全上下文有关,特别是untrusted_app.te与untrusted_app_25.te文件的不同导致执行权限差异。通过对比不同SDK版本的执行情况,指出Android Q引入的新权限机制是造成该问题的关键。

一、问题描述
部分APP调用exec执行应用私有目录和files目录下可执行文件提示权限不足。
在这里插入图片描述
二、问题分析
1、对比可以执行的APP和不可以执行的APP的区别
应用可执行的情况:
在这里插入图片描述
应用不可执行的情况:
在这里插入图片描述
可以看到明显两者对应.te文件不一样,一个是untrusted_app.te,一个是untrusted_app_25.te,可以查看源码中的两个文件,比较差别。

2、android Q权限机制变更的说明
在这里插入图片描述
3、捕获异常分析
捕获到一条关键LOG:
E SELinux : avc: denied { execute_no_trans} for
comm=“Thread-8”
path=“xxxxxx”
dev=“sda35”
ino=344257
scontext=u:r:untrusted_app:s0:c6,c257,c512,c768

查看对应源码,基于Q Beta6
对应untrusted_app.te:
在这里插入图片描述

查看Q Beta6源码对应处,对应untrusted_app_25.te:
在这里插入图片描述
测试可以正常执行APP的SDK版本是25,而无法执行的APP版本是29

再使用SDK版本28的APP测试了下,可以正常执行,对应提示LOG:
avc: granted { execute_no_trans }
for comm=“Thread-11”
path=“xxxxxx”
dev=“sda35”
ino=352553
scontext=u:r:untrusted_app_27:s0:c8,c257,c512,c768
tcontext=u:object_r:app_data_file:s0:c8,c257,c512,c768
tclass=file

init execute_no_trans avc报错
SHK242673的专栏
05-13 3627
目前要在开机启动一个服务,但是通过log分析bin启动异常,分析如下: 1. 要新建对应的te文件,比如containerd.te type containerd, coredomain, domain; type containerd_exec, system_file_type, exec_type, file_type; init_daemon_domain(containerd) 2. 在需要权限的地方添加权限,比如在init.te中添加对应权限 allow init containerd
Android 修改init.rc 添加开机自启服务
weixin_37840904的博客
05-27 6197
开机自启服务:ademo 完成任务:写入一条日志前提:这里我们假定我们已经成功将可执行文件编译到系统中,具体编译方式请参考博文 android 7.1 修改源码添加可执行文件到system/bin目录 可执行文件名称为 位于/system/bin目录下,可执行文件源码 ademo.c 如下: 1. 在 init.rc 中添加自己的服务 init.rc 位置: 1.2 设置启动时机 设置启动时机为开机自启 2. 设置SELinux策略(sepolicy) 文件路径:修改文件,增加如下行: 2.2 新建adem
从零开始理解Android SELinux:安全机制与实战配置教程
最新发布
weixin_33734785的博客
04-02 352
本文深入解析Android SELinux的安全机制,从基础架构到实战配置,帮助开发者理解强制访问控制(MAC)在Android系统中的应用。通过详细的安全上下文解析、策略语言精要及常见问题诊断方法,提供全面的SELinux配置指南,助力提升移动设备安全性。
Selinux文件节点读写权限和控制器权限配置
weixin_37961937的博客
06-28 1676
排查方法主要是查看点击该功能,系统打印出来的日志,发现缺少权限配置,我的最开始是文件读写权限缺少,后来又是控制器权限配置,很多权限他不是一次性出来的,以上截图是我其中一份日志是,仅供参考,是告诉你们看到系统日志里面如何找自己需要配置哪些全部。下面开始看我的日志,这段错误日志跟上面第一点的几乎一样,唯一不同的就是他是denied { read }这一段是 denied { write }这里面操作权限是可读,因为操作的不同,日志中体现的错误日志也不同,所以最终的写法就是。上面就是我所有需要配置的权限了。
Android SeLinux权限问题和解决方法
热门推荐
DonnyCoy
07-28 3万+
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied  { 操作权限 }  for pid=7201 comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0 1.2 举例: Kenel log: avc: denied
SELinux权限问题解决方法
weixin_43835637的博客
01-16 1万+
前言 之前做系统应用操作设备节点的时候,出现SELinux权限的问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=11725 scontext=u:r:untrusted_app:s0:c512,c768 ...
android Q 添加系统服务,selinux权限配置
zyfzhangyafei的专栏
08-12 1415
修改文件: blackview_q0/device/mediatek/sepolicy/bsp/plat_private/platform_app.te | 3 +++ blackview_q0/device/mediatek/sepolicy/bsp/plat_private/service.te | 3 +++ blackview_q0/device/mediatek/sepolicy/bsp/plat_private/service_contexts | 3 +++ black...
SEAndroid相关总结
mockingbirds的专栏
11-03 1918
有时候会遇到selinux相关的问题,今天来做一下总结:打开和关闭selinux功能 如果出现了selinux相关的权限拒绝,则在kernel log 或者android log中都有对应的”avc: denied”,当然也可能和selinux的模式有关系,我们需要首先要确认当时SELinux 的模式, 是enforcing mode 还是 permissve mode. 如果问题容易复现,我
android selinux
颇锐克(公众号:颇锐克科技共享)
06-23 8982
有时候会遇到selinux相关的问题,今天来做一下总结: 打开和关闭selinux功能 如果出现了selinux相关的权限拒绝,则在kernel log 或者android log中都有对应的”avc: denied”,当然也可能和selinux的模式有关系,我们需要首先要确认当时SELinux 的模式, 是enforcing mode 还是 permissve mode. 如果
SELinux入门教程
上善若水 的专栏
08-31 6473
1. 介绍 这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分别的知识。一个更高级的帮助文档将会在不久发布(译者注:正在翻译中), 包 含了如何编辑策略等内容。(which causes a little too much information overload with use
SELinux权限问题解决参考
we1less的博客
07-31 4252
6666
App读写文件节点配置Se linux权限
苏法迪的专栏
06-27 3586
0.文章参考 https://blog.csdn.net/xiaoxiangyuhai/article/details/76270294 https://blog.csdn.net/u014341735/article/details/51244258 1. 需求 App 中进行读写Linux下的文件节点 /sys/class/power_supply/battery/coulomb_cou...
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
phmatthaus的专栏
11-17 1079
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
Android7.0实现开机后台安装应用----rc文件的使用及权限问题
Johnsco的博客
05-02 1749
需求    每次开机之后,后台自动安装一个apk。(实现方法可能有多种,这里只记录我用的)需求分析    我的思路是写一个脚本放到系统中,然后每次开机的时候在rc文件中启动这个脚本服务。具体实现步骤    第一,将所需要安装的apk文件保存在系统,我这里是放到system/etc/目录下面了,放在system分区下有个好处就是不会被用户删掉,当然不能放太多无意义的东西,否则你的img会变得很大。可...
android init service,Android: 启动init.rc 中service的权限问题【转】
weixin_36277197的博客
05-28 889
通过property_set("ctl.start", service_xx);来启动init.rc中的service是一个很方便方法来调用某个可执行程序或某个脚本程序service service_xx /system/bin/xxdisabledoneshot但在非AID_ROOT、AID_SYSTEM 用户的进程中调用ctl.start ctl.stop会碰到权限问题:system/cor...
确认 seLinux导致权限问题 对selinux权限的添加
qq_36950017的博客
01-29 982
确认 seLinux导致权限问题 对selinux权限的添加 对于selinux的问题,首先如何确认是selinux权限问题呢, 可以查看手机的log如果在log里面显示有如下内容: avc: denied { execheap } for pid=7201 comm=“com.baidu.input” scontext=u:r:untrusted_app:s0 tcontext=u:r:un...
Android selinux 权限问题
lancelots的博客
08-29 1184
一 、 判断是否SELinux导致的问题, 先执行: setenforce 0(临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题 二、看log: cat /proc/kmsg | grep avc或dmesg | grep avc 三、举例: audit(0.0:67): a...
获取正在运行的app方案尝试
yubang3223111的专栏
08-17 324
监听正在运行的应用
SELinux 学习总结
eo_rsgfd的博客
02-02 3784
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值