Bloqueando/Desbloqueando o Bootloader

Por padrão, a maioria dos dispositivos Android vem com um bootloader bloqueado, o que significa que os usuários não podem atualizar o bootloader ou as partições do dispositivo. Se necessário, você (e os usuários do dispositivo com as opções do desenvolvedor habilitadas) podem desbloquear o bootloader para exibir novas imagens.

Desbloqueando o bootloader

Para desbloquear o bootloader e habilitar o reflash das partições, execute o comando fastboot flashing unlock no dispositivo. Após a configuração, o modo de desbloqueio persiste nas reinicializações.

Os dispositivos devem negar o comando fastboot flashing unlock , a menos que get_unlock_ability seja definido como 1 . Se definido como 0 , o usuário precisa inicializar na tela inicial, abrir o menu Configurações > Sistema > Opções do desenvolvedor e habilitar a opção de desbloqueio OEM (que define get_unlock_ability como 1 ). Após a configuração, esse modo persiste em reinicializações e redefinições de dados de fábrica.

Quando o comando fastboot flashing unlock é enviado, o dispositivo deve solicitar aos usuários que os avisem de que podem encontrar problemas com imagens não oficiais. Depois que o usuário reconhecer o aviso, o dispositivo deve executar uma redefinição de dados de fábrica para impedir o acesso não autorizado aos dados. O bootloader deve redefinir o dispositivo mesmo que não consiga reformatá-lo corretamente. Somente após uma reinicialização, o sinalizador persistente pode ser definido para que o dispositivo possa sofrer reflash.

Toda a RAM ainda não sobrescrita deve ser redefinida durante o processo de fastboot flashing unlock de inicialização rápida. Essa medida evita ataques que leem o conteúdo restante da RAM da inicialização anterior. Da mesma forma, os dispositivos desbloqueados devem limpar a RAM a cada inicialização (a menos que isso crie um atraso inaceitável), mas devem deixar a região usada para os ramoops do kernel.

Bloqueando o bootloader

Para bloquear o bootloader e redefinir o dispositivo, execute o comando fastboot flashing lock no dispositivo. Os dispositivos destinados ao varejo devem ser enviados no estado bloqueado (com get_unlock_ability retornando 0 ) para garantir que os invasores não comprometam o dispositivo instalando um novo sistema ou imagem de inicialização.

Definir propriedades de bloqueio/desbloqueio

A propriedade ro.oem_unlock_supported deve ser definida no momento da compilação com base no fato de o dispositivo oferecer suporte ao desbloqueio por flash.

  • Se o dispositivo suportar o desbloqueio intermitente, defina ro.oem_unlock_supported como 1 .
  • Se o dispositivo não for compatível com desbloqueio intermitente, defina ro.oem_unlock_supported como 0 .

Se o dispositivo suportar desbloqueio intermitente, o gerenciador de inicialização deve indicar o status de bloqueio definindo a variável de linha de comando do kernel androidboot.flash.locked como 1 se estiver bloqueado ou 0 se estiver desbloqueado. Essa variável deve ser definida em bootconfig em vez de na linha de comando do kernel no Android 12.

Para dispositivos que suportam dm-verity , use ro.boot.verifiedbootstate para definir o valor de ro.boot.flash.locked como 0 ; isso desbloqueia o carregador de inicialização se o estado de inicialização verificado for laranja.

Protegendo seções críticas

Os dispositivos devem suportar o bloqueio e desbloqueio de seções críticas, que são definidas como o que for necessário para inicializar o dispositivo no gerenciador de inicialização. Essas seções podem incluir fusíveis, partições virtuais para um hub de sensor, carregador de inicialização de primeiro estágio e muito mais. Para bloquear as seções críticas, você deve usar um mecanismo que impeça que o código (kernel, imagem de recuperação, código OTA etc.) em execução no dispositivo modifique deliberadamente qualquer seção crítica. Os OTAs devem falhar ao atualizar seções críticas se o dispositivo estiver em estado crítico de bloqueio.

A transição do estado bloqueado para o desbloqueado deve exigir uma interação física com o dispositivo. Essa interação é semelhante aos efeitos da execução do comando fastboot flashing unlock , mas exige que o usuário pressione um botão físico no dispositivo. Os dispositivos não devem permitir a transição programática de lock critical para unlock critical sem interação física, e os dispositivos não devem ser enviados no estado de unlock critical .