Google is committed to advancing racial equity for Black communities. See how.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Formato de archivo APEX

Android Pony EXpress (APEX) es un formato de contenedor introducido en Android 10 que se usa en el flujo de instalación para módulos del sistema de nivel inferior. Este formato facilita las actualizaciones de los componentes del sistema que no encajan en el modelo de aplicación estándar de Android. Algunos componentes de ejemplo son bibliotecas y servicios nativos, capas de abstracción de hardware ( HAL ), tiempo de ejecución ( ART ) y bibliotecas de clases.

El término "APEX" también puede referirse a un archivo APEX.

Antecedentes

Aunque Android admite actualizaciones de módulos que se ajustan al modelo de aplicación estándar (por ejemplo, servicios, actividades) a través de aplicaciones de instalación de paquetes (como la aplicación Google Play Store), el uso de un modelo similar para componentes de SO de nivel inferior tiene los siguientes inconvenientes:

  • Los módulos basados ​​en APK no se pueden usar al principio de la secuencia de arranque. El administrador de paquetes es el repositorio central de información sobre las aplicaciones y solo se puede iniciar desde el administrador de actividades, que está listo en una etapa posterior del procedimiento de arranque.
  • El formato APK (particularmente el manifiesto) está diseñado para aplicaciones de Android y los módulos del sistema no siempre son adecuados.

Diseño

Esta sección describe el diseño de alto nivel del formato de archivo APEX y el administrador APEX, que es un servicio que administra archivos APEX.

Para obtener más información sobre por qué se seleccionó este diseño para APEX, consulte Alternativas consideradas al desarrollar APEX .

Formato APEX

Este es el formato de un archivo APEX.

Formato de archivo APEX

Figura 1. Formato de archivo APEX

En el nivel superior, un archivo APEX es un archivo zip en el que los archivos se almacenan sin comprimir y ubicados en límites de 4 KB.

Los cuatro archivos de un archivo APEX son:

  • apex_manifest.json
  • AndroidManifest.xml
  • apex_payload.img
  • apex_pubkey

El archivo apex_manifest.json contiene el nombre y la versión del paquete, que identifican un archivo APEX.

El archivo AndroidManifest.xml permite que el archivo APEX utilice herramientas e infraestructura relacionadas con APK, como ADB, PackageManager y aplicaciones de instalación de paquetes (como Play Store). Por ejemplo, el archivo APEX puede usar una herramienta existente como aapt para inspeccionar los metadatos básicos del archivo. El archivo contiene información sobre el nombre y la versión del paquete. Esta información generalmente también está disponible en apex_manifest.json .

Se recomienda apex_manifest.json sobre AndroidManifest.xml para nuevos códigos y sistemas que se ocupan de APEX. AndroidManifest.xml puede contener información de segmentación adicional que pueden usar las herramientas de publicación de aplicaciones existentes.

apex_payload.img es una imagen del sistema de archivos ext4 respaldada por dm-verity. La imagen se monta en tiempo de ejecución mediante un dispositivo de bucle invertido. Específicamente, el árbol hash y el bloque de metadatos se crean usando libavb. La carga útil del sistema de archivos no se analiza (porque la imagen debe poder montarse en su lugar). Los archivos regulares se incluyen dentro del archivo apex_payload.img .

apex_pubkey es la clave pública utilizada para firmar la imagen del sistema de archivos. En tiempo de ejecución, esta clave asegura que el APEX descargado esté firmado con la misma entidad que firma el mismo APEX en las particiones integradas.

Gerente APEX

El administrador de APEX (o apexd ) es un proceso nativo independiente responsable de verificar, instalar y desinstalar archivos APEX. Este proceso se inicia y está listo al principio de la secuencia de inicio. Los archivos APEX normalmente están preinstalados en el dispositivo en /system/apex . El administrador de APEX utiliza estos paquetes de forma predeterminada si no hay actualizaciones disponibles.

La secuencia de actualización de un APEX utiliza la clase PackageManager y es la siguiente.

  1. Un archivo APEX se descarga a través de una aplicación de instalación de paquetes, ADB u otra fuente.
  2. El administrador de paquetes inicia el procedimiento de instalación. Al reconocer que el archivo es un APEX, el administrador de paquetes transfiere el control al administrador de APEX.
  3. El administrador de APEX verifica el archivo APEX.
  4. Si se verifica el archivo APEX, la base de datos interna del administrador APEX se actualiza para reflejar que el archivo APEX se activará en el próximo arranque.
  5. El solicitante de la instalación recibe una transmisión tras la verificación exitosa del paquete.
  6. Para continuar con la instalación, el sistema reinicia automáticamente el dispositivo.
  7. Al reiniciar, el administrador APEX se inicia, lee la base de datos interna y hace lo siguiente para cada archivo APEX enumerado:

    1. Verifica el archivo APEX.
    2. Crea un dispositivo de loopback a partir del archivo APEX.
    3. Crea un dispositivo de bloque de mapeador de dispositivos en la parte superior del dispositivo de bucle invertido.
    4. Monta el dispositivo de bloque del mapeador de dispositivos en una ruta única (por ejemplo, /apex/ name @ ver ).

Cuando se montan todos los archivos APEX enumerados en la base de datos interna, el administrador APEX proporciona un servicio de enlace para que otros componentes del sistema consulten información sobre los archivos APEX instalados. Por ejemplo, los otros componentes del sistema pueden consultar la lista de archivos APEX instalados en el dispositivo o consultar la ruta exacta donde está montado un APEX específico, para que se pueda acceder a los archivos.

Los archivos APEX son archivos APK

Los archivos APEX son archivos APK válidos porque son archivos zip firmados (que utilizan el esquema de firma APK) que contienen un archivo AndroidManifest.xml . Esto permite que los archivos APEX usen la infraestructura para archivos APK, como una aplicación de instalación de paquetes, la utilidad de firma y el administrador de paquetes.

El archivo AndroidManifest.xml dentro de un archivo APEX es mínimo y consta del name del paquete, versionCode y targetSdkVersion , minSdkVersion y maxSdkVersion para una segmentación detallada. Esta información permite que los archivos APEX se envíen a través de los canales existentes, como las aplicaciones de instalación de paquetes y ADB.

Tipos de archivos compatibles

El formato APEX admite estos tipos de archivos:

  • Libs compartidas nativas
  • Ejecutables nativos
  • Archivos JAR
  • Archivos de información
  • Archivos de configuración

Esto no significa que APEX pueda actualizar todos estos tipos de archivos. La posibilidad de actualizar un tipo de archivo depende de la plataforma y de la estabilidad de las interfaces para los tipos de archivos.

Firma

Los archivos APEX se firman de dos formas. Primero, el apex_payload.img (específicamente, el descriptor vbmeta adjunto a apex_payload.img ) está firmado con una clave. Luego, todo el APEX se firma utilizando el esquema de firma APK v3 . En este proceso se utilizan dos claves diferentes.

En el lado del dispositivo, se instala una clave pública correspondiente a la clave privada utilizada para firmar el descriptor vbmeta. El administrador de APEX usa la clave pública para verificar los APEX que se solicita instalar. Cada APEX debe estar firmado con claves diferentes y se aplica tanto en el tiempo de compilación como en el tiempo de ejecución.

APEX en particiones integradas

Los archivos APEX se pueden ubicar en particiones integradas como /system . La partición ya está sobre dm-verity, por lo que los archivos APEX se montan directamente sobre el dispositivo de bucle invertido.

Si un APEX está presente en una partición incorporada, el APEX se puede actualizar proporcionando un paquete APEX con el mismo nombre de paquete y un código de versión superior. El nuevo APEX se almacena en /data y, de manera similar a los APK, la versión más reciente oculta la versión ya presente en la partición incorporada. Pero a diferencia de los APK, la versión más nueva de APEX solo se activa después de reiniciar.

Requisitos del kernel

Para admitir módulos de la línea principal APEX en un dispositivo Android, se requieren las siguientes características del kernel de Linux: el controlador de bucle invertido y dm-verity. El controlador de bucle invertido monta la imagen del sistema de archivos en un módulo APEX y dm-verity verifica el módulo APEX.

El rendimiento del controlador de bucle invertido y dm-verity es importante para lograr un buen rendimiento del sistema cuando se utilizan módulos APEX.

Versiones de kernel compatibles

Los módulos de la línea principal APEX son compatibles con dispositivos que utilizan versiones de kernel 4.4 o superiores. Los nuevos dispositivos que se inician con Android 10 o superior deben usar la versión 4.9 o superior del kernel para admitir módulos APEX.

Parches de kernel necesarios

Los parches de kernel necesarios para admitir módulos APEX se incluyen en el árbol común de Android. Para que los parches sean compatibles con APEX, use la última versión del árbol común de Android.

Versión de kernel 4.4

Esta versión solo es compatible con dispositivos que se actualizan de Android 9 a Android 10 y desean admitir módulos APEX. Para obtener los parches necesarios, se recomienda encarecidamente una fusión descendente de la rama android-4.4 . La siguiente es una lista de los parches individuales necesarios para la versión 4.4 del kernel.

  • UPSTREAM: loop: agregue ioctl para cambiar el tamaño del bloque lógico ( 4.4 )
  • BACKPORT: block / loop: set hw_sectors ( 4.4 )
  • UPSTREAM: loop: Agregar LOOP_SET_BLOCK_SIZE en compat ioctl ( 4.4 )
  • ANDROID: mnt: Corregir next_descendent ( 4.4 )
  • ANDROID: mnt: el remontaje debería propagarse a esclavos de esclavos ( 4.4 )
  • ANDROID: mnt: Propaga el remontaje correctamente ( 4.4 )
  • Revertir "ANDROID: dm verity: agregar tamaño mínimo de captación previa" ( 4.4 )
  • UPSTREAM: loop: descarte cachés si se cambia el offset o block_size ( 4.4 )

Versiones de kernel 4.9 / 4.14 / 4.19

Para obtener los parches necesarios para las versiones del kernel 4.9 / 4.14 / 4.19, fusione desde la rama android-common .

Opciones de configuración del kernel necesarias

La siguiente lista muestra los requisitos de configuración base para admitir módulos APEX que se introdujeron en Android 10. Los elementos con un asterisco (*) son requisitos existentes de Android 9 y versiones anteriores.

(*) CONFIG_AIO=Y # AIO support (for direct I/O on loop devices)
CONFIG_BLK_DEV_LOOP=Y # for loop device support
CONFIG_BLK_DEV_LOOP_MIN_COUNT=16 # pre-create 16 loop devices
(*) CONFIG_CRYPTO_SHA1=Y # SHA1 hash for DM-verity
(*) CONFIG_CRYPTO_SHA256=Y # SHA256 hash for DM-verity
CONFIG_DM_VERITY=Y # DM-verity support

Requisitos de los parámetros de la línea de comandos del kernel

Para admitir APEX, asegúrese de que los parámetros de la línea de comandos del kernel cumplan con los siguientes requisitos.

  • loop.max_loop NO se debe establecer
  • loop.max_part debe ser <= 8

Construyendo un APEX

Esta sección describe cómo construir un APEX usando el sistema de construcción de Android. El siguiente es un ejemplo de Android.bp para un APEX llamado apex.test .

apex {
    name: "apex.test",
    manifest: "apex_manifest.json",
    file_contexts: "file_contexts",
    // libc.so and libcutils.so are included in the apex
    native_shared_libs: ["libc", "libcutils"],
    binaries: ["vold"],
    java_libs: ["core-all"],
    prebuilts: ["my_prebuilt"],
    compile_multilib: "both",
    key: "apex.test.key",
    certificate: "platform",
}

Ejemplo de apex_manifest.json :

{
  "name": "com.android.example.apex",
  "version": 1
}

Ejemplo de file_contexts :

(/.*)?           u:object_r:system_file:s0
/sub(/.*)?       u:object_r:sub_file:s0
/sub/file3       u:object_r:file3_file:s0

Tipos de archivos y ubicaciones en APEX

Tipo de archivo Ubicación en APEX
Bibliotecas compartidas /lib y /lib64 ( /lib/arm para el brazo traducido en x86)
Ejecutables /bin
Bibliotecas Java /javalib
Preconstruidos /etc

Dependencias transitivas

Los archivos APEX incluyen automáticamente dependencias transitivas de libs o ejecutables compartidos nativos. Por ejemplo, si libFoo depende de libBar , las dos bibliotecas se incluyen, cuando sólo libFoo aparece en la native_shared_libs propiedad.

Manejo de múltiples ABI

Instale la propiedad native_shared_libs para las interfaces binarias de aplicaciones (ABI) primarias y secundarias del dispositivo. Si un APEX apunta a dispositivos con una única ABI (es decir, solo de 32 bits o solo de 64 bits), solo se instalan las bibliotecas con la ABI correspondiente.

Instale la propiedad de binaries solo para la ABI principal del dispositivo como se describe a continuación:

  • Si el dispositivo es solo de 32 bits, solo se instala la variante de 32 bits del binario.
  • Si el dispositivo es solo de 64 bits, solo se instala la variante de 64 bits del binario.

Para agregar un control detallado sobre las ABI de las bibliotecas nativas y los binarios, use las multilib.[first|lib32|lib64|prefer32|both].[native_shared_libs|binaries] .

  • first : coincide con la ABI principal del dispositivo. Este es el valor predeterminado para los binarios.
  • lib32 : coincide con la ABI de 32 bits del dispositivo, si es compatible.
  • lib64 : coincide con la ABI de 64 bits del dispositivo, lib64 .
  • prefer32 : coincide con la ABI de 32 bits del dispositivo, si es compatible. Si no se admite la ABI de 32 bits, coincide con la ABI de 64 bits.
  • both : Coincide con ambos ABI. Este es el valor predeterminado para native_shared_libraries .

Las propiedades de java , libraries y prebuilts son independientes de ABI.

Este ejemplo es para un dispositivo que admite 32/64 y no prefiere 32:

apex {
    // other properties are omitted
    native_shared_libs: ["libFoo"], // installed for 32 and 64
    binaries: ["exec1"], // installed for 64, but not for 32
    multilib: {
        first: {
            native_shared_libs: ["libBar"], // installed for 64, but not for 32
            binaries: ["exec2"], // same as binaries without multilib.first
        },
        both: {
            native_shared_libs: ["libBaz"], // same as native_shared_libs without multilib
            binaries: ["exec3"], // installed for 32 and 64
        },
        prefer32: {
            native_shared_libs: ["libX"], // installed for 32, but not for 64
        },
        lib64: {
            native_shared_libs: ["libY"], // installed for 64, but not for 32
        },
    },
}

firma de vbmeta

Firma cada APEX con diferentes claves. Cuando se requiera una nueva clave, cree un par de claves pública-privada y apex_key un módulo apex_key . Utilice la propiedad de la key para firmar el APEX con la clave. La clave pública se incluye automáticamente en el APEX con el nombre avb_pubkey .

# create an rsa key pair
openssl genrsa -out foo.pem 4096

# extract the public key from the key pair
avbtool extract_public_key --key foo.pem --output foo.avbpubkey

# in Android.bp
apex_key {
    name: "apex.test.key",
    public_key: "foo.avbpubkey",
    private_key: "foo.pem",
}

En el ejemplo anterior, el nombre de la clave pública ( foo ) se convierte en el ID de la clave. El ID de la clave utilizada para firmar un APEX se escribe en el APEX. En tiempo de ejecución, apexd verifica el APEX utilizando una clave pública con el mismo ID en el dispositivo.

Firma postal

Firme APEX de la misma forma que los APK. Firme APEX dos veces, una para el mini sistema de archivos (archivo apex_payload.img ) y una vez para todo el archivo.

Para firmar un APEX a nivel de archivo, establezca la propiedad del certificate de una de estas tres formas:

  • No establecido: si no se establece ningún valor, el APEX se firma con el certificado ubicado en PRODUCT_DEFAULT_DEV_CERTIFICATE . Si no se establece ninguna build/target/product/security/testkey , la ruta predeterminada es build/target/product/security/testkey .
  • <name> : el APEX está firmado con el certificado <name> en el mismo directorio que PRODUCT_DEFAULT_DEV_CERTIFICATE .
  • :<name> : El APEX está firmado con el certificado definido por el módulo Soong llamado <name> . El módulo de certificado se puede definir de la siguiente manera.
android_app_certificate {
    name: "my_key_name",
    certificate: "dir/cert",
    // this will use dir/cert.x509.pem (the cert) and dir/cert.pk8 (the private key)
}

Instalación de un APEX

Para instalar un APEX, use ADB.

adb install apex_file_name
adb reboot

Usando un APEX

Después de reiniciar, el APEX se monta en el directorio /apex/<apex_name>@<version> . Se pueden montar varias versiones del mismo APEX al mismo tiempo. Entre las rutas de montaje, la que corresponde a la última versión está montada en enlace en /apex/<apex_name> .

Los clientes pueden utilizar la ruta montada en enlace para leer o ejecutar archivos desde APEX.

Los APEX se utilizan normalmente de la siguiente manera:

  1. Un OEM u ODM precarga un APEX en /system/apex cuando se envía el dispositivo.
  2. Se accede a los archivos en APEX a través de la ruta /apex/<apex_name>/ .
  3. Cuando se instala una versión actualizada de APEX en /data/apex , la ruta apunta al nuevo APEX después de reiniciar.

Actualizar un servicio con un APEX

Para actualizar un servicio usando un APEX:

  1. Marque el servicio en la partición del sistema como actualizable. Agregue la opción updatable a la definición del servicio.

    /system/etc/init/myservice.rc:
    
    service myservice /system/bin/myservice
        class core
        user system
        ...
        updatable
    
  2. Cree un nuevo archivo .rc para el servicio actualizado. Utilice la opción de override para redefinir el servicio existente.

    /apex/my.apex@1/etc/init.rc:
    
    service myservice /apex/my.apex@1/bin/myservice
        class core
        user system
        ...
        override
    

Las definiciones de servicio solo se pueden definir en el archivo .rc de un APEX. Los activadores de acción no son compatibles con APEX.

Si un servicio marcado como actualizable comienza antes de que se activen los APEX, el inicio se retrasa hasta que se completa la activación de los APEX.

Configuración del sistema para admitir actualizaciones APEX

Establezca la siguiente propiedad del sistema en true para admitir actualizaciones de archivos APEX.

<device.mk>:

PRODUCT_PROPERTY_OVERRIDES += ro.apex.updatable=true

BoardConfig.mk:
TARGET_FLATTEN_APEX := false

o solo

<device.mk>:

$(call inherit-product, $(SRC_TARGET_DIR)/product/updatable_apex.mk)

APEX aplanado

Para los dispositivos heredados, a veces es imposible o inviable actualizar el kernel antiguo para que sea totalmente compatible con APEX. Por ejemplo, es posible que el kernel se haya construido sin CONFIG_BLK_DEV_LOOP=Y , que es crucial para montar la imagen del sistema de archivos dentro de un APEX.

APEX plano es un APEX especialmente construido que se puede activar en dispositivos con un kernel heredado. Los archivos en un APEX plano se instalan directamente en un directorio bajo la partición incorporada. Por ejemplo, lib/libFoo.so en un APEX my.apex se instala en /system/apex/my.apex/lib/libFoo.so .

La activación de un APEX aplanado no implica el dispositivo de bucle. El directorio completo /system/apex/my.apex está directamente /system/apex/my.apex a /apex/name@ver .

Los APEX aplanados no se pueden actualizar descargando versiones actualizadas de los APEX de la red porque los APEX descargados no se pueden aplanar. Los APEX aplanados solo se pueden actualizar a través de una OTA normal.

APEX aplanado es la configuración predeterminada. Esto significa que todos los APEX están acoplados de forma predeterminada a menos que configure explícitamente su dispositivo para generar APEX no acoplados para admitir actualizaciones de APEX (como se explicó anteriormente).

NO se admite la mezcla de APEX aplanados y no aplanados en un dispositivo. Los APEX en un dispositivo deben estar todos no aplanados o aplanados. Esto es especialmente importante al enviar preconstrucciones APEX previamente firmadas para proyectos como Mainline. Los APEX que no están firmados previamente (es decir, construidos a partir de la fuente) también deben estar no aplanados y firmados con las claves adecuadas. El dispositivo debe heredar de updatable_apex.mk como se explica en Actualización de un servicio con un APEX .

Alternativas consideradas al desarrollar APEX

Aquí hay algunas opciones que consideramos al diseñar el formato de archivo APEX y por qué las incluimos o excluimos.

Sistemas regulares de gestión de paquetes

Las distribuciones de Linux tienen sistemas de administración de paquetes como dpkg y rpm , que son potentes, maduros y robustos. Sin embargo, no se adoptaron para APEX porque no pueden proteger los paquetes después de la instalación. La verificación se realiza solo cuando se están instalando paquetes. Los atacantes pueden romper la integridad de los paquetes instalados sin ser notados. Esta es una regresión para Android en la que todos los componentes del sistema se almacenaron en sistemas de archivos de solo lectura cuya integridad está protegida por dm-verity para cada E / S. Cualquier manipulación de los componentes del sistema debe estar prohibida o ser detectable para que el dispositivo pueda negarse a arrancar si se ve comprometido.

dm-crypt para la integridad

Los archivos en un contenedor APEX provienen de particiones integradas (por ejemplo, la partición /system ) que están protegidas por dm-verity, donde cualquier modificación a los archivos está prohibida incluso después de que se montan las particiones. Para proporcionar el mismo nivel de seguridad a los archivos, todos los archivos en un APEX se almacenan en una imagen del sistema de archivos que se empareja con un árbol hash y un descriptor vbmeta. Sin dm-verity, un APEX en la partición /data es vulnerable a modificaciones no deseadas realizadas después de que se verifique e instale.

De hecho, la partición /data también está protegida por capas de cifrado como dm-crypt. Aunque esto proporciona cierto nivel de protección contra la manipulación, su propósito principal es la privacidad, no la integridad. Cuando un atacante obtiene acceso a la partición /data , no puede haber más protección, y esto nuevamente es una regresión en comparación con cada componente del sistema que se encuentra en la partición /system . El árbol hash dentro de un archivo APEX junto con dm-verity proporciona el mismo nivel de protección de contenido.

Redirigir rutas de /system a /apex

Se puede acceder a los archivos de componentes del sistema empaquetados en un APEX a través de nuevas rutas como /apex/<name>/lib/libfoo.so . Cuando los archivos formaban parte de la partición /system , se /system/lib/libfoo.so acceder a ellos a través de rutas como /system/lib/libfoo.so . Un cliente de un archivo APEX (otros archivos APEX o la plataforma) debe usar las nuevas rutas. Este cambio en las rutas puede requerir actualizaciones del código existente.

Una forma de evitar el cambio de ruta es superponer el contenido del archivo en un archivo APEX sobre la partición /system . Sin embargo, decidimos no superponer archivos sobre la partición /system porque creíamos que esto afectaría negativamente el rendimiento a medida que aumentaba el número de archivos superpuestos (posiblemente incluso apilados uno tras otro).

Otra opción era secuestrar funciones de acceso a archivos como open , stat y readlink , de modo que las rutas que comienzan con /system se redirigen a sus rutas correspondientes en /apex . Descartamos esta opción porque es prácticamente inviable cambiar todas las funciones que aceptan rutas. Por ejemplo, algunas aplicaciones enlazan estáticamente a Bionic, que implementa las funciones. En ese caso, la redirección no ocurrirá para la aplicación.