Merge "DO NOT MERGE Do not call RecoverySystem with DPMS lock held" into lmp-mr1-dev am: 3ced78bdda
am: aec526f710  -s ours

Change-Id: I383f706dfc0690352c3b4d6358ed1269c15ed8b8

DO NOT MERGE Do not call RecoverySystem with DPMS lock held am: 835c8b3d69
am: c22e6d15d1  -s ours

Change-Id: I80fa5e3991464bf99111c00b1074a4e5c7ef9130

Merge "DO NOT MERGE Do not call RecoverySystem with DPMS lock held" into lmp-mr1-dev
am: 3ced78bdda

Change-Id: I4da6e2894de769fb028ad713290b62e38925294a

DO NOT MERGE Do not call RecoverySystem with DPMS lock held
am: 835c8b3d69

Change-Id: I080d11d3d7d6434b832f8ecb1ee93c17a6d7cb4a

Fixed the logic for tethering provisioning re-evaluation am: 91a0bc9564
am: 40d0753b10

Change-Id: I1f8a897862c69a475c6d12a824bd69ed8692cd99

Merge "DO NOT MERGE Do not call RecoverySystem with DPMS lock held" into lmp-mr1-dev

Fixed the logic for tethering provisioning re-evaluation
am: 91a0bc9564

Change-Id: I4c499b756c019d83a61e61da3065f31a4d8672f2

DO NOT MERGE Do not call RecoverySystem with DPMS lock held

Note DPM.wipeData() on a secondary user is now blocking, just like
it's been always blocking on the primary user.

Bug 30681079

Change-Id: Ia832bed0f22396998d6307ab46e262dae9463838

DO NOT MERGE Do not call RecoverySystem with DPMS lock held

Note DPM.wipeData() on a secondary user is now blocking, just like
it's been always blocking on the primary user.

Bug 30681079

Change-Id: Ia832bed0f22396998d6307ab46e262dae9463838

Fixed the logic for tethering provisioning re-evaluation

Previously we only re-evaluate provisioning for SIM swap case
The new logic covers both SIM swap case
(ABSENT->NOT_READY->UNKNOWN->READY->LOADED) and modem reset
case (NOT_READY->READY->LOADED)

Test: Manual
bug: 33815946

Change-Id: I9960123605b10d3fa5f3584c6c8b70b616acd6f8

Merge "Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable." into lmp-mr1-dev am: 63a27d773b
am: 1422a6074d

Change-Id: I2f3bf02f57c5f00964e645321467977b4ef498a7

Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable. am: 71d2a41dd9
am: d0339c6e8f

Change-Id: I0dbec3edf704821eb4605a48b770461eb99ddae7

Merge "Prevent writing to FRP partition during factory reset." into lmp-mr1-dev am: 4bd97eb888
am: a8484b4f92

Change-Id: Id5a9576ab6e37e3744a59d904909d11f668d0e06

Prevent writing to FRP partition during factory reset. am: a9437bd1ca
am: 2ce5c4320d

Change-Id: I29339a634fd22cd46bfc08619464da8fe159a2b7

Merge "Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable." into lmp-mr1-dev
am: 63a27d773b

Change-Id: I01d332678c1c3fe57ed36062a9ed01b5f368a55d

Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable.
am: 71d2a41dd9

Change-Id: Iab575b1efdd720c9cf9e32e0b056c99eff98deab

Merge "Prevent writing to FRP partition during factory reset." into lmp-mr1-dev
am: 4bd97eb888

Change-Id: I607f7ca9e160c4eed69a5baeff6b31d6db7c6b03

Prevent writing to FRP partition during factory reset.
am: a9437bd1ca

Change-Id: Ib0b8db2357317dc3e680910c08f15f098baf2af9

Merge "Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable." into lmp-mr1-dev

Merge "Prevent writing to FRP partition during factory reset." into lmp-mr1-dev

Fix exploit where can hide the fact that a location was mocked am: a206a0f17e am: d417e54872 am: 3380a77516 am: 0a8978f04b am: 1684e5f344
am: d28eef0cc2

Change-Id: If937d91cee2bb06406cf3cd1ae6ac3402a51e88d

Fix exploit where can hide the fact that a location was mocked am: a206a0f17e am: d417e54872 am: 3380a77516 am: 0a8978f04b
am: 1684e5f344

Change-Id: I0ebd2856e2e2f3793273ba952b44dc77e85b021e

Fix exploit where can hide the fact that a location was mocked am: a206a0f17e am: d417e54872 am: 3380a77516
am: 0a8978f04b

Change-Id: I693665a57465ec57f946fad57cda9ce48389408f

Fix exploit where can hide the fact that a location was mocked am: a206a0f17e am: d417e54872
am: 3380a77516

Change-Id: Ice61f337e1fcfd0569431538e475d94f9d205423

Fix exploit where can hide the fact that a location was mocked am: a206a0f17e
am: d417e54872

Change-Id: I2f47020055f962b36f095137d75c9cbfe6b1a6db

Fix exploit where can hide the fact that a location was mocked
am: a206a0f17e

Change-Id: Ib3af056919a4b909d3d11dd3fe2b46eaa7cdf0f4

Fix exploit where can hide the fact that a location was mocked

- Even if call setTestProviderLocation() with inconsistent providers,
should still end up with a location that is flagged as mocked

- Bug: 33091107

Change-Id: I39e038f25b975989c2e8651bfd9ec9e74073e6cd

Add @GuardedBy annotation to PersistentDataBlockService#mIsWritable.

Change-Id: I1024f2a56badde5c123d025d6fe02f42559cbcb1
Test: manual
Bug: 30352311
(cherry picked from commit f6f1d627483b4dad9d65176769a1ee92c59a4810)

Prevent writing to FRP partition during factory reset.

Avoid potential race condition between FRP wipe and write operations
during factory reset by making the FRP partition unwritable after
wipe.

Bug: 30352311
Test: manual
Change-Id: If3f024a1611366c0677a996705724458094fcfad
(cherry picked from commit a629c772f4a7a5ddf7ff9f78fb19f7ab86c2a9c2)

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-dev am: ae7d4b1339  -s ours am: ce477912a2
am: 920b02a94f  -s ours

Change-Id: I3c2b9ba49785b40df3960fac4ffb17204cab063a

DO NOT MERGE. Check provider access for content changes. am: 9b85862620  -s ours am: 9277cce7fa
am: a1d1ecbe05  -s ours

Change-Id: I6d4f8a29537e19545bf94a886aecea8ba05a6de7

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-mr1-dev am: 6b89229d14
am: a7efe16fe1  -s ours

Change-Id: I17b84f1e8d8432292568c0adb2b3d89563a72b50

DO NOT MERGE. Check provider access for content changes. am: 91add43ae7
am: 792d49dfb5  -s ours

Change-Id: I50ab47cb03b65cc8be78c9a139561e4befbb1a95

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-dev am: ae7d4b1339  -s ours
am: ce477912a2

Change-Id: I1f05c5204e6ba49a95a8b21cb457b04fe6738cb0

DO NOT MERGE. Check provider access for content changes. am: 9b85862620  -s ours
am: 9277cce7fa

Change-Id: I5cdc35759ad40566c02db6ee725c199ae255b5b8

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-mr1-dev
am: 6b89229d14

Change-Id: I8f09aaed1be7f86cfb0a2cbe91ae5b4fe881df07

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-dev
am: ae7d4b1339  -s ours

Change-Id: Idc5d7d7d695db9ac7e7007447c89ca0466ea158b

DO NOT MERGE. Check provider access for content changes.
am: 91add43ae7

Change-Id: I158a5dab0643fb5d2c07393f0df030e93b3c006a

DO NOT MERGE. Check provider access for content changes.
am: 9b85862620  -s ours

Change-Id: I2a67bbde8b3e131ba62cedd0b6629912e226ba90

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-mr1-dev

Merge "DO NOT MERGE. Check provider access for content changes." into lmp-dev

Merge "DO NOT MERGE: Check provider access for content changes." into mnc-dev

DO NOT MERGE. Retain DownloadManager Uri grants when clearing. am: f279a5bc0d  -s ours am: 704085119d
am: 8bd3aa70ad  -s ours

Change-Id: I3ef5d68391566fc428906799a6ec6d166b9479a4

DO NOT MERGE. Retain DownloadManager Uri grants when clearing. am: 1de465bec2
am: b9a0b79675  -s ours

Change-Id: I82040d83bc780656b5deaa4fbe664700567e2138

DO NOT MERGE. Retain DownloadManager Uri grants when clearing. am: f279a5bc0d  -s ours
am: 704085119d

Change-Id: Ic687581a9bf5f0906cdb7642e59b81d9b6175aca

DO NOT MERGE. Retain DownloadManager Uri grants when clearing.
am: 1de465bec2

Change-Id: I14f82fa9c555bea0e71553713436a6836a421691

DO NOT MERGE. Retain DownloadManager Uri grants when clearing.
am: f279a5bc0d  -s ours

Change-Id: I7fde8a3cd529bc495aa7e886988d73e22815c0b4

DO NOT MERGE. Retain DownloadManager Uri grants when clearing.

As part of fixing a recent security issue, DownloadManager now needs
to issue Uri permission grants for all downloads.  However, if an app
that requested a download is upgraded or otherwise force-stopped,
the required permission grants are removed.

We could tell DownloadManager about the app being stopped, but that
would be racy (due to background broadcast), and waking it up would
degrade system health.  Instead, as a special case we now only
consider clearing DownloadManager permission grants when app data
is being cleared.

Bug: 32172542, 30537115
Test: builds, boots, app upgrade doesn't clear grants
Change-Id: I7e3d4546fd12bfe5f81b9fb9857ece58d574a6b9
(cherry picked from commit 23ec811266fb728cf159a90ce4882b3c9bac1887)

DO NOT MERGE. Retain DownloadManager Uri grants when clearing.

As part of fixing a recent security issue, DownloadManager now needs
to issue Uri permission grants for all downloads.  However, if an app
that requested a download is upgraded or otherwise force-stopped,
the required permission grants are removed.

We could tell DownloadManager about the app being stopped, but that
would be racy (due to background broadcast), and waking it up would
degrade system health.  Instead, as a special case we now only
consider clearing DownloadManager permission grants when app data
is being cleared.

Bug: 32172542, 30537115
Test: builds, boots, app upgrade doesn't clear grants
Change-Id: I7e3d4546fd12bfe5f81b9fb9857ece58d574a6b9
(cherry picked from commit 23ec811266fb728cf159a90ce4882b3c9bac1887)

DO NOT MERGE. Retain DownloadManager Uri grants when clearing.

As part of fixing a recent security issue, DownloadManager now needs
to issue Uri permission grants for all downloads.  However, if an app
that requested a download is upgraded or otherwise force-stopped,
the required permission grants are removed.

We could tell DownloadManager about the app being stopped, but that
would be racy (due to background broadcast), and waking it up would
degrade system health.  Instead, as a special case we now only
consider clearing DownloadManager permission grants when app data
is being cleared.

Bug: 32172542, 30537115
Test: builds, boots, app upgrade doesn't clear grants
Change-Id: I7e3d4546fd12bfe5f81b9fb9857ece58d574a6b9
(cherry picked from commit 23ec811266fb728cf159a90ce4882b3c9bac1887)

DO NOT MERGE. Check provider access for content changes.

For an app to either send or receive content change notifications,
require that they have some level of access to the underlying
provider.

Without these checks, a malicious app could sniff sensitive user data
from the notifications of otherwise private providers.

Test: builds, boots, PoC app now fails
Bug: 32555637
Change-Id: If2dcd45cb0a9f1fb3b93e39fc7b8ae9c34c2fdef

DO NOT MERGE. Check provider access for content changes.

For an app to either send or receive content change notifications,
require that they have some level of access to the underlying
provider.

Without these checks, a malicious app could sniff sensitive user data
from the notifications of otherwise private providers.

Test: builds, boots, PoC app now fails
Bug: 32555637
Change-Id: If2dcd45cb0a9f1fb3b93e39fc7b8ae9c34c2fdef

DO NOT MERGE: Check provider access for content changes.

For an app to either send or receive content change notifications,
require that they have some level of access to the underlying
provider.

Without these checks, a malicious app could sniff sensitive user data
from the notifications of otherwise private providers.

Test: builds, boots, PoC app now fails
Bug: 32555637
Change-Id: If2dcd45cb0a9f1fb3b93e39fc7b8ae9c34c2fdef

Zygote : Block SIGCHLD during fork. am: b1f1209d9a am: 35b8453338
am: 14bd75fa79

Change-Id: I9b2acc6d40cc0f4724598f97b704c040bba15417

Zygote : Block SIGCHLD during fork. am: b1f1209d9a
am: 35b8453338

Change-Id: I7c73b1a37d79f31ad8fff6d0b83426debbfd88f9

Zygote : Block SIGCHLD during fork.
am: b1f1209d9a

Change-Id: I3658f583c82dd6243089aaa74ad731a5bfa85b01

Zygote : Block SIGCHLD during fork.

We close the android logging related sockets prior as late as possible
before every fork to avoid having to whitelist them. If one of the
zygote's children dies after this point (but prior to the fork), we can
end up reopening the logging sockets from the SIGCHLD signal handler.

To prevent this from happening, block SIGCHLD during this critical
section.

Bug: 32693692
Test: Manual

(cherry picked from commit e9a525829a354c92983a35455ccab16d1b0d3892)

Zygote: Unblock SIGCHLD in the parent after fork.

Follow up to change e9a525829a354c92983a. Allows the zygote to
receive SIGCHLD again and prevents the zygote from getting into a
zombie state if it's killed.

Contributed-By: rhed_jao <rhed_jao@htc.com>
Bug: 32693692
Test: manual

(cherry picked from commit 1480dc3e97b661f5bfa3a5c2fbce72385b8d2be6)

Change-Id: If89903a29c84dfc9b056f9e19618046874bba689

Merge "Zygote: Additional whitelisting for legacy devices." into lmp-dev am: 7bd25ab485 am: a045aed7a2
am: 846f64c6fc

Change-Id: Id2d5000722d160df14dd33aa937a36388b971b76

Zygote: Additional whitelisting for legacy devices. am: 7d302e018d am: f369b3ce75
am: e82866df3f

Change-Id: Icb4fcfc35784e5fbe913f8efb810879fd3011154

Merge "Zygote: Additional whitelists for runtime overlay / other static resources." into lmp-dev am: d60156dfc6 am: fd23b9d509
am: b0a7831375

Change-Id: Ifb6032bd3c392ad90236b2ecaa18fa53894c4620

Zygote: Additional whitelists for runtime overlay / other static resources. am: 0ad0e859f6 am: 1e6a5d11a6
am: f0cd32619e  -s ours

Change-Id: I1b1a0428d1cc49ee4096f5459a5aa1a1f62ed700

Fix idmap leak in zygote process am: 0244ca8d10 am: 82537abc3b
am: 85afb42c16

Change-Id: Ibb5ac24b2149637bf19b9a16153b1fcde5dbb45f

Merge "Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into lollipop-mr1-dev" into lmp-mr1-dev." into lmp-mr1-dev am: 78f15948fb
am: 34de2a2d45  -s ours

Change-Id: Ifbc0ae4b514592e5e731b555bd4d393e46ad136d

Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into lollipop-mr1-dev" into lmp-mr1-dev. am: 7e0483fcec  -s ours
am: 16090c6177  -s ours

Change-Id: I25ba4f5731ecaed22faa95e3948e389405dca7e7

Merge "Zygote: Additional whitelisting for legacy devices." into lmp-dev am: 7bd25ab485
am: a045aed7a2

Change-Id: Iec015c0607286511a0d82db7fd6c82f6e17379aa

Zygote: Additional whitelisting for legacy devices. am: 7d302e018d
am: f369b3ce75

Change-Id: Id0794434479585b2cf4b4996256a3cb9374fd9a7

Merge "Zygote: Additional whitelists for runtime overlay / other static resources." into lmp-dev am: d60156dfc6
am: fd23b9d509

Change-Id: I86ad3b0fe5c3da67014540c1aa35c4326ee4f33b

Zygote: Additional whitelists for runtime overlay / other static resources. am: 0ad0e859f6
am: 1e6a5d11a6

Change-Id: Ia98abb9cb437dd3c42b80de5c0cd98c965e6603e

Fix idmap leak in zygote process am: 0244ca8d10
am: 82537abc3b

Change-Id: I83d338ebfdefd0f935c4cfb14c3b15efca1cce0f

Merge "Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into lollipop-mr1-dev" into lmp-mr1-dev." into lmp-mr1-dev
am: 78f15948fb

Change-Id: I5f5509cd98a6a98ce9edc782e9d8ef9093fa86e4

Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into lollipop-mr1-dev" into lmp-mr1-dev.
am: 7e0483fcec  -s ours

Change-Id: I3a351771548f827aeecf9a4c8305b907c106abc5

Merge "Zygote: Additional whitelisting for legacy devices." into mnc-dev

Merge "Zygote: Additional whitelisting for legacy devices." into lmp-dev
am: 7bd25ab485

Change-Id: I0266e2fe129ac5ae0c7bbd84e7890d5c41872655

Zygote: Additional whitelisting for legacy devices.
am: 7d302e018d

Change-Id: I15f8e0ec93f502ca45a9b00d93baa66780701996

Merge "Zygote: Additional whitelisting for legacy devices." into lmp-dev

Merge "Zygote: Additional whitelists for runtime overlay / other static resources." into mnc-dev

Merge "Zygote: Additional whitelists for runtime overlay / other static resources." into lmp-dev
am: d60156dfc6

Change-Id: I3696ed3639492ae446ccd1c9ad4feaaa9e15a5ef

Zygote: Additional whitelists for runtime overlay / other static resources.
am: 0ad0e859f6

Change-Id: Id24798deebb738ba6c6b6abef28ca96c0c61dc79

Merge "Zygote: Additional whitelists for runtime overlay / other static resources." into lmp-dev

Fix idmap leak in zygote process
am: 0244ca8d10

Change-Id: Ia35ded23161ad5c5c6fe4dea388e74b8d8af2955

Merge "DhcpClient: guard against failure to parse packets" into mnc-dev

Merge "Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into marshmallow-dev" into mnc-dev." into mnc-dev

Merge "Merge "Merge "DO NOT MERGE - Added Emergency affordance feature" into lollipop-mr1-dev" into lmp-mr1-dev." into lmp-mr1-dev

Fix idmap leak in zygote process

Fix a idmap leak in AssetManager::addSystemOverlays.
And, The fix could also prevent fd leak of idmap.

Test: none
Bug: 32691930

Signed-off-by: Hyangseok Chae <neo.chae@lge.com>
(cherry picked from commit 6a742a38509693f8b39ee9a5ad2803fca12688bf)

Change-Id: Idc4af77db2b0cb739bd6b009b6af0f9123be1aac

Zygote: Additional whitelisting for legacy devices.

On M and below, we provide a blanket whitelist for all files under
"/vendor/zygote_whitelist". This path is whitelisted purely to allow
this patch to be applied easily on legacy devices and configurations.

Note that this does not amount to a loosening of our security policy
because whitelisted files are reopened anyway.

Bug: 32691930
Test: manual

(cherry picked from commit 5e2f7c6229d7191183888d685b57a7d0a2835fce)

Change-Id: I9700fc7b469d0bc4d876c52292f25888b94a5223

Zygote: Additional whitelists for runtime overlay / other static resources.

Partially cherry picked from commit 1c15c635785c64a.

These files are safe to reopen for the same reason that files in
/system/framework are. They're regular files and will not change after
the first zygote fork.

Bug: 32618130

Change-Id: I119e0bfcbf397cb331064adf148d92a5cd3ea92f

Merge "Public volumes belong to a single user." into mnc-dev

Zygote: Additional whitelisting for legacy devices.

On M and below, we provide a blanket whitelist for all files under
"/vendor/zygote_whitelist". This path is whitelisted purely to allow
this patch to be applied easily on legacy devices and configurations.

Note that this does not amount to a loosening of our security policy
because whitelisted files are reopened anyway.

Bug: 32691930
Test: manual
Change-Id: If5b53f6f0a707f8d36603c09bfd3f72dbfbbbb99

Zygote: Additional whitelists for runtime overlay / other static resources.

Partially cherry picked from commit 1c15c635785c64a.

These files are safe to reopen for the same reason that files in
/system/framework are. They're regular files and will not change after
the first zygote fork.

Bug: 32618130

Change-Id: I119e0bfcbf397cb331064adf148d92a5cd3ea92f

Public volumes belong to a single user.

When a public (vfat) device is inserted, it's strongly associated
with the current foreground user, and no other users should be able
to access it, since otherwise that would be a cross-user data leak.

To use the device under a different user, switch users and then
eject/remount the device.

Test: verified user isolation of USB drive
Bug: 32523490
Change-Id: I590c791996f1fea8d78f625dc942d149f1f41614

DhcpClient: guard against failure to parse packets

DhcpPacket.decodeFullPacket() is not exception safe and can throw
various runtime exceptions when trying to parse malicious or malformed
packets.

This patch adds a generic catch-all-exception in DhcpClient to avoid
propagating the exception and killing the framework process on reception
of such malformed packets.

Bug: 31850211
Change-Id: I2e723a792ff067ada2834da875700d4df16c5159

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 418e0869ba am: a5affb045e am: 9a15881184  -s ours am: 21c4e6d532  -s ours am: ec44540d42
am: 583a7017ce  -s ours

Change-Id: I39976fd7bf943dd9b4e38c084270c977cf0511ca

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 418e0869ba am: a5affb045e am: 9a15881184  -s ours am: 21c4e6d532  -s ours
am: ec44540d42

Change-Id: Id4fd3422c443d5e7363d3ff27b2ba0eeb532f1dd

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 418e0869ba am: a5affb045e am: 9a15881184  -s ours
am: 21c4e6d532  -s ours

Change-Id: Ibf02e62ee13accd5d204c44faeb6aa8c05afb709

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 418e0869ba am: a5affb045e
am: 9a15881184  -s ours

Change-Id: I67ba2d8b8d3c3f32fca417303ee422482acc40d8

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 135524f2c5  -s ours am: 02cd808ab8
am: 8e2451759d  -s ours

Change-Id: Id0d69d1bddcf0d6059b53bd3a4b2b55df493899c

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 418e0869ba
am: a5affb045e

Change-Id: I4bb4440c019839073b4fcf6df54d726a02286680

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: ad74e88f1d
am: 41b775b40a  -s ours

Change-Id: I6ce63b74988fb4f87565be611a47c2f4a28cbc9b

DO NOT MERGE) ExifInterface: Close the file when an exception happens am: 135524f2c5  -s ours
am: 02cd808ab8

Change-Id: Ic14a5adecb6fb0732a5b3c2a68a28fdcf1eb1bc4

DO NOT MERGE) ExifInterface: Close the file when an exception happens
am: 135524f2c5  -s ours

Change-Id: I34fc1b37171ad6ea5d79035df6c4730260a0b47b