安卓预置应用的特权适配

首先要理解特权应用

• 位于系统分区的priv-app目录下的应用就是特权应用。普通三方应用只应包含normal和dangerous(运行时)级别的权限，特权应用可能会增加signature和privileged级别的权限。

• 如果在app的Android.bp文件内定义了privileged: true, 或者在Android.mk内定义了LOCAL_PRIVILEGED_MODULE := true 那么这个apk就会被编译到system/priv-app分区内成为特权应用。

  • 如果在Android.mk内组合了LOCAL_PRODUCT_MODULE := true，那么编译位置变成system/product/priv-app分区
  • 同理在Android.bp内组合了product_specific: true，那么也将编译到system/product/priv-app分区

• 对于特权应用来说，它的启动时机是不可控的，对于privileged/signature权限，如果不进行预先授予，那么必将导致设备严重bug。因此必须声明在permission白名单内。

• 不同的Android版本定义的特权分区如下：

  • 小于等于Android 8.1的版本，特权分区为/system。
  • 大于等于Android 9的版本，特权分区为/system, /product和/vendor。
  • 对于安卓11版本，特权分区新增了/system_ext。

参考01: 系统应用provision

1. 首先在provision项目的 Android.mk 文件内定义了LOCAL_REQUIRED_MODULES=privapp_whitelist_com.android.provision， 即在编译它之前先编译privapp_whitelist_com.android.provision。这个module定义位置在/frameworks/base/data/etc/Android.bp内：

   prebuilt_etc {
     name: "privapp_whitelist_com.android.provision",// 配置文件的别名
     product_specific: true,        // 配置文件添加到product分区
     sub_dir: "permissions",       // 配置文件的目录
     src: "com.android.provision.xml",
     filename_from_src: true,
   }  //如果想把配置文件编译到 vendor 区， 添加 proprietary: true 即可。
   

2. Launcher3的默认权限最终被编译到SYSTEM\product\etc\permissions\com.android.launcher3.xml

   特权应用权限白名单文件的位置：<特权分区组合地址>/etc/permissions/
   如果定义了product_specific，那么特权分区组合地址为：SYSTEM\product
   如果定义了proprietary，那么特权分区组合地址为：vendor (此处存疑，欢迎指正)
   如果定义了system_ext_specific，那么特权分区组合地址为：SYSTEM\system_ext (安卓11新增)

参考02: 系统应用MusicFX

1. MusicFX在它的manifest.xml里定义有android.permission.CHANGE_COMPONENT_ENABLED_STATE权限，权限解释详见：CHANGE_COMPONENT_ENABLED_STATE，它属于privileged level的权限。
2. 同时在Android.bp内定义了platform_apis: true, privileged: true,两个属性，标识这是一个系统应用，采用包含hide api的platform进行编译。
3. 在frameworks/base/data/etc/privapp-permissions-platform.xml内定义了MusicFX所需要的CHANGE_COMPONENT_ENABLED_STATE特殊权限。
4. 在最终编译的rom内，app的预置权限被定义在SYSTEM\etc\permissions\privapp-permissions-platform.xml内。

Development:新增app的特权操作

• 如果应用定义了protectionLevel="signature|privileged"类型的权限，那么需要为应用添加白名单权限，我们可以在frameworks/base/data/etc/privapp-permissions-platform.xml内添加。
• 如果你已经把源码编译过，那么可以通过执行development/tools/privapp_permissions/privapp_permissions.py这个脚本看到你需要配置的信息，例如如下信息：

  <?xml version="1.0" encoding="utf-8"?>
  <permissions>
    <privapp-permissions package="com.android.providers.settings">
          <permission name="com.packages.xx.permission01"/>
          <permission name="com.packages.xx.permission02"/>
          ........
    </privapp-permissions>
  </permissions>
  

这就是白名单内容，我们可以把privapp-permissions实体放到frameworks/base/data/etc/privapp-permissions-platform.xml，当然也可以单独生成一个文件，名为<应用包名>.xml，但这需要在Android.bp中进行编译配置(可参考第二段中的provision设置)。

Development:新增app的dangerous(运行时)权限操作

• 参考android-11的相关源码：frameworks/base/services/core/java/com/android/server/pm/permission/DefaultPermissionGrantPolicy.java

  private File[] getDefaultPermissionFiles() {
      ArrayList<File> ret = new ArrayList<File>();
      File dir = new File(Environment.getRootDirectory(), "etc/default-permissions");
      if (dir.isDirectory() && dir.canRead()) {
          Collections.addAll(ret, dir.listFiles());
      }
      dir = new File(Environment.getVendorDirectory(), "etc/default-permissions");
      if (dir.isDirectory() && dir.canRead()) {
          Collections.addAll(ret, dir.listFiles());
      }
      dir = new File(Environment.getOdmDirectory(), "etc/default-permissions");
      if (dir.isDirectory() && dir.canRead()) {
          Collections.addAll(ret, dir.listFiles());
      }
      dir = new File(Environment.getProductDirectory(), "etc/default-permissions");
      if (dir.isDirectory() && dir.canRead()) {
          Collections.addAll(ret, dir.listFiles());
      }SystemExt 为android-11新增
      dir = new File(Environment.getSystemExtDirectory(), "etc/default-permissions");
      if (dir.isDirectory() && dir.canRead()) {
          Collections.addAll(ret, dir.listFiles());
      }
      // For IoT devices, we check the oem partition for default permissions for each app.
      if (mContext.getPackageManager().hasSystemFeature(PackageManager.FEATURE_EMBEDDED, 0)) {
          dir = new File(Environment.getOemDirectory(), "etc/default-permissions");
          if (dir.isDirectory() && dir.canRead()) {
              Collections.addAll(ret, dir.listFiles());
          }
      }
      return ret.isEmpty() ? null : ret.toArray(new File[0]);
  }
  

• 创建一个default_permissions.xml文件(名称非限定)，模板如下：

  <?xml version="1.0" encoding="utf-8"?>
  <exceptions>
      <!-- This is an example of an exception:
      <exception  package="<应用包名>"
          <permission name="android.permission.READ_CONTACTS" fixed="true"/>
          <permission name="android.permission.READ_CALENDAR" fixed="false"/>
      </exception> 
  </exceptions>
  

• 对于已经在调试的设备，将xml文件放在/system/etc/default-permissions/下，然后恢复出厂设置验证
• 对于framework层开发者，可以将xml放在framework/base/data/etc/default-permissions/目录下，或者参考
  getDefaultPermissionFiles()方法的相关目录然后编译即可。注意这种做法的风险：可能无法通过兼容性测试套件(CTS)测试