安卓預置應用的特權適配

首先要理解特權應用

  • 位于系統(tǒng)分區(qū)的priv-app目錄下的應用就是特權應用。普通三方應用只應包含normaldangerous(運行時)級別的權限,特權應用可能會增加signatureprivileged級別的權限。

  • 如果在app的Android.bp文件內(nèi)定義了privileged: true, 或者在Android.mk內(nèi)定義了LOCAL_PRIVILEGED_MODULE := true 那么這個apk就會被編譯到system/priv-app分區(qū)內(nèi)成為特權應用。

    • 如果在Android.mk內(nèi)組合了LOCAL_PRODUCT_MODULE := true,那么編譯位置變成system/product/priv-app分區(qū)
    • 同理在Android.bp內(nèi)組合了product_specific: true,那么也將編譯到system/product/priv-app分區(qū)

  • 對于特權應用來說,它的啟動時機是不可控的,對于privileged/signature權限,如果不進行預先授予,那么必將導致設備嚴重bug。因此必須聲明在permission白名單內(nèi)。

  • 不同的Android版本定義的特權分區(qū)如下:

    • 小于等于Android 8.1的版本,特權分區(qū)為/system。
    • 大于等于Android 9的版本,特權分區(qū)為/system, /product和/vendor。
    • 對于安卓11版本,特權分區(qū)新增了/system_ext。

參考01: 系統(tǒng)應用provision

  1. 首先在provision項目的 Android.mk 文件內(nèi)定義了LOCAL_REQUIRED_MODULES=privapp_whitelist_com.android.provision, 即在編譯它之前先編譯privapp_whitelist_com.android.provision。這個module定義位置在/frameworks/base/data/etc/Android.bp內(nèi): 
    prebuilt_etc {
  name: "privapp_whitelist_com.android.provision",// 配置文件的別名
  product_specific: true,        // 配置文件添加到product分區(qū)
  sub_dir: "permissions",       // 配置文件的目錄
  src: "com.android.provision.xml",
  filename_from_src: true,
}  //如果想把配置文件編譯到 vendor 區(qū), 添加 proprietary: true 即可。
  2. Launcher3的默認權限最終被編譯到SYSTEM\product\etc\permissions\com.android.launcher3.xml

    特權應用權限白名單文件的位置:<特權分區(qū)組合地址>/etc/permissions/
    如果定義了product_specific,那么特權分區(qū)組合地址為:SYSTEM\product
    如果定義了proprietary,那么特權分區(qū)組合地址為:vendor (此處存疑,歡迎指正)
    如果定義了system_ext_specific,那么特權分區(qū)組合地址為:SYSTEM\system_ext (安卓11新增)

參考02: 系統(tǒng)應用MusicFX

  1. MusicFX在它的manifest.xml里定義有android.permission.CHANGE_COMPONENT_ENABLED_STATE權限,權限解釋詳見:CHANGE_COMPONENT_ENABLED_STATE,它屬于privileged level的權限。
  2. 同時在Android.bp內(nèi)定義了platform_apis: true, privileged: true,兩個屬性,標識這是一個系統(tǒng)應用,采用包含hide api的platform進行編譯。
  3. 在frameworks/base/data/etc/privapp-permissions-platform.xml內(nèi)定義了MusicFX所需要的CHANGE_COMPONENT_ENABLED_STATE特殊權限。
  4. 在最終編譯的rom內(nèi),app的預置權限被定義在SYSTEM\etc\permissions\privapp-permissions-platform.xml內(nèi)。

Development:新增app的特權操作

  • 如果應用定義了protectionLevel="signature|privileged"類型的權限,那么需要為應用添加白名單權限,我們可以在frameworks/base/data/etc/privapp-permissions-platform.xml內(nèi)添加。
  • 如果你已經(jīng)把源碼編譯過,那么可以通過執(zhí)行development/tools/privapp_permissions/privapp_permissions.py這個腳本看到你需要配置的信息,例如如下信息: 
    <?xml version="1.0" encoding="utf-8"?>
<permissions>
  <privapp-permissions package="com.android.providers.settings">
        <permission name="com.packages.xx.permission01"/>
        <permission name="com.packages.xx.permission02"/>
        ........
  </privapp-permissions>
</permissions>

這就是白名單內(nèi)容,我們可以把privapp-permissions實體放到frameworks/base/data/etc/privapp-permissions-platform.xml,當然也可以單獨生成一個文件,名為<應用包名>.xml,但這需要在Android.bp中進行編譯配置(可參考第二段中的provision設置)。

Development:新增app的dangerous(運行時)權限操作

  • 參考android-11的相關源碼:frameworks/base/services/core/java/com/android/server/pm/permission/DefaultPermissionGrantPolicy.java 
    private File[] getDefaultPermissionFiles() {
    ArrayList<File> ret = new ArrayList<File>();
    File dir = new File(Environment.getRootDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getVendorDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getOdmDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getProductDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }SystemExt 為android-11新增
    dir = new File(Environment.getSystemExtDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    // For IoT devices, we check the oem partition for default permissions for each app.
    if (mContext.getPackageManager().hasSystemFeature(PackageManager.FEATURE_EMBEDDED, 0)) {
        dir = new File(Environment.getOemDirectory(), "etc/default-permissions");
        if (dir.isDirectory() && dir.canRead()) {
            Collections.addAll(ret, dir.listFiles());
        }
    }
    return ret.isEmpty() ? null : ret.toArray(new File[0]);
}
  • 創(chuàng)建一個default_permissions.xml文件(名稱非限定),模板如下: 
    <?xml version="1.0" encoding="utf-8"?>
<exceptions>
    <!-- This is an example of an exception:
    <exception  package="<應用包名>"
        <permission name="android.permission.READ_CONTACTS" fixed="true"/>
        <permission name="android.permission.READ_CALENDAR" fixed="false"/>
    </exception> 
</exceptions>
  • 對于已經(jīng)在調(diào)試的設備,將xml文件放在/system/etc/default-permissions/下,然后恢復出廠設置驗證
  • 對于framework層開發(fā)者,可以將xml放在framework/base/data/etc/default-permissions/目錄下,或者參考
    getDefaultPermissionFiles()方法的相關目錄然后編譯即可。注意這種做法的風險:可能無法通過兼容性測試套件(CTS)測試
最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容