Rk3568 Andorid 11 新增adb检测,只有使用客户私钥的设备才能链接adb
问题描述
在进行Rk3568 Android 11 的定制中 遇到一个安全类的问题,客户需要管理用户使用adb,只有使用指定公私钥的设备才能链接adb,防止设备被私自修改文件或滥用。
最终修改的文件是在
java
device/rockchip/common/device.mk
frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java新增文件
java
//为客户提供的公钥
device/rockchip/common/adbkey.pub解决思路
首先让客户将其电脑下的公私钥提供给我们,然后再mk文件中将ro.adb.secure=1 把adb校验机制打开,然后将客户提供的adbkey.pub复制到根目录下名字改为adb_keys,但是这样会有一个问题,打开校验之后会有一个弹窗,如果点击了是的话 会将电脑的adbkey保存到设备中,会更新我们复制进去的key,导致每个电脑只要点击了确定之后都会可以连接,所以我们要将这个弹窗给去掉,并且默认不给予同意。
修改方案如下
java
diff --git a/device/rockchip/common/device.mk b/device/rockchip/common/device.mk
index b89552c4d2..7930b7add2 100644
--- a/device/rockchip/common/device.mk
+++ b/device/rockchip/common/device.mk
@@ -764,7 +764,7 @@ PRODUCT_TAGS += dalvik.gc.type-precise
ifeq ($(strip $(BUILD_WITH_UMS)),true)
PRODUCT_PROPERTY_OVERRIDES += \
ro.factory.hasUMS=true \
- persist.sys.usb.config=mass_storage,adb
+ persist.sys.usb.config=hid
PRODUCT_COPY_FILES += \
$(LOCAL_PATH)/init.rockchip.hasUMS.true.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/hw/init.$(TARGET_BOARD_HARDWARE).environment.rc
@@ -773,7 +773,7 @@ ifeq ($(strip $(BUILD_WITH_CDROM)),true)
PRODUCT_PROPERTY_OVERRIDES += \
ro.factory.hasUMS=cdrom \
ro.factory.cdrom=$(BUILD_WITH_CDROM_PATH) \
- persist.sys.usb.config=hid,mass_storage,adb
+ persist.sys.usb.config=hid
PRODUCT_COPY_FILES += \
$(LOCAL_PATH)/init.rockchip.hasCDROM.true.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/hw/init.$(TARGET_BOARD_HARDWARE).environment.rc
@@ -1483,9 +1483,10 @@ PRODUCT_PROPERTY_OVERRIDES += sys.mouse.presentation=1
-
+PRODUCT_PROPERTY_OVERRIDES += ro.adb.secure=1
PRODUCT_COPY_FILES += \
- $(LOCAL_PATH)/display_settings.xml:$(TARGET_COPY_OUT_VENDOR)/etc/display_settings.xml
+ $(LOCAL_PATH)/display_settings.xml:$(TARGET_COPY_OUT_VENDOR)/etc/display_settings.xml \
//将客户提供的公钥copy到设备根目录
+ $(LOCAL_PATH)/adbkey.pub:root/adb_keys
# build libmpimmz for rknn
PRODUCT_PACKAGES += \
diff --git a/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java b/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
index b1241b160d..30ae85f32c 100644
--- a/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
+++ b/frameworks/base/packages/SystemUI/src/com/android/systemui/usb/UsbDebuggingActivity.java
@@ -78,7 +78,7 @@ public class UsbDebuggingActivity extends AlertActivity
String fingerprints = intent.getStringExtra("fingerprints");
mKey = intent.getStringExtra("key");
- if (fingerprints == null || mKey == null) {
//将弹窗默认直接关闭
+ if (fingerprints == null || mKey == null || true) {
finish();
return;
}最终效果
修改完之后,使用adb shell 连接设备会有以下报错,将不能连接
将客户提供的公私钥内置到我的电脑上之后的效果,公私钥保存在一般是保存在C:\Users\用户名.android下,我们将其替换之后
将客户的key替换到上述目录之后的效果
总结
在这个问题的处理阶段中,我是先去了解adb验证机制,然后在原生的验证机制内修改部分,然后达到自己想要的效果。
每日赠言
马上就要过年了,祝大家蛇年大吉,新的一年工作顺利,身体健康。