ข้อผิดพลาด "การติดตั้งถูกยกเลิก" เมื่อกระพริบเฟิร์มแวร์: สิ่งที่ต้องทำ วิธีแก้ไข และสาเหตุที่เป็นไปได้ ข้อผิดพลาด "การติดตั้งถูกยกเลิก" เมื่อกระพริบเฟิร์มแวร์: จะทำอย่างไรวิธีแก้ไขและสาเหตุที่เป็นไปได้ การกู้คืนเฟิร์มแวร์จากโรงงาน

หากไม่ใช่ผู้ใช้ระบบ Android ทุกคน หลายคนที่ติดตั้งเฟิร์มแวร์แบบกำหนดเอง (ไม่ใช่ของแท้) จะรู้ว่าลักษณะของข้อผิดพลาดการติดตั้งที่ถูกยกเลิกระหว่างเฟิร์มแวร์นั้นเป็นปรากฏการณ์ที่ค่อนข้างธรรมดา และนี่ไม่ได้เชื่อมโยงกับข้อมูลที่กำลังติดตั้งเลย แต่เกี่ยวข้องกับเวอร์ชันของระบบปฏิบัติการเอง ผู้ใช้ส่วนใหญ่เริ่มกระบวนการนี้โดยไม่ได้คิดถึงเรื่องนี้เลย ผลที่ตามมาที่เป็นไปได้- และอาจเป็นเรื่องน่าเศร้ามาก (แม้ว่าจะไม่ได้ติดตั้งเฟิร์มแวร์ แต่ระบบอาจพังและหลังจากนั้นคุณจะต้องคืนค่าการตั้งค่าจากโรงงานจาก การสูญเสียทั้งหมดข้อมูลผู้ใช้และข้อมูลอื่น ๆ ที่เกี่ยวข้อง)

การติดตั้ง ข้อผิดพลาดที่ถูกยกเลิกเมื่อทำการแฟลชเฟิร์มแวร์: สิ่งนี้คืออะไรในความเข้าใจทั่วไป?

เริ่มต้นด้วยการชี้แจงคำศัพท์กันก่อน ความหมายเมื่ออุปกรณ์เคลื่อนที่เขียนการติดตั้งที่ถูกยกเลิกเมื่อแฟลชเฟิร์มแวร์ผ่านการกู้คืน โดยทั่วไปแล้วเข้าใจได้ไม่ยาก

ก็เพียงพอแล้วที่จะแปลข้อความจาก ภาษาอังกฤษเป็นภาษารัสเซีย รับการแจ้งเตือนว่าการติดตั้งถูกขัดจังหวะ แต่เหตุใดความล้มเหลวดังกล่าวจึงเกิดขึ้น? คุณสามารถอ่านเกี่ยวกับเรื่องนี้และอีกมากมายได้ในเนื้อหาที่นำเสนอด้านล่าง นอกจากนี้การยกเลิกการติดตั้งตามปกติถือเป็นสิ่งที่เลวร้ายที่สุดที่สามารถทำได้เมื่อดำเนินการดังกล่าว ความจริงก็คือระบบ Android ตอบสนองค่อนข้างไวต่อการเปลี่ยนแปลงใด ๆ และสามารถใช้ได้กับอุปกรณ์ที่เลือกเท่านั้นซึ่งสามารถใช้ได้เฉพาะระบบปฏิบัติการบางเวอร์ชันเท่านั้น ระบบปฏิบัติการและอุปกรณ์ที่ค่อนข้างล้าสมัยแทบไม่ได้รับการสนับสนุนในแง่ของการอัปเดตระบบปฏิบัติการ การอัปเดตมีผลกับบริการในตัวและแอปพลิเคชันที่กำหนดเองเท่านั้น แต่ไม่มีอะไรเพิ่มเติม คุณสามารถอัปเดตระบบปฏิบัติการของคุณเป็นระดับที่รองรับได้เท่านั้น

การติดตั้งถูกยกเลิกระหว่างเฟิร์มแวร์: จะต้องทำอย่างไร?

เป็นที่ชัดเจนว่าเมื่อติดตั้งการอัปเดตอย่างเป็นทางการที่รองรับโดยระบบปฏิบัติการ Android ความล้มเหลวประเภทนี้จะไม่เกิดขึ้น สถานการณ์เดียวที่ระบบเขียนการติดตั้งที่ถูกยกเลิกเมื่อติดตั้งเฟิร์มแวร์นั้นเกิดจากการที่ผู้ใช้ติดตั้งเฟิร์มแวร์อย่างอิสระ

โดยหลักการแล้วนี่เป็นฟังก์ชันการป้องกันชนิดหนึ่งซึ่งคล้ายกับหน้าจอสีน้ำเงินในระบบ Windows มีเพียง Android เท่านั้นที่ประพฤติตนสุภาพกว่านี้มาก

ปัญหาหลักไม่ได้อยู่ที่วิธีการติดตั้ง แต่ความจริงที่ว่าเฟิร์มแวร์นี้อาจไม่สอดคล้องกับอุปกรณ์ที่ติดตั้งอยู่ และในการเริ่มต้น เมื่อยกเลิกกระบวนการ เพียงรีสตาร์ทอุปกรณ์มือถือของคุณและกู้คืนระบบดั้งเดิม หลังจากนี้ คุณสามารถดำเนินการติดตั้งเฟิร์มแวร์ใหม่ได้อีกครั้ง

ล็อค

บางครั้ง เมื่อติดตั้งเฟิร์มแวร์ การติดตั้งที่ถูกยกเลิกยังส่งสัญญาณว่าไฟล์อัพเดตต้นฉบับไม่ได้ถูกวางในพื้นที่ที่อุปกรณ์รับรู้ว่าเป็นการสำรองเริ่มต้น

ตามกฎแล้ว เพื่อหลีกเลี่ยงความล้มเหลวในการติดตั้งที่ถูกยกเลิกเมื่อทำการแฟลชสมาร์ทโฟนหรือแท็บเล็ต ไฟล์ Update.zip ควรถูกวางไว้ในไดเร็กทอรีรากของที่จัดเก็บข้อมูลภายใน (Android) หลังจากนี้จะสามารถดำเนินการเพิ่มเติมได้

อัพเดตระบบปฏิบัติการ

ตัวเลือกความล้มเหลวอื่น เมื่อระบบเขียนการติดตั้งที่ถูกยกเลิกเมื่อแฟลชเฟิร์มแวร์ สามารถตีความได้ว่าเป็นเวอร์ชันปัจจุบันของระบบปฏิบัติการที่ไม่ตรงกับเวอร์ชันที่ผู้ใช้พยายามอัปเกรด

นี่คล้ายกับการพยายามข้ามจาก Windows XP ไปเป็น Windows 10 บนคอมพิวเตอร์เดสก์ท็อป ขั้นแรกสำหรับระบบปฏิบัติการ Android คุณต้องติดตั้งการอัปเดตที่ทั้งระบบและอุปกรณ์รองรับและหลังจากนั้นก็เริ่มกระพริบอุปกรณ์เท่านั้น .

ผู้เชี่ยวชาญหลายคนเรียกการเพิ่มพื้นที่ว่างในที่จัดเก็บข้อมูลภายในซึ่งเป็นหนึ่งในเงื่อนไขพื้นฐานที่สุดสำหรับการทำให้กระบวนการเสร็จสมบูรณ์ อย่ามองว่ามีพื้นที่เพียงพอ ปัญหาพื้นฐานที่สุดคือมีข้อมูลแคชที่ไม่ถูกลบ ซึ่งระบบมองว่าเป็นขยะจริง แม้ว่าอาจไม่ส่งสัญญาณก็ตาม

ดังนั้นหนึ่งในตัวเลือกในการกำจัดความล้มเหลวในการติดตั้งที่ถูกยกเลิกระหว่างเฟิร์มแวร์คือการลบข้อมูลประเภทนี้ตั้งแต่แรก คุณสามารถใช้การตั้งค่ามาตรฐาน โดยไปที่ส่วนแอปพลิเคชัน เลือก "ทั้งหมด" จากนั้นล้างแคชของแต่ละแอปเพล็ตที่แสดงในรายการ

จะดีกว่ามาก (และทำให้งานง่ายขึ้น) หากผู้ใช้มีแอปพลิเคชันเพิ่มประสิทธิภาพติดตั้งอยู่ในโทรศัพท์หรือแท็บเล็ต โดยทั่วไปแล้วแอปเพล็ตดังกล่าวจะทำงานได้ค่อนข้างถูกต้อง จริงอยู่ ปัญหาการทำความสะอาดบางครั้งทำให้เกิดข้อสงสัยที่ถูกต้องตามกฎหมาย เนื่องจากผู้ใช้เห็นสิ่งหนึ่งสิ่งใดบนหน้าจอแอปพลิเคชัน แต่จริงๆ แล้วไม่มีอะไรเกิดขึ้นจริงๆ ไม่เชื่อฉันเหรอ? ค้นหาในตัวจัดการไฟล์ใด ๆ ที่ไดเร็กทอรี DCIM และ 100ANDRO ซึ่งอยู่บนไดรฟ์ภายในโดยตรงที่ติดตั้งระบบปฏิบัติการไว้

ปัญหาการติดตั้ง CMW

อีกประเด็นที่เกี่ยวข้องกับความเป็นไปได้ในการขจัดปัญหาข้อผิดพลาดในการติดตั้งที่ถูกยกเลิกซึ่งปรากฏระหว่างเฟิร์มแวร์เกี่ยวข้องกับการติดตั้งโมดูล CMW ซึ่งจำเป็นอย่างยิ่งสำหรับการดำเนินการดังกล่าว การติดตั้งจะช่วยให้คุณหลีกเลี่ยงปัญหาที่เกี่ยวข้องกับความไม่เข้ากันของไดรฟ์ ROM แต่หากต้องการใช้งาน ขั้นแรกคุณต้องได้รับสิทธิ์รูทที่เรียกว่า

ในตัวมาก รุ่นที่เรียบง่ายคุณสามารถใช้โปรแกรม Kingo Root ซึ่งติดตั้งครั้งแรกบนคอมพิวเตอร์ส่วนบุคคลหรือแล็ปท็อป หลังจากเชื่อมต่อแล้ว อุปกรณ์เคลื่อนที่ไดรเวอร์การรูทจะถูกดาวน์โหลดจากนั้นแอพเพล็ตมือถือจะถูกติดตั้งบนอุปกรณ์มือถือ (จะมีการยืนยันบนคอมพิวเตอร์โดยตรงในโปรแกรม) หลังจากนี้เพียงแค่เปิดตัวแอปเพล็ตมือถือที่เกี่ยวข้องเพื่อดำเนินการต่อไปก็เพียงพอแล้ว

พวกเขาจะติดตั้ง Rom Manager และใน โหมดการกู้คืนโดยใช้ส่วนการตั้งค่า ไปที่เมนูการกู้คืน ClockworkMod ค้นหารุ่นอุปกรณ์มือถือของคุณในรายการที่ให้ไว้ และตกลงที่จะดำเนินการเพิ่มเติม

การกู้คืนเฟิร์มแวร์จากโรงงาน

บางครั้งวิธีนี้ใช้ไม่ได้ผล เนื่องจากบางครั้งโซลูชันที่นำเสนอสามารถใช้ได้กับเฟิร์มแวร์ดั้งเดิมเท่านั้น การรีเซ็ตการตั้งค่าบนโทรศัพท์หรือแท็บเล็ตของคุณจะไม่ทำอะไรเลย

ดังนั้นจึงแนะนำให้ติดตั้งโปรแกรมที่เหมาะสมกับอุปกรณ์ของคุณมากที่สุดทันที (Xperia Companion, Samsung Kies ฯลฯ ) และกู้คืนเฟิร์มแวร์จากโรงงานผ่านทางอินเทอร์เน็ตโดยใช้โปรแกรมดังกล่าว และหลังจากนั้นคุณสามารถเริ่มติดตั้งเฟิร์มแวร์ใหม่ได้หากจำเป็น

แทนที่จะเป็นยอดรวม

นี่เป็นวิธีแก้ปัญหาข้อผิดพลาดการติดตั้งที่ถูกยกเลิกเมื่อทำการแฟลชเฟิร์มแวร์ ฉันคิดว่าจะทำอย่างไรก็ชัดเจนแล้ว โดยทั่วไปแล้ว เป็นเรื่องที่คุ้มที่จะบอกว่าไม่แนะนำให้ทำการแฟลชอุปกรณ์มือถือโดยใช้เฟิร์มแวร์เวอร์ชันที่ไม่รองรับเลย อย่างที่พวกเขาพูดกันว่าคุณสามารถทำลายอุปกรณ์ได้ คุณสามารถติดตั้งเฟิร์มแวร์ได้ก็ต่อเมื่อนำมาจากแหล่งที่เป็นทางการและเข้ากันได้อย่างสมบูรณ์กับรุ่นของอุปกรณ์ที่ควรจะแฟลช มิฉะนั้นอย่าพยายามดำเนินการใดๆ ดังกล่าวด้วยซ้ำ

เฟิร์มแวร์ Android 4.4 KitKat สำหรับ Lenovo S930 - s215_140714


เฟิร์มแวร์จากภูมิภาครัสเซียสำหรับการอัพเดตจากพีซี!


ความเป็นไปได้ของการติดตั้งบนเฟิร์มแวร์เวอร์ชันใดก็ได้!

หมายเลขการสร้าง: S930_ROW_s215_140714
วันที่: 14.07.2014
ผู้สร้าง: Lenovo เปิดตัว QC สำหรับภูมิภาค ROW
สารประกอบ:อิมเมจเฟิร์มแวร์แบบเต็ม/การอัปเดต OTA
ระบบปฏิบัติการ:แอนดรอยด์ 4.4.2
คำอธิบาย:

  • ภาษา: ภาษารัสเซีย, อังกฤษ, จีน, เวียดนาม, ชาวอินโดนีเซีย
  • แป้นพิมพ์: หลายภาษา

บันทึกการเปลี่ยนแปลง:

  • แอนดรอยด์ 4.4.2
  • VibeUI 1.5
  • แอปพลิเคชั่นเกือบทั้งหมดจาก Lenovo ได้รับการอัพเดตแล้ว
  • อินเทอร์เฟซระบบใหม่
  • ปรับปรุงประสิทธิภาพของอินเทอร์เฟซระบบ
  • การเพิ่มประสิทธิภาพพลังงาน

ดาวน์โหลด:

  • อัปเดต OTA จากเฟิร์มแวร์ S119_140325 เป็นเฟิร์มแวร์ S215_140714 / มิเรอร์
  • เฟิร์มแวร์สำหรับพีซี:

คำแนะนำ:

คำแนะนำ:

กำลังติดตั้งการอัปเดต OTA

หน่วยความจำจะถูกจัดสรรใหม่

ข้อมูลผู้ใช้จะถูกบันทึกไว้

และยังมีการระบุ WIPE ไว้อย่างเคร่งครัดหลังจาก OTTA! มิฉะนั้น อีเมลของคุณจะใช้งานไม่ได้ จะไม่เปิด มีข้อผิดพลาด จะเป็นสแปม!

ฉันขอย้ำอีกครั้ง - นี่คือการเปลี่ยนแปลงเวอร์ชันระบบปฏิบัติการ! ใช้เวลาของคุณ - เช็ดและตั้งค่าทุกอย่างอีกครั้ง! มันคุ้มค่า!

ติดตั้งเฉพาะเมื่อปิด S119_140325 พร้อมการกู้คืนมาตรฐาน ติดตั้งบน S119_140325 เท่านั้นและผ่านการกู้คืนแบบมาตรฐาน (ไม่ขยายเวลา) เท่านั้น

จะต้องได้รับสิทธิ์ RUT อีกครั้ง

การติดตั้ง:

0.ตรวจสอบให้แน่ใจว่ามันคุ้มค่า เฟิร์มแวร์อย่างเป็นทางการ S119_140325 , การกู้คืนมาตรฐาน (ไม่ขยาย)* และแอปพลิเคชันระบบ (GOOGLE) จะไม่ถูกลบ/เปลี่ยนแปลง** และไม่มีการจัดสรรหน่วยความจำใหม่อีกด้วย หากไม่บรรลุผลอย่างน้อยหนึ่งจุด เฟิร์มแวร์จะไม่ติดตั้ง จะไม่มีอะไรเลวร้ายเกิดขึ้น การอัปเดตจะไม่ติดตั้งและเวอร์ชันก่อนหน้าจะยังคงอยู่ เราต้องแน่ใจว่าได้ตรวจสอบ (หากเราออกจากพีซีเป็น 119) ว่าได้ป้อนรหัสภูมิภาคสำหรับ RF แล้ว!) หลังจากอัปเดตเฟิร์มแวร์จากพีซีเป็นเวอร์ชัน 119 ให้เปิดแป้นหมุน กด ####682# แล้วเลือก ภูมิภาค RU จากรายการ! หากไม่ดำเนินการดังกล่าว แสดงว่าเฟิร์มแวร์ผ่านอากาศจะติดตั้งไม่ถูกต้อง!

1- ดาวน์โหลดไฟล์เก็บถาวร S930_OTA_from_S119_140325_to_S215_140714บนพีซี

2- แตกไฟล์และแตกไฟล์ update.zip

ไม่ว่าในกรณีใด ๆ ที่ไม่ได้แกะไฟล์ update.zip ให้คัดลอกไฟล์เก็บถาวรนี้ไปที่รากของการ์ดหน่วยความจำหรือไปที่รากของหน่วยความจำภายใน

3. รีบูตเข้าสู่การกู้คืนด้วยวิธีใดก็ตาม

เมื่อปิดโทรศัพท์แล้ว ให้กดปุ่มเปิด/ปิดค้างไว้ 1-2 วินาที จากนั้นกดปุ่มปรับระดับเสียง “+” และ “-” พร้อมกัน จากนั้นกดปุ่มโยกและเปิดปิดค้างไว้จนกว่าคุณจะเข้าสู่การกู้คืน

4. การติดตั้งจะเริ่มต้นโดยอัตโนมัติ

6- เปิดตัวโทรออก = - โทรออก กดรหัส ####7777# เพื่อยืนยันการรีเซ็ต

7- หากคุณไม่รีเซ็ตหรือเลือกรหัสภูมิภาค จะไม่รับประกันผลลัพธ์ และด้วยเฟิร์มแวร์นี้ พวกเขาจะไม่ได้รับการยอมรับในบริการภายใต้การรับประกัน สำเร็จ!

9- สำเร็จ!

การติดตั้งเฟิร์มแวร์จากพีซี

ความสนใจ - ใช้เฉพาะยูทิลิตี้ใหม่เท่านั้น SP_Flash_Tool_v5.1352.01

คำแนะนำโดยย่อสำหรับการใช้ยูทิลิตี้ใหม่ SP_Flash_Tool_v5.1352.01

เราแปล... แปลภาษาจีน (ตัวย่อ) จีน (ตัวเต็ม) อังกฤษ ฝรั่งเศส เยอรมัน อิตาลี โปรตุเกส รัสเซีย สเปน ตุรกี

ขออภัย เราไม่สามารถแปลข้อมูลนี้ได้ในขณะนี้ - โปรดลองอีกครั้งในภายหลัง

การปรับปรุงความปลอดภัยสำหรับ Android (SEAndroid)

คุณสมบัติใหม่ปรากฏในระบบปฏิบัติการ Android เวอร์ชัน 4.4 (Kitkat) สิ่งสำคัญที่สุดในบรรดาคุณสมบัติใหม่คือความสามารถในการรวม SEAndroid ในโหมดพุช กล่าวคือ ทำให้สิทธิ์การเข้าถึงส่วนประกอบ Android ทั้งหมดอยู่ภายใต้การควบคุมของ SEAndroid

SEAndroid คืออะไร? SEAndroid ย่อมาจาก Security Enhancements สำหรับ Android เป็นโซลูชั่นรักษาความปลอดภัยสำหรับ Android ที่ระบุและแก้ไขช่องโหว่ที่สำคัญ เป้าหมายเดิมของโปรเจ็กต์คือการใช้ฟีเจอร์ SELinux ในระบบ Android เพื่อจำกัดความเสียหายที่เกี่ยวข้องกับการรันแอปพลิเคชันที่มีข้อบกพร่องหรือเป็นอันตราย และจัดให้มีการแยกระหว่างแอปพลิเคชันต่างๆ จากนั้นจึงขยายขอบเขตของโครงการ ตอนนี้ SEAndroid เป็นแพลตฟอร์มทั้งหมดที่ใช้ SELinux Mandatory Access Control (MAC) และ Middle Mandatory Access Control (MMAC) บนแพลตฟอร์ม Android

แนวคิดบางประการที่เกี่ยวข้องกับ SEAndroid ควรได้รับการชี้แจง:

  • Security-Enhanced Linux* (SELinux) คือการดำเนินการบังคับใช้การควบคุมการเข้าถึงโดยใช้ Linux Security Modules (LSM) ในเคอร์เนล Linux ตามหลักการของสิทธิ์ขั้นต่ำ ไม่ใช่การแจกจ่าย Linux แต่เป็นชุดการแก้ไขที่สามารถนำไปใช้กับระบบปฏิบัติการที่คล้ายกับ UNIX* เช่น Linux และ BSD
  • Discretionary Access Control (DAC) เป็นรูปแบบการรักษาความปลอดภัยมาตรฐานใน Linux ในโมเดลนี้ สิทธิ์การเข้าถึงขึ้นอยู่กับข้อมูลประจำตัวของผู้ใช้และความเป็นเจ้าของออบเจ็กต์
  • การควบคุมการเข้าถึงแบบบังคับ (MAC, การควบคุมการเข้าถึงแบบบังคับ) จำกัดสิทธิ์การเข้าถึงสำหรับวิชา (กระบวนการ) และออบเจ็กต์ (ไฟล์ ซ็อกเก็ต อุปกรณ์ ฯลฯ)

SELinux จะไม่เปลี่ยนแปลงคุณสมบัติความปลอดภัยที่มีอยู่ในสภาพแวดล้อม Linux; แทน SELinux จะขยายโมเดลความปลอดภัยโดยการเพิ่มการควบคุมการเข้าถึงที่จำเป็น (เช่น ทั้ง MAC และ DAC ถูกใช้ในสภาพแวดล้อม SELinux)

SEAndroid ขยายระบบ Android โดยเพิ่มการรองรับ SELinux ให้กับเคอร์เนลและพื้นที่ผู้ใช้เพื่อทำงานต่อไปนี้:

  • การจำกัด daemons ที่มีสิทธิพิเศษเพื่อป้องกันการใช้งานในทางที่ผิดและจำกัดความเสียหายที่อาจเกิดขึ้น
  • การใช้แซนด์บ็อกซ์เพื่อแยกแอปพลิเคชันออกจากกันและจากระบบ
  • ป้องกันการยกระดับสิทธิ์ของแอปพลิเคชัน
  • การจัดการสิทธิ์ของแอปพลิเคชันระหว่างการติดตั้งและดำเนินการโดยใช้ MIAC
  • นโยบายแบบรวมศูนย์พร้อมความสามารถในการวิเคราะห์

นอกจากนี้ ใน Android 4.4 แพลตฟอร์ม SEAndroid จะทำงานในโหมดบังคับใช้ แทนที่จะเป็นโหมดปิดใช้งานที่ไม่ทำงานหรือโหมดอนุญาต (ซึ่งออกการแจ้งเตือนเท่านั้น) ซึ่งหมายความว่าการดำเนินการที่ผิดกฎหมายทั้งหมดจะถูกห้ามในรันไทม์ของ Android

นโยบาย SEAndroid

นโยบาย SEAndroid เป็นหนึ่งในองค์ประกอบหลักของกลไกการรักษาความปลอดภัยของ SEAndroid ทั้งหมด นอกจากนี้ สถาปัตยกรรมความปลอดภัยยังต้องมีนโยบายความปลอดภัยที่เข้มงวดเพื่อให้แน่ใจว่าหัวข้อการเข้าถึงมีสิทธิ์การเข้าถึงออบเจ็กต์ที่จำเป็นขั้นต่ำเท่านั้น จากนั้นโปรแกรมจะสามารถทำหน้าที่พื้นฐานได้ แต่จะไม่สามารถก่อให้เกิดอันตรายได้

ตามที่ระบุไว้ข้างต้น การใช้งาน SEAndroid จะใช้โหมดบังคับใช้แทนโหมดปิดการใช้งานที่ไม่ทำงานหรือโหมดอนุญาต (ซึ่งออกการแจ้งเตือนเท่านั้น) สิ่งนี้ทำให้การทดสอบและการพัฒนาง่ายขึ้น

โดยทั่วไปบริบทความปลอดภัยของ SEAndroid นั้นเข้ากันได้กับ SELinux ส่วนประกอบทั้งสี่มีการอธิบายไว้ด้านล่าง: ผู้ใช้ บทบาท ประเภท และระดับ เช่น u: object_r: system_data_file: s0:

  • ผู้ใช้: บริบทความปลอดภัยของคอลัมน์แรกใน SEAndroid คือผู้ใช้ ซึ่งจะแสดงเป็น u
  • บทบาท: คอลัมน์ที่สองระบุบทบาทใน SEAndroid ได้แก่ r และ object_r ตามลำดับ
  • ประเภท: ในคอลัมน์ที่สาม SEAndroid กำหนดนโยบายที่แตกต่างกัน 139 ประเภท เช่น อุปกรณ์ กระบวนการ ระบบไฟล์ เครือข่าย IPC และอื่นๆ
  • ระดับความปลอดภัย: คอลัมน์ที่สี่มีไว้สำหรับการรักษาความปลอดภัยหลายระดับ (ส่วนขยาย MLS) ซึ่งเป็นกลไกการเข้าถึงที่มีการเพิ่มบริบทความปลอดภัยและความเป็นส่วนตัวของรูปแบบ [:categorylist][-privacy[:categorylist]] เช่น s0 - s15: c0 - c1023 นอกจากนี้ Android เวอร์ชันปัจจุบันอาจไม่จำเป็นต้องใช้หมวดหมู่นี้ การรวมกันของความเป็นส่วนตัวและหมวดหมู่จะกำหนดระดับความปลอดภัยในปัจจุบัน ค่าตัวเลขจะได้รับต่ำสุดและ ระดับที่สูงขึ้นความปลอดภัย. พารามิเตอร์ในคอลัมน์นี้ใช้ในการตรวจสอบข้อจำกัดของ MLS โดย 15 เป็นประเภทที่ละเอียดอ่อนที่สุด และ 1023 เป็นหมวดหมู่สูงสุด พารามิเตอร์ช่วงนี้สามารถตั้งค่าได้ใน Android.mk

บริบทด้านความปลอดภัยเป็นส่วนที่สำคัญที่สุดของคอลัมน์ที่สาม ประเภทของกระบวนการเรียกว่าโดเมน Type เป็นพารามิเตอร์ SEAndroid ที่สำคัญที่สุด ตัวเลือกนโยบายได้รับการขยายอย่างมาก ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องระบุประเภทที่เหมาะสมสำหรับแต่ละไฟล์

แหล่งที่มาของนโยบาย SEAndroid อยู่ในโฟลเดอร์ภายนอก/sepolicy

นโยบายประกอบด้วยไฟล์ต้นฉบับที่ใช้ในการสร้างไฟล์นโยบายเคอร์เนล SELinux รวมถึงการกำหนดค่า file_contexts, property_contexts, seapp_contexts และ mac_permissions.xml

  • การกำหนดค่า file_contexts ใช้เพื่อทำเครื่องหมายไฟล์ในเวลาที่สร้าง (เช่น พาร์ติชันระบบ) และในขณะรันไทม์ (เช่น โหนดอุปกรณ์ ไฟล์ซ็อกเก็ตบริการ โฟลเดอร์ /data ที่สร้างโดย init.rc ฯลฯ)
  • การกำหนดค่า property_contexts ระบุบริบทความปลอดภัยของทรัพย์สิน Android สำหรับการตรวจสอบสิทธิ์
  • การกำหนดค่า seapp_contexts ใช้เพื่อทำเครื่องหมายกระบวนการแอปพลิเคชันและไดเรกทอรีแพ็คเกจแอปพลิเคชัน
  • การกำหนดค่า mac_permissions.xml เป็นนโยบาย MMAC

นโยบายที่ใช้กับอุปกรณ์จะอยู่ในอุปกรณ์/โฟลเดอร์<поставщик>/<устройство>.

  • นโยบายนี้สามารถตั้งค่าได้โดยการระบุตัวแปร BOARD_SEPOLICY_DIRS, BOARD_SEPOLICY_UNION และ BOARD_SEPOLICY_REPLACE ในไฟล์ BoardConfig.mk ที่อยู่ในอุปกรณ์/ โฟลเดอร์<поставщик>/<устройство>หรือผู้ขาย/<поставщик>/<устройство>- ตัวอย่างเช่น ไฟล์การกำหนดค่าสำหรับแท็บเล็ต FFRD8 ที่ใช้โปรเซสเซอร์ Intel® Atom (Bay Trail) จะอยู่ในโฟลเดอร์ /device/intel/baytrail/BoardConfig.mk
  • ตัวอย่างเช่น โปรดดูที่ device/intel/baytrail/BoardConfig.mk โดยที่ตัวแปรเหล่านี้ได้รับการตั้งค่าตามไฟล์นโยบายด้านอุปกรณ์ใน device/intel/baytrail/sepolicy
  • สำหรับเอกสารประกอบเกี่ยวกับนโยบายอุปกรณ์ โปรดดูภายนอก/sepolicy/README

การเปลี่ยนแปลงนโยบาย SEAndroid

ไฟล์นโยบาย SEAndroid อยู่ในโฟลเดอร์ /external/sepolicy คุณสามารถแก้ไขไฟล์เหล่านี้และดูว่าเกิดอะไรขึ้นเมื่อมีการใช้นโยบายที่แก้ไข โปรดใช้ความระมัดระวังเมื่อเปลี่ยนไฟล์นโยบาย เนื่องจากการกำหนดค่าที่ไม่ถูกต้องอาจทำให้ระบบทั้งหมดหยุดทำงานเมื่อบูต ด้านล่างนี้เป็นตัวอย่าง:

ขั้นตอนที่ 1 ตรวจสอบก่อนการเปลี่ยนแปลง

ขั้นแรก คุณต้องตรวจสอบไฟล์ /device/intel/baytrail/BoardConfig.mk มีการใช้การกำหนดค่า sepolicy ต่อไปนี้:

BOARD_SEPOLICY_DIRS:= อุปกรณ์/intel/baytrail/sepolicy BOARD_SEPOLICY_UNION:= file_contexts seapp_contexts file.te genfs_contexts fs_use device.te healthd.te app.te untrusted_app.te surfaceflinger.te vold.te ecryptfs.te zygote.te netd.te

BOARD_SEPOLICY_DIRS ระบุไดเร็กทอรีที่มีไฟล์นโยบายสำหรับอุปกรณ์เฉพาะอยู่ BOARD_SEPOLICY_UNION - ผลลัพธ์การกำหนดค่านโยบายที่รวมไฟล์นโยบายทั่วไปและไฟล์นโยบายเฉพาะอุปกรณ์ เมื่อสร้าง Android คอมไพเลอร์จะตรวจสอบข้อขัดแย้งระหว่าง นักการเมืองที่แตกต่างกัน- หากใช้ BOARD_SEPOLICY_REPLACE แสดงว่านโยบายอุปกรณ์จะเข้ามาแทนที่นโยบายทั่วไป

ประการที่สอง คุณต้องเปิดไฟล์ /external/sepolicy/untrusted_app.te และตรวจสอบให้แน่ใจว่ามีบรรทัดต่อไปนี้:

อนุญาตเชลล์ข้อมูลที่ไม่น่าเชื่อถือแอป: ไฟล์ rw_file_perms อนุญาตเชลล์ข้อมูลที่ไม่น่าเชื่อถือแอป: dir r_dir_perms

องค์ประกอบนโยบายทั้งสองรายการข้างต้นมีแอปพลิเคชันที่ไม่น่าเชื่อถือ (แอปพลิเคชันทั่วไป ไม่ใช่แอปพลิเคชันระบบ) ที่มีความสามารถในการอ่านและเขียนไฟล์ และอ่านไดเรกทอรีประเภท shell_data_file ณ รันไทม์ พารามิเตอร์ shell_data_file ชี้ไปที่ไฟล์ใดๆ ใน /data/local/tmp/ ในสภาพแวดล้อมรันไทม์ ตั้งค่าเป็น /external/sepolicy/file_contexts ในสภาพแวดล้อมการพัฒนาดังต่อไปนี้:

สิทธิ์ที่ระบุไว้ข้างต้นมีข้อจำกัดบางประการ หากมีไฟล์และโฟลเดอร์ใน /data/local/tmp/ แอปพลิเคชันที่ไม่น่าเชื่อถือสามารถอ่านและเขียนไฟล์เหล่านี้ได้ ให้ป้อนโฟลเดอร์เหล่านี้ แต่แอปพลิเคชันที่ไม่น่าเชื่อถือไม่สามารถสร้างไฟล์และโฟลเดอร์ของตนเองใน /data/local/tmp/ เฉพาะแอปพลิเคชันระบบหรือบริการเท่านั้นที่สามารถสร้างไฟล์และโฟลเดอร์สำหรับแอปพลิเคชันที่ไม่น่าเชื่อถือ หากคุณต้องการให้สิทธิ์เพิ่มเติมแก่แอปพลิเคชันที่ไม่น่าเชื่อถือ คุณสามารถใช้การเปลี่ยนแปลงที่อธิบายไว้ในขั้นตอนที่ 2 ได้

ขั้นตอนที่ 2: เพิ่มองค์ประกอบนโยบายใหม่

ตอนนี้คุณต้องแก้ไขไฟล์ /device/intel/baytrail/sepolicy/untrusted_app.te โดยเพิ่มสองบรรทัดต่อไปนี้ที่ท้ายไฟล์:

อนุญาตเชลล์ข้อมูลที่ไม่น่าเชื่อถือแอป: ไฟล์ create_file_perms อนุญาตเชลล์ข้อมูลที่ไม่น่าเชื่อถือแอป: dir create_dir_perms

องค์ประกอบทั้งสองนี้ให้สิทธิ์แก่แอปพลิเคชันที่ไม่น่าเชื่อถือเพื่อสร้างไฟล์และโฟลเดอร์ใน /data/local/tmp/ เมื่อรันไทม์ พวกมันถูกตั้งค่าใน /external/sepolicy/file_contexts ในสภาพแวดล้อมการพัฒนาต่อไปนี้:

/data/local/tmp(/.*)? คุณ: object_r:shell_data_file:s0

สิทธิ์พื้นฐานสำหรับไฟล์และโฟลเดอร์ถูกกำหนดไว้ใน /external/sepolicy/global_macros:

กำหนด(`x_file_perms", `( getattr ดำเนินการเอ็กซีคิวต์_no_trans )") กำหนด(`r_file_perms", `( getattr open read ioctl lock )") กำหนด(`w_file_perms", `( open append write )") กำหนด(`rx_file_perms", `( r_file_perms x_file_perms )") กำหนด(`ra_file_perms", `( r_file_perms ผนวก )") กำหนด(`rw_file_perms", `( r_file_perms w_file_perms )") กำหนด(`rwx_file_perms", `( rw_file_perms x_file_perms )") กำหนด(`link_file_perms ", `( getattr ยกเลิกการลิงก์เปลี่ยนชื่อ )") กำหนด(`create_file_perms", `( สร้าง setattr rw_file_perms link_file_perms )") กำหนด(`r_dir_perms", `( เปิด getattr อ่านค้นหา ioctl )") กำหนด(`w_dir_perms", `( เปิดการค้นหา เขียน add_name remove_name )") กำหนด(`ra_dir_perms", `( r_dir_perms add_name write )") กำหนด(`rw_dir_perms", `( r_dir_perms w_dir_perms )") กำหนด (`create_dir_perms", `( สร้าง reparent rmdir setattr rw_dir_perms link_file_perms ) ")

เราจะเห็นว่าการอนุญาต เช่น การดำเนินการกับไฟล์ ( getattr open read ioctl lock ) เหมือนกับฟังก์ชันการทำงานของไฟล์ในระบบไฟล์จริง

สุดท้าย คุณต้องสร้างแผนผังแหล่งที่มาของ Android ใหม่และพุชอิมเมจใหม่ไปยังอุปกรณ์ Bay Trail FFRD8

ตรวจสอบนโยบาย SEAndroid

หลังจากดาวน์โหลด FFRD8 คุณสามารถดาวน์โหลดแอป FileManager ได้จากร้านค้า แอปพลิเคชัน Androidจากนั้นเปิดเชลล์คำสั่งจากเมนู FileManager สิ่งนี้ทำให้คุณสามารถจำลองการทำงานของไฟล์ของแอพพลิเคชั่นที่ไม่น่าเชื่อถือได้

เราสามารถสร้างไฟล์ใหม่และโฟลเดอร์ใหม่ได้: เราต้องเข้าไปในโฟลเดอร์ /data/local/tmp/ และสร้างโฟลเดอร์ใหม่และไฟล์ใหม่ข้างใน (บนอุปกรณ์ FFRD8 มาตรฐาน ห้ามสร้างไฟล์ใหม่และสร้างไดเร็กทอรีใหม่) ผลลัพธ์ของการใช้นโยบายที่แก้ไขจะแสดงในรูปด้านล่าง ผลกระทบของนโยบายเดิมจะแสดงทางด้านซ้าย และผลกระทบที่ได้รับการแก้ไขทางด้านขวา:

รูปที่ 1. การเปรียบเทียบการอนุญาตไฟล์ระหว่างนโยบายปกติและนโยบายที่แก้ไข

บทสรุป

บทความนี้จะอธิบายวิธีการทำงานของนโยบาย SEAndroid และยกตัวอย่างการเพิ่ม นโยบายใหม่ตามนโยบาย SEAndroid ที่ตั้งไว้บนแพลตฟอร์มที่มีโปรเซสเซอร์ Intel Atom (Bay Trail) บทความนี้จะช่วยให้นักพัฒนาอุปกรณ์ที่สนใจสร้าง SEAndroid เวอร์ชันที่กำหนดเองเพื่อให้เข้าใจกลไกนโยบาย SEAndroid ได้ดียิ่งขึ้น

เกี่ยวกับผู้เขียน

Liang Z. Zhang เป็นวิศวกรพัฒนาแอปพลิเคชันในแผนกนักพัฒนาสัมพันธ์ที่ Intel China Lian Zhan รับผิดชอบในการสนับสนุนเทคโนโลยีความปลอดภัยที่ใช้แพลตฟอร์ม Intel

หมายเหตุ

ข้อมูลในเอกสารนี้จัดทำขึ้นสำหรับผลิตภัณฑ์ของ Intel เท่านั้น ไม่มีการให้สิทธิ์อนุญาตโดยชัดแจ้งหรือโดยนัย สิทธิ์หรือสิทธิ์ในทรัพย์สินทางปัญญาอื่น ๆ ในที่นี้ ยกเว้นตามที่กำหนดไว้ในข้อกำหนดและเงื่อนไขการขายผลิตภัณฑ์ดังกล่าว Intel ปฏิเสธความรับผิดใดๆ สำหรับและปฏิเสธการรับประกันทั้งหมด ทั้งโดยชัดแจ้งหรือโดยนัย ที่เกี่ยวข้องกับการขายและ/หรือการใช้ผลิตภัณฑ์ของตน รวมถึงความรับผิดหรือเคล็ดลับการรับประกันตามความเหมาะสมของผลิตภัณฑ์ เพื่อวัตถุประสงค์เฉพาะ ผลกำไร หรือการไม่ละเมิด ไม่ว่าจะเป็นสิทธิบัตร ลิขสิทธิ์ หรือสิทธิ์ในทรัพย์สินทางปัญญาอื่น ๆ

ยกเว้นตามที่ตกลงไว้เป็นลายลักษณ์อักษรโดย INTEL ผลิตภัณฑ์ของ INTEL ไม่ได้มีไว้สำหรับใช้ในสถานการณ์ที่ความล้มเหลวอาจส่งผลให้เกิดการบาดเจ็บหรือเสียชีวิตได้

Intel ขอสงวนสิทธิ์ในการเปลี่ยนแปลง ข้อกำหนดทางเทคนิคและคำอธิบายผลิตภัณฑ์โดยไม่ต้องแจ้งให้ทราบล่วงหน้า นักออกแบบไม่ควรพึ่งพาคุณลักษณะที่ขาดหายไป หรือคุณลักษณะที่ระบุว่า “สงวนไว้” หรือ “ไม่ระบุ” คุณสมบัติเหล่านี้สงวนไว้โดย Intel สำหรับการใช้งานในอนาคต และไม่รับประกันว่าไม่มีข้อขัดแย้งด้านความเข้ากันได้ ข้อมูลในเอกสารนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า อย่าใช้ข้อมูลนี้ในการออกแบบขั้นสุดท้าย

ผลิตภัณฑ์ที่อธิบายไว้ในเอกสารนี้อาจมีข้อผิดพลาดหรือความไม่ถูกต้องซึ่งอาจทำให้ข้อมูลจำเพาะของผลิตภัณฑ์จริงแตกต่างไปจากที่อธิบายไว้ในที่นี้ สามารถระบุข้อผิดพลาดที่ระบุได้แล้วตามคำขอ

ก่อนทำการสั่งซื้อให้รับ เวอร์ชันล่าสุดข้อมูลจำเพาะจากสำนักงานขายของ Intel ในพื้นที่ของคุณหรือตัวแทนจำหน่ายในพื้นที่ของคุณ

สามารถรับสำเนาเอกสารที่อ้างอิงในเอกสารนี้หรือเอกสารประกอบอื่นๆ ของ Intel ได้โดยโทร 1-800-548-4725 หรือไปที่: http://www.intel.com/design/literature.htm

ซอฟต์แวร์และเวิร์คโหลดที่ใช้ในการทดสอบเกณฑ์มาตรฐานอาจได้รับการปรับให้เหมาะสมเพื่อให้ได้ประสิทธิภาพสูงบนไมโครโปรเซสเซอร์ของ Intel การทดสอบประสิทธิภาพ เช่น SYSmark* และ MobileMark* ดำเนินการบนระบบคอมพิวเตอร์ ส่วนประกอบ โปรแกรม การทำงาน และฟังก์ชันเฉพาะ การเปลี่ยนแปลงองค์ประกอบใดๆ เหล่านี้อาจทำให้ผลลัพธ์เปลี่ยนแปลงได้ เมื่อเลือกผลิตภัณฑ์ที่คุณซื้อ คุณควรปรึกษาข้อมูลและการทดสอบประสิทธิภาพอื่นๆ รวมถึงการทดสอบประสิทธิภาพของผลิตภัณฑ์หนึ่งๆ ร่วมกับผลิตภัณฑ์อื่นๆ

เอกสารนี้และสิ่งที่ระบุไว้ในนั้น ซอฟต์แวร์มีให้ภายใต้ใบอนุญาตและอาจใช้และแจกจ่ายได้ตามเงื่อนไขของใบอนุญาตเท่านั้น

สิ่งพิมพ์ที่เกี่ยวข้อง