媒体框架强化

为了提高设备安全性,Android 7.0 将整体的 mediaserver 进程分解为多个进程,同时仅向各个进程提供所需的权限和功能。这些变更通过以下方式减少了媒体框架安全漏洞:

  • 将 AV 管道组件拆分为应用专用的沙盒进程。
  • 启用可更新的媒体组件(提取器、编解码器等)。

这些变更还大大降低了大多数媒体相关安全漏洞的严重程度,确保最终用户的设备和数据安全,从而提高了最终用户的安全性。

原始设备制造商 (OEM) 和 SoC 供应商需要更新他们的 HAL 和框架变更,使之与新架构兼容。具体来说,由于供应商提供的 Android 代码通常假定所有内容均在同一进程中运行,因此,供应商必须更新其代码以传递对于各进程均有意义的本机句柄 (native_handle)。有关媒体强化相关变更的参考实现,请参阅 frameworks/avframeworks/native

架构变更

旧版 Android 使用单个整体的 mediaserver 进程,该进程具有众多权限(相机访问权、音频访问权、视频驱动程序访问权、文件访问权、网络访问权等)。Android 7.0 将 mediaserver 进程拆分为几个新进程,这些进程要求的权限要少得多:

mediaserver 强化

图 1. mediaserver 强化的架构变更

采用这种新型架构之后,即使某个进程遭到入侵,恶意代码也无法获得之前 mediaserver 所拥有的全部权限。进程受 SElinux 和 seccomp 政策的限制。

注意:由于供应商依赖项的原因,有些编解码器仍在 mediaserver 中运行,因此会为 mediaserver 授予非必要的权限。具体来说,Widevine Classic 将继续在 Android 7.0 的 mediaserver 中运行。

MediaServer 变更

在 Android 7.0 中,mediaserver 进程用于驱动播放和录制,例如在组件与进程之间传递和同步缓冲区。进程通过标准的 Binder 机制进行通信。

在标准的本地文件播放会话中,应用将文件描述符 (FD) 传递到 mediaserver(通常通过 MediaPlayer Java API),而 mediaserver 将执行以下操作:

  1. 将 FD 封装到已传递给提取器进程的 Binder DataSource 对象中,提取器进程利用该对象读取使用 Binder IPC 的文件。(mediaextractor 不获取 FD,而是通过对 mediaserver 执行 Binder 回调来获取数据。)
  2. 检查文件,针对该文件类型创建适当的提取器(例如 MP3Extractor 或 MPEG4Extractor),然后将提取器的 Binder 接口返回到 mediaserver 进程。
  3. 对提取器执行 Binder IPC 调用,以确定文件中的数据类型(例如 MP3 或 H.264 数据)。
  4. 调用 mediacodec 进程来创建所需类型的编解码器;接收这些编解码器的 Binder 接口。
  5. 对提取器执行重复的 Binder IPC 调用以读取编码的示例,使用 Binder IPC 将编码的数据发送到 mediacodec 进程进行解码,然后接收解码的数据。

某些用例不涉及任何编解码器(例如分流播放,这种播放会将编码的数据直接发送到输出设备),或者编解码器可能会直接呈现解码的数据,而不是返回解码数据的缓冲区(视频播放)。

MediaCodecService 变更

编码器和解码器位于编解码器服务中。由于供应商依赖项的原因,并非所有编解码器都位于编解码器进程中。在 Android 7.0 中:

  • 非安全解码器和软件编码器位于编解码器进程中。
  • 安全解码器和硬件编码器位于 mediaserver(未变更)中。

应用(或 mediaserver)调用编解码器进程来创建所需类型的编解码器,然后调用该编解码器传递编码的数据并检索解码的数据(解码),或者传递解码的数据并检索编码的数据(编码)。传入编解码器以及从中传出的数据已经使用了共享内存,因此该进程未发生改变。

MediaDrmServer 变更

在播放受 DRM 保护的内容(例如 Google Play 电影中的影片)时,会使用 DRM 服务器。该服务器会采用安全方式对加密的数据进行解密,因此可以访问证书和密钥存储以及其他敏感组件。由于供应商依赖关系,DRM 进程尚未应用于所有情况。

AudioServer 变更

AudioServer 进程负责托管音频相关组件,例如音频输入和输出、确定音频转接的 policymanager 服务,以及 FM 电台服务。要详细了解音频变更和实现指南,请参阅实现音频

CameraServer 变更

CameraServer 负责控制相机,并且在录制视频时用于从相机获取视频帧,然后将其传递给 mediaserver 进行进一步处理。要详细了解 CameraServer 变更和实现指南,请参阅相机框架强化

ExtractorService 变更

提取器服务负责托管提取器,即可解析媒体框架支持的各种文件格式的组件。提取器服务是所有服务中权限最少的,它无法读取 FD,因此通过调用 Binder 接口(由各个播放会话的 mediaserver for 向其提供)来访问文件。

应用(或 mediaserver)调用提取器进程来获取 IMediaExtractor,调用该 IMediaExtractor 来获取文件中包含的曲目的 IMediaSources,然后调用 IMediaSources 来读取其中的数据。

为了在进程之间传输数据,应用(或 mediaserver)将 reply-Parcel 中的数据添加为 Binder 事务的一部分或使用共享内存:

  • 使用共享内存需要进行额外的 Binder 调用来释放共享内存,但这样可以加快速度并降低大型缓冲区的功耗。
  • 使用 in-Parcel 需要执行额外的复制操作,但对于小于 64KB 的缓冲区来说,这样可以加快速度并降低功耗。

实现

为了支持将 MediaDrmMediaCrypto 组件移动到新的 mediadrmserver 进程,供应商必须更改安全缓冲区的分配方法,以允许在进程之间共享缓冲区。

在旧版 Android 中,安全缓冲区由 OMX::allocateBuffermediaserver 中分配,并在同一进程的解密过程中使用,如下图所示:

图 2. Android 6.0 及更低版本中的 mediaserver 中的缓冲区分配。

在 Android 7.0 中,缓冲区分配进程已变更为一种新机制,可在提供灵活性的同时最大限度地减少对现有实现的影响。通过使用新的 mediadrmserver 进程中的 MediaDrmMediaCrypto 堆栈,缓冲区将以不同的方法进行分配,而供应商必须更新安全缓冲区句柄,以便当 MediaCodecMediaCrypto 上调用解密操作时可以进行跨 binder 传输。

图 3. Android 7.0 及更高版本中的 mediaserver 中的缓冲区分配。

使用本机句柄

OMX::allocateBuffer 必须返回一个指向 native_handle 结构的指针,其中包含文件描述符 (FD) 和其他整数数据。native_handle 具有使用 FD 的所有优势,包括对序列化/反序列化的现有 binder 支持,可为当前不使用 FD 的供应商提供更多灵活性。

使用 native_handle_create() 分配本机句柄。框架代码拥有已分配的 native_handle 结构的所有权,并负责在最初分配 native_handle 的进程以及对其进行反序列化的进程中释放资源。该框架依次使用 native_handle_close()native_handle_delete() 释放本机句柄,然后使用 Parcel::writeNativeHandle()/readNativeHandle()native_handle 进行序列化/反序列化。

使用 FD 表示安全缓冲区的 SoC 供应商可以使用其 FD 来填充 native_handle 中的 FD。不使用 FD 的供应商可以使用 native_buffer 中的其他字段来表示安全缓冲区。

设置解密位置

供应商必须更新在 native_handle 上运行的 OEMCrypto 解密方法,以执行任何必要的供应商特定操作,以使 native_handle 在新的进程空间中可用(变更通常包括对 OEMCrypto 库的更新)。

allocateBuffer 是一种标准 OMX 操作,Android 7.0 中包含用于查询此项支持的全新 OMX 扩展程序 (OMX.google.android.index.allocateNativeHandle),以及通知 OMX 实现应当使用本机句柄的 OMX_SetParameter 调用。