Por padrão, a maioria dos dispositivos Android vem com um bootloader bloqueado, o que significa que os usuários não podem atualizar o bootloader ou as partições do dispositivo. Se necessário, você (e os usuários do dispositivo com as opções do desenvolvedor habilitadas) podem desbloquear o bootloader para exibir novas imagens.
Desbloqueando o bootloader
Para desbloquear o bootloader e habilitar o reflash das partições, execute o comando fastboot flashing unlock
no dispositivo. Após a configuração, o modo de desbloqueio persiste nas reinicializações.
Os dispositivos devem negar o comando fastboot flashing unlock
, a menos que get_unlock_ability
seja definido como 1
. Se definido como 0
, o usuário precisa inicializar na tela inicial, abrir o menu Configurações > Sistema > Opções do desenvolvedor e habilitar a opção de desbloqueio OEM (que define get_unlock_ability
como 1
). Após a configuração, esse modo persiste em reinicializações e redefinições de dados de fábrica.
Quando o comando fastboot flashing unlock
é enviado, o dispositivo deve solicitar aos usuários que os avisem de que podem encontrar problemas com imagens não oficiais. Depois que o usuário reconhecer o aviso, o dispositivo deve executar uma redefinição de dados de fábrica para impedir o acesso não autorizado aos dados. O bootloader deve redefinir o dispositivo mesmo que não consiga reformatá-lo corretamente. Somente após uma reinicialização, o sinalizador persistente pode ser definido para que o dispositivo possa sofrer reflash.
Toda a RAM ainda não sobrescrita deve ser redefinida durante o processo de fastboot flashing unlock
de inicialização rápida. Essa medida evita ataques que leem o conteúdo restante da RAM da inicialização anterior. Da mesma forma, os dispositivos desbloqueados devem limpar a RAM a cada inicialização (a menos que isso crie um atraso inaceitável), mas devem deixar a região usada para os ramoops
do kernel.
Bloqueando o bootloader
Para bloquear o bootloader e redefinir o dispositivo, execute o comando fastboot flashing lock
no dispositivo. Os dispositivos destinados ao varejo devem ser enviados no estado bloqueado (com get_unlock_ability
retornando 0
) para garantir que os invasores não comprometam o dispositivo instalando um novo sistema ou imagem de inicialização.
Definir propriedades de bloqueio/desbloqueio
A propriedade ro.oem_unlock_supported
deve ser definida no momento da compilação com base no fato de o dispositivo oferecer suporte ao desbloqueio por flash.
- Se o dispositivo suportar o desbloqueio intermitente, defina
ro.oem_unlock_supported
como1
. - Se o dispositivo não for compatível com desbloqueio intermitente, defina
ro.oem_unlock_supported
como0
.
Se o dispositivo suportar desbloqueio intermitente, o gerenciador de inicialização deve indicar o status de bloqueio definindo a variável de linha de comando do kernel androidboot.flash.locked
como 1
se estiver bloqueado ou 0
se estiver desbloqueado. Essa variável deve ser definida em bootconfig em vez de na linha de comando do kernel no Android 12.
Para dispositivos que suportam dm-verity , use ro.boot.verifiedbootstate
para definir o valor de ro.boot.flash.locked
como 0
; isso desbloqueia o carregador de inicialização se o estado de inicialização verificado for laranja.
Protegendo seções críticas
Os dispositivos devem suportar o bloqueio e desbloqueio de seções críticas, que são definidas como o que for necessário para inicializar o dispositivo no gerenciador de inicialização. Essas seções podem incluir fusíveis, partições virtuais para um hub de sensor, carregador de inicialização de primeiro estágio e muito mais. Para bloquear as seções críticas, você deve usar um mecanismo que impeça que o código (kernel, imagem de recuperação, código OTA etc.) em execução no dispositivo modifique deliberadamente qualquer seção crítica. Os OTAs devem falhar ao atualizar seções críticas se o dispositivo estiver em estado crítico de bloqueio.
A transição do estado bloqueado para o desbloqueado deve exigir uma interação física com o dispositivo. Essa interação é semelhante aos efeitos da execução do comando fastboot flashing unlock
, mas exige que o usuário pressione um botão físico no dispositivo. Os dispositivos não devem permitir a transição programática de lock critical
para unlock critical
sem interação física, e os dispositivos não devem ser enviados no estado de unlock critical
.