Boot-Flow

Der empfohlene Startablauf für ein Gerät ist wie folgt:

Verifizierter Boot-Flow
Abbildung 1 . Verifizierter Boot-Flow

Flow für A/B-Geräte

Wenn das Gerät A/B verwendet, ist der Boot-Ablauf etwas anders. Der zu startende Steckplatz muss zunächst mithilfe der Startsteuerungs-HAL als SUCCESSFUL markiert werden , bevor die Rollback-Schutz-Metadaten aktualisiert werden.

Wenn ein Plattformupdate fehlschlägt (nicht als SUCCESSFUL markiert ist), greift der A/B-Stack auf den anderen Steckplatz zurück, in dem sich noch die vorherige Android-Version befindet. Wenn jedoch die Rollback-Schutz-Metadaten festgelegt wurden, kann die vorherige Version aufgrund des Rollback-Schutzes nicht booten.

Mitteilung des Status „Verifizierter Start“ an Benutzer

Nachdem Sie den Startstatus eines Geräts ermittelt haben, müssen Sie diesen Status dem Benutzer mitteilen. Wenn auf dem Gerät keine Probleme auftreten, fahren Sie fort, ohne dass etwas angezeigt wird. Verifizierte Startprobleme fallen in diese Kategorien:

  • GELB: Warnbildschirm für GESPERRT-Geräte mit benutzerdefiniertem Root-of-Trust-Set
  • ORANGE: Warnbildschirm für ENTSPERRT-Geräte
  • ROT (eio): Warnbildschirm für dm-verity-Korruption
  • ROT (kein Betriebssystem gefunden): Kein gültiges Betriebssystem gefunden

GESPERRT Geräte mit benutzerdefiniertem Vertrauensstamm

Beispiel für einen GELBEN Bildschirm:

Gelber Gerätewarnbildschirm

Zeigt bei jedem Start einen GELBEN Bildschirm an, wenn das Gerät GESPERRT ist, ein benutzerdefinierter Vertrauensstamm festgelegt wurde und das Image mit diesem benutzerdefinierten Vertrauensstamm signiert wurde. Der GELBE Bildschirm wird nach zehn Sekunden ausgeblendet und das Gerät fährt mit dem Booten fort. Wenn der Benutzer die Einschalttaste drückt, ändert sich der Text „Drücken Sie die Einschalttaste, um zu pausieren“ in „Drücken Sie die Einschalttaste, um fortzufahren“ und der Bildschirm wird nie ausgeblendet, obwohl das Gerät den Bildschirm möglicherweise dimmt oder ausschaltet, um ihn vor dem Einbrennen zu schützen. Bei erneutem Drücken wird der Bildschirm geschlossen und das Telefon fährt mit dem Booten fort.

Verwenden Sie für die hex-number die ersten 8 Ziffern von sha256 der libavb-Darstellung des öffentlichen Schlüssels, der zur Verifizierung verwendet wird, zum Beispiel d14a028c .

Vorgeschlagener Text:

Ihr Gerät hat ein anderes Betriebssystem geladen.

Besuchen Sie diesen Link auf einem anderen Gerät, um mehr zu erfahren:

g.co/ABH

ID: hex-number

Drücken Sie zum Anhalten die Ein-/Aus-Taste

ENTSPERRTE Geräte

Beispiel ORANGER Bildschirm:

Orangefarbener Gerätewarnbildschirm

Zeigt bei jedem Start einen ORANGEN Bildschirm an, wenn das Gerät ENTRIEGELT ist. Der ORANGE-Bildschirm wird nach zehn Sekunden ausgeblendet und das Gerät fährt mit dem Booten fort. Wenn der Benutzer die Einschalttaste drückt, ändert sich der Text „Drücken Sie die Einschalttaste, um zu pausieren“ zu „Drücken Sie die Einschalttaste, um fortzufahren“ und der Bildschirm wird nie ausgeblendet (das Gerät kann den Bildschirm bei Bedarf dimmen und/oder ausschalten, um ihn vor Verbrennungen zu schützen). in o.ä.). Bei erneutem Drücken wird der Bildschirm geschlossen und das Telefon fährt mit dem Booten fort.

Verwenden Sie für die hex-number die ersten 8 Ziffern von sha256 der libavb-Darstellung des öffentlichen Schlüssels, der zur Verifizierung verwendet wird, zum Beispiel d14a028c .

Vorgeschlagener Text:

Der Bootloader ist entsperrt und die Softwareintegrität kann nicht garantiert werden. Alle auf dem Gerät gespeicherten Daten können für Angreifer verfügbar sein. Speichern Sie keine sensiblen Daten auf dem Gerät.

Besuchen Sie diesen Link auf einem anderen Gerät, um mehr zu erfahren:

g.co/ABH

ID: hex-number

Drücken Sie zum Anhalten die Ein-/Aus-Taste.

dm-verity-Korruption

Beispiel RED eio-Bildschirm:

Roter Warnbildschirm für das EIO-Gerät

Zeigt einen ROTEN eio Bildschirm an, wenn eine gültige Android-Version gefunden wird und sich das Gerät derzeit im eio dm-verity-Modus befindet. Der Benutzer muss auf den Netzschalter klicken, um fortzufahren. Wenn der Benutzer den Warnbildschirm nicht innerhalb von 30 Sekunden bestätigt, schaltet sich das Gerät aus (um den Bildschirm vor Einbrennen zu schützen und Strom zu sparen).

Vorgeschlagener Text:

Ihr Gerät ist beschädigt. Es ist nicht vertrauenswürdig und funktioniert möglicherweise nicht richtig.

Besuchen Sie diesen Link auf einem anderen Gerät, um mehr zu erfahren:

g.co/ABH

Drücken Sie die Ein/Aus-Taste, um fortzufahren.

Kein gültiges Betriebssystem gefunden

Beispiel ROTER Bildschirm:

Roter Warnbildschirm für beschädigtes Gerät

Wenn keine gültige Android-Version gefunden werden kann, wird ein ROTER Bildschirm angezeigt. Das Gerät kann nicht weiter booten. Wenn der Benutzer den Warnbildschirm nicht innerhalb von 30 Sekunden bestätigt, schaltet sich das Gerät aus, um den Bildschirm vor dem Einbrennen zu schützen und Strom zu sparen.

Verwenden Sie für die hex-number die ersten 8 Ziffern von sha256 der libavb-Darstellung des öffentlichen Schlüssels, der zur Verifizierung verwendet wird, zum Beispiel d14a028c .

Vorgeschlagener Text:

Es konnte kein gültiges Betriebssystem gefunden werden. Das Gerät bootet nicht.

Besuchen Sie diesen Link auf einem anderen Gerät, um mehr zu erfahren:

g.co/ABH

ID: hex-number

Drücken Sie zum Ausschalten den Netzschalter.

Bestätigung zum Entsperren

Beispielbildschirm:

Warnbildschirm zum ENTSPERREN des Geräts

Zeigt als Reaktion auf den fastboot flashing unlock Befehl, der über die Fastboot-Schnittstelle ausgeführt wird, einen Bestätigungsbildschirm zum Entsperren an. Der Fokus liegt zunächst auf „Nicht entsperren“ . Wenn der Benutzer nicht innerhalb von 30 Sekunden mit dem Warnbildschirm interagiert, verschwindet der Bildschirm und der Befehl schlägt fehl.

Vorgeschlagener Text:

Wenn Sie den Bootloader entsperren, können Sie benutzerdefinierte Betriebssystemsoftware auf diesem Telefon installieren. Ein benutzerdefiniertes Betriebssystem unterliegt nicht denselben Tests wie das ursprüngliche Betriebssystem und kann dazu führen, dass Ihr Telefon und die installierten Anwendungen nicht mehr ordnungsgemäß funktionieren. Die Softwareintegrität kann bei einem benutzerdefinierten Betriebssystem nicht garantiert werden, sodass alle auf dem Telefon gespeicherten Daten gefährdet sein können, während der Bootloader entsperrt ist.

Um unbefugten Zugriff auf Ihre persönlichen Daten zu verhindern, werden durch das Entsperren des Bootloaders auch alle persönlichen Daten auf Ihrem Telefon gelöscht.

Drücken Sie die Lauter-/Leiser-Taste, um auszuwählen, ob der Bootloader entsperrt werden soll, und drücken Sie dann die Ein-/Aus-Taste, um fortzufahren.

Freischalten

Bootloader entsperren.

Nicht entsperren

Entsperren Sie den Bootloader nicht und starten Sie das Telefon nicht neu.

Sperrbestätigung

Zeigt einen Sperrbestätigungsbildschirm als Reaktion auf die Ausführung des fastboot flashing lock Befehls über die Fastboot-Schnittstelle an. Der Fokus liegt zunächst auf „Nicht sperren“ . Wenn der Benutzer nicht innerhalb von 30 Sekunden mit dem Warnbildschirm interagiert, verschwindet der Bildschirm und der Befehl schlägt fehl.

Text:

Wenn Sie den Bootloader sperren, können Sie keine benutzerdefinierte Betriebssystemsoftware auf diesem Telefon installieren. Um unbefugten Zugriff auf Ihre persönlichen Daten zu verhindern, werden durch das Sperren des Bootloaders auch alle persönlichen Daten auf Ihrem Telefon gelöscht.

Drücken Sie die Lauter-/Leiser-Taste, um auszuwählen, ob der Bootloader gesperrt werden soll, und drücken Sie dann die Ein-/Aus-Taste, um fortzufahren.

Sperren

Bootloader sperren.

Nicht abschließen

Sperren Sie den Bootloader nicht und starten Sie das Telefon neu.

Übermitteln des verifizierten Startstatus an Android

Beispielbildschirm:

Warnbildschirm zur Bestätigung des SPERREN-Geräts

Der Bootloader teilt Android den Status „Verified Boot“ über Kernel-Befehlsparameter oder über bootconfig ab Android 12 mit. Er setzt die Option androidboot.verifiedbootstate auf einen der folgenden Werte:

  • green : wenn das Gerät LOCKED ist und der vom Benutzer einstellbare Root of Trust nicht verwendet wird
  • yellow : wenn das Gerät LOCKED ist und ein vom Benutzer einstellbarer Root of Trust verwendet wird
  • orange : wenn das Gerät UNLOCKED ist

Die Option androidboot.veritymode wird auf eio oder restart gesetzt, je nachdem, in welchem ​​Status sich der Bootloader in Bezug auf die Behandlung von dm-verity-Fehlern befindet. Weitere Einzelheiten finden Sie unter Umgang mit Überprüfungsfehlern .