Android 开机权限白名单默认授予系统app权限

已于 2022-03-10 14:37:43 修改
阅读量7.4k 收藏 12
点赞数 4
分类专栏: Launcher 文章标签: android
于 2022-03-10 14:15:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdnxialei/article/details/123400393
版权

之前不明白为什么权限白名单不生效,现在通过分析系统加载流程,得到了答案

以前在android 8.1的时候,直接在privapp-permissions-mediatek.xml里添加对应app想要的运行时权限就可以了,但是在另外的项目里发现即使写了权限白名单也没用。
device/mediatek/common/device.mk里看到

PRODUCT_COPY_FILES += $(call add-to-product-copy-files-if-exists,vendor/mediatek/proprietary/frameworks/base/data/etc/privapp-permissions-mediatek.xml:system/etc/permissions/privapp-permissions-mediatek.xml)
PRODUCT_COPY_FILES += $(call add-to-product-copy-files-if-exists,vendor/mediatek/proprietary/frameworks/base/data/etc/system-ext-permissions-mediatek.xml:$(TARGET_COPY_OUT_SYSTEM_EXT)/etc/permissions/system-ext-permissions-mediatek.xml)
PRODUCT_COPY_FILES += $(call add-to-product-copy-files-if-exists,vendor/mediatek/proprietary/frameworks/base/data/etc/product-permissions-mediatek.xml:$(TARGET_COPY_OUT_PRODUCT)/etc/permissions/product-permissions-mediatek.xml)

privapp-permissions-mediatek.xml
system-ext-permissions-mediatek.xml
product-permissions-mediatek.xml
这三个文件都被内置到etc目录下
然后他们的内容也都是写的权限白名单,而且有相同的包名,也就是说有重复或者覆盖的可能。
分析系统流程发现

PermissionManagerService.java

SystemConfig systemConfig = SystemConfig.getInstance();

public static SystemConfig getInstance() {
    synchronized (SystemConfig.class) {
        if (sInstance == null) {
            sInstance = new SystemConfig();
        }
        return sInstance;
    }
}

SystemConfig() {
    try {
        readAllPermissions();
    } finally {
        log.traceEnd();
    }
}

private void readAllPermissions() {
     // Read configuration from system
     readPermissions(Environment.buildPath(
             Environment.getRootDirectory(), "etc", "sysconfig"), ALLOW_ALL);
     readPermissions(Environment.buildPath(
             Environment.getVendorDirectory(), "etc", "sysconfig"), vendorPermissionFlag);
     readPermissions(Environment.buildPath(
             Environment.getOdmDirectory(), "etc", "permissions"), odmPermissionFlag);
     readPermissions(Environment.buildPath(
             Environment.getProductDirectory(), "etc", "sysconfig"), ALLOW_ALL);
     readPermissions(Environment.buildPath(
             Environment.getSystemExtDirectory(), "etc", "permissions"), ALLOW_ALL);

}

会把 system vendor product odm systemext 目录下的permission xml文件全都解析出来

case "privapp-permissions": {
 if (allowPrivappPermissions) {
     // privapp permissions from system, vendor, product and system_ext
     // partitions are stored separately. This is to prevent xml files in
     // the vendor partition from granting permissions to priv apps in the
     // system partition and vice versa.
     boolean vendor = permFile.toPath().startsWith(
             Environment.getVendorDirectory().toPath() + "/")
             || permFile.toPath().startsWith(
             Environment.getOdmDirectory().toPath() + "/");
     boolean product = permFile.toPath().startsWith(
             Environment.getProductDirectory().toPath() + "/");
     boolean systemExt = permFile.toPath().startsWith(
             Environment.getSystemExtDirectory().toPath() + "/");
     if (vendor) {
         readPrivAppPermissions(parser, mVendorPrivAppPermissions,
                 mVendorPrivAppDenyPermissions);
     } else if (product) {
         readPrivAppPermissions(parser, mProductPrivAppPermissions,
                 mProductPrivAppDenyPermissions);
     } else if (systemExt) {
         readPrivAppPermissions(parser, mSystemExtPrivAppPermissions,
                 mSystemExtPrivAppDenyPermissions);
     } else {
         readPrivAppPermissions(parser, mPrivAppPermissions,
                 mPrivAppDenyPermissions);
     }
 } else {
     logNotAllowedInPartition(name, permFile, parser);
     XmlUtils.skipCurrentTag(parser);
 }
} break;

再然后根据app的属性来决定加载哪个xml文件,
如果编译的时候编译app到 systemext 目录,那么加载的就会是system-ext-permissions-mediatek.xml里面的白名单权限。
这样一来,我们如果写的不是这个文件里,就不会生效。

白名单权限授权过程

PermissionManagerService

public void onNewUserCreated(int userId)

            
private void updateAllPermissions(@Nullable String volumeUuid, boolean sdkUpdated,
            @NonNull PermissionCallback callback)

private void updatePermissions(final @Nullable String changingPkgName,
  final @Nullable AndroidPackage changingPkg,
  final @Nullable String replaceVolumeUuid,
  @UpdatePermissionFlags int flags,
  final @Nullable PermissionCallback callback)

private void restorePermissionState(@NonNull AndroidPackage pkg, boolean replace,
        @Nullable String packageOfInterest, @Nullable PermissionCallback callback)
        {
        ...
	if (bp.isSignature()) {
       // For all apps signature permissions are install time ones.
        allowedSig = grantSignaturePermission(perm, pkg, ps, bp, origPermissions);
        if (allowedSig) {
            grant = GRANT_INSTALL;
        }
    }
    ...
}

起决定作用的就是这里是否能找到白名单权限hasPrivappWhitelistEntry

private boolean hasPrivappWhitelistEntry(String perm, AndroidPackage pkg) {
ArraySet<String> wlPermissions;
 if (pkg.isVendor()) {
     wlPermissions =SystemConfig.getInstance().getVendorPrivAppPermissions(pkg.getPackageName());
 } else if (pkg.isProduct()) {
     wlPermissions=SystemConfig.getInstance().getProductPrivAppPermissions(pkg.getPackageName());
 } else if (pkg.isSystemExt()) {
     wlPermissions =SystemConfig.getInstance().getSystemExtPrivAppPermissions(
                     pkg.getPackageName());
 } else {
     wlPermissions = SystemConfig.getInstance().getPrivAppPermissions(pkg.getPackageName());
 }

 return wlPermissions != null && wlPermissions.contains(perm);
}

SystemConfig.getInstance().getPrivAppPermissions获取的权限名单列表,就是开机加载的白名单列表。

总结:

权限白名单可以使系统app开机即可获取运行时权限,因为在开机过程中会去检测权限是否有白名单,而对应的白名单会根据app编译的路径而做不同的更改。
例如:Launcher的makefile里添加了LOCAL_SYSTEM_EXT_MODULE := true,所以编译的结果会是Launcher被编译到了system\system_ext路径下,而对应的白名单权限,就会去加载system-ext-permissions-mediatek.xml这个文件里的列表。

Android12.0首次开机默认授予app运行时权限(去掉运行时授权弹窗)第二种方法
安卓兼职framework和app工程师的博客
09-06 3489
在12.0的系统产品开发中,在6.0以后对于权限的申请,都需要动态申请,所以会在系统首次启动后,在app的首次运行时,会弹出授权窗口,会让用户手动授予app运行时权限,在由于系统产品开发需要要求默认授予app运行时权限,不需要用户默认授予运行时弹窗,所以需要在首次开机默认授予所有app运行时权限
Android 15.0 首次开机默认授予app运行时权限(去掉运行时授权弹窗)
最新发布
安卓兼职framework和app工程师的博客
03-29 363
在15.0的系统rom产品定制化开发中,在6.0以后对于权限的申请,都需要动态申请,所以会在系统首次启动后,在app的首次运行时, 会弹出授权窗口,会让用户手动授予app运行时权限,在由于系统产品开发需要要求默认授予app运行时权限,不需要用户默认授予运行时弹窗,所以需要在首次开机默认授予所有app运行时权限
Android P 默认授予应用运行时权限和安装权限
qq_36252688的博客
06-06 3060
由于Android M 更新了应用运行时权限的特性。 diff --git a/services/core/java/com/android/server/pm/PackageManagerService.java b/services/core/java/com/android/server/pm/PackageManagerService.java index 7b68aa7..b7fcfca 100755 --- a/services/core/java/com/android/server/pm/
Androidapp默认权限(不弹窗申请权限
wang 恒 的博客
02-20 1万+
1.系统app 系统app权限默认开启,大家应该都知道是修改DefaultPermissionGrantPolicy.java。 frameworks/base/services/core/java/com/android/server/pm/DefaultPermissionGrantPolicy.java 在grantDefaultSystemHandlerPermissions中可以...
Android 11.0 首次开机默认授予app所有运行时权限的解决方案
安卓兼职framework和app工程师的博客
01-06 2615
在11.0的系统产品开发中,对于系统首次启动后,app在首次运行时,会弹出授权窗口, 会让手动授予app运行时权限,在由于系统产品开发需要要求默认授予app运行时权限 所以需要在首次开机默认授予所有app运行时权限
android12.0(S) DeviceOwner 应用默认授权(MDM 权限)
cczhengv
01-05 7426
android12.0(S) DeviceOwner 应用默认授权(MDM 权限)
android12指定应用白名单默认授权
随缘
04-24 1766
1.路径frameworks/base/services/core/java/com/android/server/pm/permission/DefaultPermissionGrantPolicy.java尾部加入如下代码。5.这是重新刷机,应用就可以面授权直接进入了。进入设置权限页面也可以看到。3.新建sys_app_grant_permission_list.txt文件,写入白名单授权包名。4.在mk中构建加入sys_app_grant_permission_list.conf拷贝。
Android 开机权限默认授予Runtime权限
csdnxialei的博客
04-13 3925
背景:这几天在处理关于工厂测试app的授权问题,按照之前的把权限添加到权限白名单方式,使用app时,依然会发现无法打开录音,照相机等功能,去setting查看app权限管理,发现这些权限没有授予。现在问题解决了 首先,前面我写了这个博客,Android 开机权限白名单默认授予系统app权限, 里面提到默认授权时 private void restorePermissionState(@NonNull AndroidPackage pkg, boolean replace, @Nullabl
Android 特权许可白名单
程序员Android
06-20 3279
极力推荐文章:欢迎收藏Android 干货分享 本篇文章主要介绍Android开发中的部分知识点,通过阅读本篇文章,您将收获以下内容: 一、priv-app 白名单简介 二、添加priv-app 白名单 三、生成priv-app白名单 四、自定义priv-app白名单 五、查找缺少的priv-app权限 六、执行priv-app白名单 七、priv-app 中申...
Android 12.0 rom定制专栏系列解读
安卓兼职framework和app工程师的博客
12-11 3910
在从事android系统rom定制化的这几年里,经历了坎坎坷坷,开发过好几种类型的产品,也随着google对android系统的更新加快,也需要跟随上时代的进步,所以需要把平时工作中遇到的问题总结出来,及时做好记录归纳总结,然后进一步的提升自己能力,本专栏提供给在12.0的rom定制过程中需要寻求帮助的伙伴们给个指引,如有不到之处可以提出来探论,共同进步
Android 默认授予所有应用权限以及特殊权限处理
Jimmy的专栏
08-29 838
PackageManagerService作为android的主要系统服务之一,包含处理应用权限相关的职责。源码地址如下:在PMS成功启动时并收到回掉systemReady回进行应用权限授予。DefaultPermissionGrantPolicy为权限处理策略管理类。这里并没有赋予所有系统应用权限,所以当进行应用时还是会显示权限检查的弹框。可通过此方法进行所有应用权限赋予:如果不想所有应用都授予权限,可考虑在system/etc下的权限相关xml文件添加应用包名和所需权限
android 10.0 app安装白名单.txt
07-31
android 10.0定制化开发过程中,针对现在安装的app做了定制,在白名单列表的可以安装app 不在列表的app就拒绝安装
Android 10 默认授权app运行时权限(去掉运行时权限授权弹窗)
wq892373445的博客
10-14 1万+
问题现象 该窗口对应的包名如下 C:\Users\Android1>adb shell dumpsys window | findstr mCurrentFocus mCurrentFocus=Window{35a20c5 u0 com.android.permissioncontroller/com.android.packageinstaller.permission.ui.ReviewPermissionsActivity} Android 6.0以后由于系统运行安全的考虑,既然在Andr
Android原生权限管理:AppOps
热门推荐
AndroidLover
07-11 5万+
1.      AppOps 简介       AppOps全称是 Application Operations,类似我们平时常说的应用程序的操作(权限)管理。AppOps是Google 原生Android包含的功能,但是Google在每次版本更新时都会隐藏掉AppOps的入口。      在今年的Google IO大会上,Google透露Android M ( Android 6.0 )
android 13.0 设置上网应用白名单(上网app白名单)
安卓兼职framework和app工程师的博客
12-18 1399
在13.0的产品rom定制开发中,在对产品进行网络模块开发中,有功能需要要求设置某些app可以上网,某些app不可以上网,就是所谓的网络应用白名单功能 接下来就来分析下相关的网络模块,来具体实现相关功能的开发
Android 12.0 默认授予应用权限
Jeffries_C的博客
11-21 1886
Android 12.0 默认授予应用权限。重新编译验证,修改生效,已默认授予应用权限
android默认授予所有应用权限以及特殊权限处理
分享技术与经验的博客
05-27 6152
services/core/java/com/android/server/pm/DefaultPermissionGrantPolicy.java
(三十五) Android O 默认授予预制应用运行时权限方法
JT的专栏
05-18 8286
前言:像默认授予预制应用这个方法还是不好百度到的,用到的人不多,自己总结下最近的学习成果,方便后续使用。参考资料:点击打开链接代码分析:基于Android O1. 运行时权限概念Android 6.0 及更高版本中的 Android 应用权限模式旨在使权限更易于用户理解、更实用、更安全。该模式将需要危险权限(请参阅受影响的权限)的 Android 应用从安装时权限模式转移至运行时权限模式:安装时权...
Android开发中APP默认授予系统预置权限
ByteKnight的博客
08-30 893
在某些情况下,系统默认授予应用程序某些预置权限,这些权限不需要用户的明确授权。本文将详细介绍Android系统默认授予APP权限,并提供相应的源代码示例。需要注意的是,尽管这些权限在应用安装时默认授予,但在Android 6.0(API级别23)及更高版本中,用户可以在应用运行时选择性地撤销某些权限。因此,在开发应用程序时,仍然需要适当处理权限请求的逻辑,并兼容用户拒绝权限的情况。希望本文能够帮助你了解Android系统默认授予APP权限,并在应用开发中正确处理权限请求的逻辑。
kotlin跳转自启动
02-07
### Kotlin 实现应用程序自启动及跳转至自启动管理页面 为了使应用程序能够在设备重启后自动启动,在 Android 中通常有两种方式来实现这一功能: #### 方式一:通过广播接收器监听系统启动完成事件 当手机开机完成后会发送 `BOOT_COMPLETED` 广播消息,因此可以在应用中注册一个广播接收者用于监听该广播,并在接收到此广播时启动相应的 Activity 或服务。 ```xml <receiver android:name=".BootReceiver"> <intent-filter> <action android:name="android.intent.action.BOOT_COMPLETED"/> </intent-filter> </receiver> ``` 接着定义对应的 BootReceiver 类处理逻辑[^1]: ```kotlin class BootReceiver : BroadcastReceiver() { override fun onReceive(context: Context?, intent: Intent?) { if ("android.intent.action.BOOT_COMPLETED" == intent?.action){ val startIntent = Intent(context, MainActivity::class.java) context?.startActivity(startIntent.apply{ flags = Intent.FLAG_ACTIVITY_NEW_TASK }) } } } ``` 需要注意的是从 Android 8.0 开始引入了后台执行限制政策,这使得直接启动 activity 变得更加困难。对于这种情况可以考虑创建前台服务作为中介间接激活目标组件[^2]。 #### 方式二:引导用户前往权限设置界面开启自启授权 由于不同厂商定制 ROM 对于 App 的管控策略有所差异,部分机型可能不会默认授予新安装的应用程序自启动权限。此时可以通过提供按钮让用户自行打开系统的相应配置项来进行调整。 以下是获取某些品牌(如小米、华为等)自带安全中心内的白名单列表路径的方法之一: ```kotlin fun gotoAutoStartSetting(activity: Activity): Boolean { try { when (Build.MANUFACTURER.toLowerCase()) { "xiaomi" -> { // 小米 val intent = Intent("miui.intent.action.APP_PERM_EDITOR") .setClassName( "com.miui.securitycenter", "com.miui.permcenter.autostart.AutoStartManagementActivity" ) activity.startActivity(intent) return true } "huawei" -> { // 华为 val intent = Intent() .setComponent(ComponentName( "com.huawei.systemmanager", "com.huawei.systemmanager.optimize.process.ProtectActivity")) activity.startActivity(intent) return true } // 添加其他品牌的判断... else -> {} } } catch (e: Exception) {} Toast.makeText(activity,"当前设备暂无特殊权限设置",Toast.LENGTH_SHORT).show() return false } ``` 以上代码片段展示了针对特定制造商提供的 API 访问其特有的自启动管理界面的方式。不过鉴于各版本之间可能存在变动以及隐私保护等因素的影响,建议开发者们关注官方文档更新并测试兼容性[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值