Rk3568 Andorid 11 新增adb检测，只有使用客户私钥的设备才能链接adb

Rk3568 Andorid 11 新增adb检测，只有使用客户私钥的设备才能链接adb

问题描述

在进行Rk3568 Android 11 的定制中 遇到一个安全类的问题，客户需要管理用户使用adb，只有使用指定公私钥的设备才能链接adb，防止设备被私自修改文件或滥用。

最终修改的文件是在

device/rockchip/common/device.mk
frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java

新增文件

//为客户提供的公钥
device/rockchip/common/adbkey.pub

解决思路

首先让客户将其电脑下的公私钥提供给我们，然后再mk文件中将ro.adb.secure=1 把adb校验机制打开，然后将客户提供的adbkey.pub复制到根目录下名字改为adb_keys，但是这样会有一个问题，打开校验之后会有一个弹窗，如果点击了是的话 会将电脑的adbkey保存到设备中，会更新我们复制进去的key，导致每个电脑只要点击了确定之后都会可以连接，所以我们要将这个弹窗给去掉，并且默认不给予同意。

修改方案如下

diff --git a/device/rockchip/common/device.mk b/device/rockchip/common/device.mk
index b89552c4d2..7930b7add2 100644
--- a/device/rockchip/common/device.mk
+++ b/device/rockchip/common/device.mk
@@ -764,7 +764,7 @@ PRODUCT_TAGS += dalvik.gc.type-precise
 ifeq ($(strip $(BUILD_WITH_UMS)),true)
 PRODUCT_PROPERTY_OVERRIDES +=               \
     ro.factory.hasUMS=true                  \
-    persist.sys.usb.config=mass_storage,adb
+    persist.sys.usb.config=hid
 
 PRODUCT_COPY_FILES += \
     $(LOCAL_PATH)/init.rockchip.hasUMS.true.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/hw/init.$(TARGET_BOARD_HARDWARE).environment.rc
@@ -773,7 +773,7 @@ ifeq ($(strip $(BUILD_WITH_CDROM)),true)
 PRODUCT_PROPERTY_OVERRIDES +=                 \
     ro.factory.hasUMS=cdrom                   \
     ro.factory.cdrom=$(BUILD_WITH_CDROM_PATH) \
-    persist.sys.usb.config=hid,mass_storage,adb 
+    persist.sys.usb.config=hid 
 
 PRODUCT_COPY_FILES += \
     $(LOCAL_PATH)/init.rockchip.hasCDROM.true.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/hw/init.$(TARGET_BOARD_HARDWARE).environment.rc
@@ -1483,9 +1483,10 @@ PRODUCT_PROPERTY_OVERRIDES += sys.mouse.presentation=1
 
-
+PRODUCT_PROPERTY_OVERRIDES += ro.adb.secure=1
 PRODUCT_COPY_FILES += \
-     $(LOCAL_PATH)/display_settings.xml:$(TARGET_COPY_OUT_VENDOR)/etc/display_settings.xml
+     $(LOCAL_PATH)/display_settings.xml:$(TARGET_COPY_OUT_VENDOR)/etc/display_settings.xml \
//将客户提供的公钥copy到设备根目录
+      $(LOCAL_PATH)/adbkey.pub:root/adb_keys
 
 # build libmpimmz for rknn
 PRODUCT_PACKAGES += \
diff --git a/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java b/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
index b1241b160d..30ae85f32c 100644
--- a/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
+++ b/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
@@ -78,7 +78,7 @@ public class UsbDebuggingActivity extends AlertActivity
         String fingerprints = intent.getStringExtra("fingerprints");
         mKey = intent.getStringExtra("key");
 
-        if (fingerprints == null || mKey == null) {
//将弹窗默认直接关闭
+        if (fingerprints == null || mKey == null || true) {
             finish();
             return;
         }

最终效果

修改完之后，使用adb shell 连接设备会有以下报错，将不能连接

将客户提供的公私钥内置到我的电脑上之后的效果，公私钥保存在一般是保存在C:\Users\用户名.android下，我们将其替换之后

将客户的key替换到上述目录之后的效果

总结

在这个问题的处理阶段中，我是先去了解adb验证机制，然后在原生的验证机制内修改部分，然后达到自己想要的效果。

每日赠言

马上就要过年了，祝大家蛇年大吉，新的一年工作顺利，身体健康。