इस पेज का अनुवाद Cloud Translation API से किया गया है.

विशेषाधिकार प्राप्त अनुमति सूची

विशेषाधिकार प्राप्त ऐप्स सिस्टम ऐप्स होते हैं जो सिस्टम छवि विभाजनों में से एक पर एक priv-app निर्देशिका में स्थित होते हैं। Android रिलीज़ के लिए उपयोग किए जाने वाले विभाजन हैं

एंड्रॉइड 8.1 और निचला - /system
एंड्रॉइड 9 और उच्चतर - /system, /product, /vendor

इस पूरे पृष्ठ में, /etc/permissions/priv-app partition /etc/permissions/priv-app ।

ऐतिहासिक रूप से, डिवाइस निर्माताओं का इस बात पर बहुत कम नियंत्रण था कि विशेषाधिकार प्राप्त ऐप्स को कौन से हस्ताक्षर | विशेषाधिकार प्राप्त अनुमतियां दी जा सकती हैं। एंड्रॉइड 8.0 में शुरू, निर्माताओं को स्पष्ट रूप से सिस्टम कॉन्फ़िगरेशन एक्सएमएल फाइलों में /etc/permissions निर्देशिका में विशेषाधिकार प्राप्त अनुमतियां प्रदान करनी चाहिए। एंड्रॉइड 9 के अनुसार, कार्यान्वयनकर्ताओं को सभी विशेषाधिकार प्राप्त अनुमतियों को स्पष्ट रूप से देना या अस्वीकार करना होगा या डिवाइस बूट नहीं होगा।

privapp-permissions.xml फ़ाइल केवल उसी पार्टीशन पर विशेषाधिकार प्राप्त ऐप्स के लिए अनुमतियां दे या अस्वीकार कर सकती है। उदाहरण के लिए, यदि /product विभाजन पर कोई ऐप विशेषाधिकार प्राप्त अनुमतियों का अनुरोध करता है, तो अनुरोध केवल एक privapp-permissions.xml फ़ाइल द्वारा दिया या अस्वीकार किया जा सकता है जो /product पर भी है।

नोट: केवल कोर प्लेटफॉर्म ("एंड्रॉइड" पैकेज) द्वारा परिभाषित अनुमतियों को ही सूचीबद्ध किया जाना चाहिए। डिवाइस निर्माताओं द्वारा परिभाषित विशेषाधिकार प्राप्त अनुमतियां अभी भी स्वचालित रूप से दी जाएंगी। privapp-permissions.xml फ़ाइल में केवल उन ऐप्स को सूचीबद्ध करें जो वास्तव में पार्टीशन पर मौजूद हैं। यदि कोई एप्लिकेशन पार्टीशन पर नहीं है, तो प्रविष्टि को अनदेखा कर दिया जाता है।

नोट: /vendor विभाजन पर विशेषाधिकार प्राप्त ऐप्स केवल विशेषाधिकार प्राप्त अनुमतियां प्राप्त कर सकते हैं जिनका सुरक्षा स्तर विक्रेता vendorPrivileged पर सेट है।

अनुमति सूची जोड़ना

ऐप्स के लिए अनुमति अनुमत सूचियों को एक एकल XML में या frameworks/base/etc/permissions निर्देशिका में स्थित एकाधिक XML फ़ाइलों में सूचीबद्ध किया जा सकता है:

/etc/permissions/privapp-permissions- OEM_NAME .xml
/etc/permissions/privapp-permissions- DEVICE_NAME .xml

सामग्री को व्यवस्थित करने के लिए कोई सख्त नियम नहीं है। डिवाइस कार्यान्वयनकर्ता सामग्री संरचना का निर्धारण तब तक कर सकते हैं जब तक कि /system/priv-app के सभी ऐप्स सूचीबद्ध हैं। उदाहरण के लिए, Google के पास Google द्वारा विकसित सभी विशेषाधिकार प्राप्त ऐप्स के लिए एकल अनुमति सूची है, और निम्नलिखित संगठन की अनुशंसा करता है:

Android ओपन सोर्स प्रोजेक्ट (AOSP) ट्री में पहले से शामिल ऐप्स के लिए अनुमतियाँ /etc/permissions/privapp-permissions-platform.xml में सूचीबद्ध हैं।
Google ऐप्स के लिए अनुमतियां /etc/permissions/privapp-permissions-google.xml में सूचीबद्ध हैं।
अन्य ऐप्स के लिए, फ़ॉर्म की फ़ाइलों का उपयोग करें: /etc/permissions/privapp-permissions- DEVICE_NAME .xml ।

अनुमत सूचियों को अनुकूलित करना

एओएसपी में एक अनुमति सूची कार्यान्वयन शामिल है जिसे आवश्यकतानुसार अनुकूलित किया जा सकता है। AOSP में शामिल ऐप्स के लिए अनुमतियाँ पहले से ही /etc/permissions/privapp-permissions-platform.xml में सूचीबद्ध हैं।

अगर ऐसी अनुमतियां हैं जिन्हें अस्वीकार किया जाना चाहिए, तो "अनुमति" टैग के बजाय "अस्वीकार-अनुमति" टैग का उपयोग करने के लिए एक्सएमएल संपादित करें। उदाहरण:

<!-- This XML file declares which signature|privileged permissions to grant to
privileged apps that come with the platform -->

    <permissions>
    <privapp-permissions package="com.android.backupconfirm">
    <permission name="android.permission.BACKUP"/>
    <permission name="android.permission.CRYPT_KEEPER"/>
    </privapp-permissions>

    <privapp-permissions package="com.android.cellbroadcastreceiver">

    <!-- Don't allow the application to interact across users -->

    <deny-permission name="android.permission.INTERACT_ACROSS_USERS"/>
    <permission name="android.permission.MANAGE_USERS"/>
    <permission name="android.permission.MODIFY_PHONE_STATE"/>
    <permission name="android.permission.READ_PRIVILEGED_PHONE_STATE"/>
    <permission name="android.permission.RECEIVE_EMERGENCY_BROADCAST"/>
    </privapp-permissions>
    ...

अनुपलब्ध अनुमतियाँ ढूँढना

नया उपकरण लाते समय गुम अनुमतियों को खोजने के लिए, संक्रमणकालीन लॉग मोड सक्षम करें:

ro.control_privapp_permissions=log

लॉग फ़ाइल में उल्लंघनों की सूचना दी जाती है, लेकिन गैर-विशेषाधिकार प्राप्त अनुमतियाँ अभी भी दी जाती हैं। यह उल्लंघनों की सूची प्रदान करते हुए डिवाइस को कार्यशील स्थिति में रखता है। यह त्रुटि संदेश प्रारूप है:

PackageManager: Privileged permission {PERMISSION_NAME} for package {PACKAGE_NAME} - not in privapp-permissions allowlist

सभी उल्लंघनों को उपयुक्त अनुमत सूचियों में अनुपलब्ध अनुमतियों को जोड़कर संबोधित किया जाना चाहिए।

Android 8.0 और उसके बाद के संस्करण पर, प्रभावित ऐप्स को अनुपलब्ध अनुमतियां नहीं दी जाती हैं, भले ही वे priv-app पथ में हों।
Android 9 और उच्चतर पर, उल्लंघन ( विशेषाधिकार प्राप्त अनुमतियों के) का अर्थ है कि डिवाइस बूट नहीं होता है । आपको सभी विशेषाधिकार प्राप्त अनुमतियों को स्पष्ट रूप से या तो अनुमति देनी चाहिए या अस्वीकार करनी चाहिए

अनुमत सूचियों को लागू करना

अनुमत सूचियां होने के बाद, बिल्ड प्रॉपर्टी ro.control_privapp_permissions=enforce सेट करके रनटाइम प्रवर्तन सक्षम करें।

नोट: केवल पैकेज = "एंड्रॉइड" वाले एप्लिकेशन द्वारा घोषित अनुमतियों के लिए अनुमति सूची की आवश्यकता है। ro.control_privapp_permissions संपत्ति राज्य को सीडीडी खंड 9.1 आवश्यकताओं का पालन करना चाहिए।