Versionsinformationen in den AVB-Eigenschaften

Um die Keymaster- Versionsbindung zu unterstützen, wird vom Geräte-Bootloader erwartet, dass er die Betriebssystemversion (OS) und den Sicherheitspatch-Level für jede Partition bereitstellt. Die Betriebssystemversion und das Sicherheitspatch-Level sind zwei separate Schlüssel-Wert-Paare in den AVB-Eigenschaften . z.B,

  • com.android.build.system.os_version -> '12'
  • com.android.build.system.security_patch -> '2022-02-05'
  • com.android.build.vendor.os_version -> '12'
  • com.android.build.vendor.security_patch -> '2022-02-05'
  • com.android.build.boot.os_version -> '12'
  • com.android.build.boot.security_patch -> '2022-02-05'

Der Geräte-Bootloader kann diese AVB-Eigenschaften über avb_property_lookup() von einem vbmeta-Image abrufen. Mehrere vbmeta-Bilder können von avb_slot_verify() geladen werden und werden im Ausgabeparameter AvbSlotVerifyData** out_data gespeichert.

Das Standardformat der Versionsinformationen

Standardmäßig verwendet das Android-Build-System das folgende Format für die Betriebssystemversion bzw. den Sicherheitspatch.

Das Format von com.android.build.${partition}.os_version ist A[.BC], z. B. „12“ oder „12.0.0“:

  • A: Hauptversion
  • B: Nebenversion, der Standardwert ist Null, wenn sie nicht vorhanden ist
  • C: Sub-Minor-Version, der Standardwert ist Null, wenn sie nicht vorhanden ist

Das Format von com.android.build.${partition}.security_patch ist JJJJ-MM-TT.

Standardmäßig generiert das Build-System nur com.android.build.${partition}.security_patch für system , system_ext und product . Vom Gerätehersteller wird erwartet, dass er BOOT_SECURITY_PATCH , VENDOR_SECURITY_PATCH usw. für Nicht-Systempartitionen festlegt. z.B,

  • BOOT_SECURITY_PATCH := 2022-01-05 generiert
    • com.android.build.boot.security_patch -> '2022-01-05'
  • VENDOR_SECURITY_PATCH := 2022-02-05 generiert
    • com.android.build.vendor.security_patch -> '2022-02-05'

Der Gerätehersteller kann *_SECURITY_PATCH auf $(PLATFORM_SECURITY_PATCH) setzen, wenn alle Partitionen immer auf die Version mit demselben Sicherheitspatch-Level aktualisiert werden.

  • BOOT_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)
  • VENDOR_SECURITY_PATCH := $(PLATFORM_SECURITY_PATCH)

Angeben benutzerdefinierter Versionsinformationen

Ab Android 13 kann jeder Geräte-Build einen benutzerdefinierten Wert für die Betriebssystemversion haben, der vom Geräte-Bootloader erkannt werden kann. z.B,

  • SYSTEM_OS_VERSION := 12.0.0 generiert
    • com.android.build.system.os_version -> '12.0.0'
  • BOOT_OS_VERSION := abc generiert
    • com.android.build.boot.os_version -> 'abc'
  • VENDOR_OS_VERSION := 12.0.1 generiert
    • com.android.build.vendor.os_version -> '12.0.1'

Die veralteten Versionsinformationen im Boot-Image-Header

Ab Android 9 schlägt die Keymaster- Versionsbindung vor, os_version aus dem boot.img Header zu entfernen.

Zum Vergleich wird hier auch die veraltete Verwendung des Abrufens der Versionsinformationen aus dem Boot-Image-Header beschrieben. Beachten Sie, dass das Feld os_version im Boot-Header sowohl die Betriebssystemversion als auch den Sicherheitspatch-Level in einer 32-Bit-Ganzzahl ohne Vorzeichen kombiniert. Und dieser Mechanismus geht davon aus, dass alle Bilder gemeinsam aktualisiert werden, was nach der Partitionsmodularisierung in Project Treble obsolet ist.

// Operating system version and security patch level.
// For version "A.B.C" and patch level "Y-M-D":
//   (7 bits for each of A, B, C; 7 bits for (Y-2000), 4 bits for M)
//   A = os_version[31:25]
//   B = os_version[24:18]
//   C = os_version[17:11]
//   Y = 2000 + os_version[10:4]
//   M = os-version[3:0]

uint32_t os_version;