安卓预置应用的特权适配

2021-03-24 本文已影响0人鹈鹕醍醐

首先要理解特权应用

位于系统分区的priv-app目录下的应用就是特权应用。普通三方应用只应包含normal和dangerous(运行时)级别的权限，特权应用可能会增加signature和privileged级别的权限。
如果在app的Android.bp文件内定义了privileged: true, 或者在Android.mk内定义了LOCAL_PRIVILEGED_MODULE := true 那么这个apk就会被编译到system/priv-app分区内成为特权应用。
- 如果在Android.mk内组合了LOCAL_PRODUCT_MODULE := true，那么编译位置变成system/product/priv-app分区
- 同理在Android.bp内组合了product_specific: true，那么也将编译到system/product/priv-app分区
对于特权应用来说，它的启动时机是不可控的，对于privileged/signature权限，如果不进行预先授予，那么必将导致设备严重bug。因此必须声明在permission白名单内。
不同的Android版本定义的特权分区如下：
- 小于等于Android 8.1的版本，特权分区为/system。
- 大于等于Android 9的版本，特权分区为/system, /product和/vendor。
- 对于安卓11版本，特权分区新增了/system_ext。

参考01: 系统应用provision

首先在provision项目的 Android.mk 文件内定义了LOCAL_REQUIRED_MODULES=privapp_whitelist_com.android.provision，即在编译它之前先编译privapp_whitelist_com.android.provision。这个module定义位置在/frameworks/base/data/etc/Android.bp内：

prebuilt_etc {
  name: "privapp_whitelist_com.android.provision",// 配置文件的别名
  product_specific: true,        // 配置文件添加到product分区
  sub_dir: "permissions",       // 配置文件的目录
  src: "com.android.provision.xml",
  filename_from_src: true,
}  //如果想把配置文件编译到 vendor 区， 添加 proprietary: true 即可。

Launcher3的默认权限最终被编译到SYSTEM\product\etc\permissions\com.android.launcher3.xml

特权应用权限白名单文件的位置：<特权分区组合地址>/etc/permissions/
如果定义了product_specific，那么特权分区组合地址为：SYSTEM\product
如果定义了proprietary，那么特权分区组合地址为：vendor (此处存疑，欢迎指正)
如果定义了system_ext_specific，那么特权分区组合地址为：SYSTEM\system_ext (安卓11新增)

参考02: 系统应用MusicFX

MusicFX在它的manifest.xml里定义有android.permission.CHANGE_COMPONENT_ENABLED_STATE权限，权限解释详见：CHANGE_COMPONENT_ENABLED_STATE，它属于privileged level的权限。
同时在Android.bp内定义了platform_apis: true, privileged: true,两个属性，标识这是一个系统应用，采用包含hide api的platform进行编译。
在frameworks/base/data/etc/privapp-permissions-platform.xml内定义了MusicFX所需要的CHANGE_COMPONENT_ENABLED_STATE特殊权限。
在最终编译的rom内，app的预置权限被定义在SYSTEM\etc\permissions\privapp-permissions-platform.xml内。

Development:新增app的特权操作

如果应用定义了protectionLevel="signature|privileged"类型的权限，那么需要为应用添加白名单权限，我们可以在frameworks/base/data/etc/privapp-permissions-platform.xml内添加。

如果你已经把源码编译过，那么可以通过执行development/tools/privapp_permissions/privapp_permissions.py这个脚本看到你需要配置的信息，例如如下信息：

<?xml version="1.0" encoding="utf-8"?>
<permissions>
  <privapp-permissions package="com.android.providers.settings">
        <permission name="com.packages.xx.permission01"/>
        <permission name="com.packages.xx.permission02"/>
        ........
  </privapp-permissions>
</permissions>

这就是白名单内容，我们可以把privapp-permissions实体放到frameworks/base/data/etc/privapp-permissions-platform.xml，当然也可以单独生成一个文件，名为<应用包名>.xml，但这需要在Android.bp中进行编译配置(可参考第二段中的provision设置)。

Development:新增app的dangerous(运行时)权限操作

参考android-11的相关源码：frameworks/base/services/core/java/com/android/server/pm/permission/DefaultPermissionGrantPolicy.java

private File[] getDefaultPermissionFiles() {
    ArrayList<File> ret = new ArrayList<File>();
    File dir = new File(Environment.getRootDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getVendorDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getOdmDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    dir = new File(Environment.getProductDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }SystemExt 为android-11新增
    dir = new File(Environment.getSystemExtDirectory(), "etc/default-permissions");
    if (dir.isDirectory() && dir.canRead()) {
        Collections.addAll(ret, dir.listFiles());
    }
    // For IoT devices, we check the oem partition for default permissions for each app.
    if (mContext.getPackageManager().hasSystemFeature(PackageManager.FEATURE_EMBEDDED, 0)) {
        dir = new File(Environment.getOemDirectory(), "etc/default-permissions");
        if (dir.isDirectory() && dir.canRead()) {
            Collections.addAll(ret, dir.listFiles());
        }
    }
    return ret.isEmpty() ? null : ret.toArray(new File[0]);
}

创建一个default_permissions.xml文件(名称非限定)，模板如下：

<?xml version="1.0" encoding="utf-8"?>
<exceptions>
    <!-- This is an example of an exception:
    <exception  package="<应用包名>"
        <permission name="android.permission.READ_CONTACTS" fixed="true"/>
        <permission name="android.permission.READ_CALENDAR" fixed="false"/>
    </exception> 
</exceptions>

对于已经在调试的设备，将xml文件放在/system/etc/default-permissions/下，然后恢复出厂设置验证
对于framework层开发者，可以将xml放在framework/base/data/etc/default-permissions/目录下，或者参考
getDefaultPermissionFiles()方法的相关目录然后编译即可。注意这种做法的风险：可能无法通过兼容性测试套件(CTS)测试