Refactor NetworkSecurityPolicy to be pluggable

This allows us to keep the logic for the NetworkSecurityPolicy in the
framework instead of in libcore.

Change-Id: I4bf494f79c27729cb17d93d90a91319492270ce9

Merge "Expose findTrustAnchorBySubjectAndPublicKey"

Merge "Make NetworkSecurityConfigProvider.install lazy"

Expose findTrustAnchorBySubjectAndPublicKey

This allows for faster lookups of TrustAnchors when checking pin
overrides without needing to iterate over all certificates.

Currently only the system and user trusted certificate store are
optimized to avoid reading the entire source before doing the trust
anchor lookup, improvements to the resource source will come in a later
commit.

This also refactors System/UserCertificateSource to avoid code
duplication.

Change-Id: Ice00c5e047140f3d102306937556b761faaf0d0e

Merge "Remove isCertificateEntry check"

Remove isCertificateEntry check

This was returning false on some test keystores even when
getCertificate would correct return a certificate. Remove the check to
be consistent with how conscrypt loads trust anchors from the keystore.

Bug: 25897324
Change-Id: Ie87658a261ee7ba1cca6896e34b6c53b8abfba85

Make NetworkSecurityConfigProvider.install lazy

This defers looking up the meta-data from the install call to when the
rest of the config is lazily initialized.

Change-Id: I008a86f885e158ebe06a2bacdc358cd217635d05

Merge "Implement checkClientTrusted"

Implement checkClientTrusted

Bug: 25885029
Change-Id: I07ef11a556f1a1a65456ae5e3904c56902c6e82a

Merge "Custom engineUpdate/engineDoFinal(ByteBuffer, ByteBuffer)."

Custom engineUpdate/engineDoFinal(ByteBuffer, ByteBuffer).

This makes Android Keystore's Cipher implementation use a custom
implementation of engineUpdate(ByteBuffer, ByteBuffer) and
engineDoFinal(ByteBuffer, ByteBuffer). The implementation is
explicitly designed around the fact that Android Keystore transmits
input and receives output via Binder and thus there's no need to
attempt any optimizations to avoid copying input and output.

Bug: 25863382
Change-Id: I311072891f02f5e7a283628b51b8d6058b55231c

Merge "Extend the 'qwerty' key layout"

Merge "ssl: make DistinguishedNameParser a package-private class in org.apache.http.conn.ssl"

Extend the 'qwerty' key layout

Add the App Switch (Recents) key.
Add media control keys.

These are needed to support Emulator UI
buttons for these functions.

Change-Id: I3e9479bb49e21400f7bfd1435c50886038bbe0ff

ssl: make DistinguishedNameParser a package-private class in org.apache.http.conn.ssl

Needed by AbstractVerifier in framework/base

DistinguishedNameParser taken from libcore, commit
b5259fcf87994ee18658f07887156aef3cab3b56

Change-Id: I924dc7cd21262e5e91857edf178e46c9916f3f6b

Merge "Don't back up / restore EAP network definitions"

Merge "Update framework code after new ART options."

Update framework code after new ART options.

Change-Id: I852a5975701653fe7e0cdd02e3c0b30a2b0b0b59

Don't back up / restore EAP network definitions

Bug 25725016

Change-Id: Idfef9dd53f2403bbe4c950493a0ab8fa66a3b7d4

Merge "Frameworks/base: Make RuntimeAbort more expressive"

Merge "Remove DEBUG_JIT from Zygote flags."

Remove DEBUG_JIT from Zygote flags.

The flag is being obsolete by the move to JIT.

(cherry picked from commit 9abbf45c8dcdb2e5b13b615e5138ad996fe8afa3)

Change-Id: I3ce4577e81f91e9dd55d44116e0f9e2014bd00b8

Frameworks/base: Make RuntimeAbort more expressive

Pass a message to FatalError, which will be more prominent in
aborts than "RuntimeAbort."

Change-Id: Icb3b8f50ca0cc15fd1346c530cd8e6452e951879

Merge "Remove unsupported RS graphics API tests."

Merge "Add NetworkSecurityConfigProvider.install"

Merge "Handle renamed packages during default grants"

Handle renamed packages during default grants

If an L device has a privileged app on the system image which was
updated and an M OTA renames the app package (supported only for
privileged apps) we end up with a disabled system package setting
with no package information. Since we are not doing a null check
of the package we get from the disabled package settings during
default grants we crash leaving the system in a bad state.

bug:25687380

Change-Id: I4f2ebcaf471e4bd1696298eab4716b50c52ca5c4

Merge "Vibra: Add loading of the vibrator hardware module."

Merge "Dedupe trust anchors"

Merge "Don't use timestamps with all zero"

Add NetworkSecurityConfigProvider.install

This method is not currently called.

Change-Id: I73fd166b03009526868e0d9b5b209a9adaa4232f

Merge "Insert Android Keystore JCA Provider at the correct position."

Insert Android Keystore JCA Provider at the correct position.

Security.insertProviderAt uses 1-based positions whereas the
AndroidKeyStoreProvider.install code was incorrectly passing in
0-based positions, thus installing the AndroidKeyStoreBCWorkaround
provider one level higher than intended. This change fixes the issue
in AndroidKeyStoreProvider.

Bug: 25399691
Change-Id: I4a66bf37c0d151edb9a2349db9d91939064c0574

Merge "Revert "jni: is loggable speedup, not within signal""

Revert "jni: is loggable speedup, not within signal"

This reverts commit c954fde0b6e31ec99509faf0bbc33c4c9e4d012a.

Bug: 25693940
Change-Id: I568051aad39e215d677318cd5758962e562187ef

Merge "Remove obsolete profile handling from AndroidRuntime."

Merge "Various fixes in setting globals in a script group"

Various fixes in setting globals in a script group

Bug: 25602504

1) Passing floating point values into a script group was broken,
since they were casted to long values. Fixed that in the frameworks
implementation by taking the raw bits instead.

2) Passing 64-bit values into a script group was broken on 32-bit
platforms, since they were casted to pointer-sized integers
(uintptr_t) in the JNI code. Fixed that by casting to int64_t
instead.

3) Setting global variables of Allocation type in a script group was
broken. The special size value -1 was used to indicate the value is an
Allocation. However, size was casted to size_t in the JNI code.
Fixed that by using signed integers.

Change-Id: Ifff099a76be7707df7b67c388395f5a00f9cae66

Merge "jni: is loggable speedup, not within signal"

Don't use timestamps with all zero

Although all zero (0000:00:00) is valid time, in most cases it means
that value is not present. According to http://www.exiv2.org/Exif2-2.PDF
in such case those values should be omitted, however
some cameras set them to 0 anyway. With this commit such timestamps
will be treated as they were empty.

Change-Id: I9c762b1fa04ea6bf9c0fba9e2459a20430c71c90

Merge "Add hidden support for arrays of raw file descriptors"

jni: is loggable speedup, not within signal

Speedup by telling __android_is_loggable interface it will not
be called within a signal handler. This saves two system calls.

Bug: 25563384
Change-Id: Ib8188641c8c76e5aa848476da98596be6b8e5040

Add hidden support for arrays of raw file descriptors

Change-Id: I4013e0700369764a26485d8620ebf16d8bea1951
Test: Built and ran Android in an emulator
Bug: 25242023
Signed-off-by: Casey Dahlin <sadmac@google.com>

Dedupe trust anchors

When getting trust anchors we need to dedup them based on the
certificate to avoid having multiple trust anchors with the same cert
but different pin override behavior. If there are multiple trust anchors
with the same cert, the trust anchor which overrides pins wins.

Change-Id: Ida31f2551f56997418b8b091bb2598c5593cb069

Merge "Support X509TrustManagerExtensions methods"

Merge "Use duck typing in X509TrustManagerExtensions"

Merge "System crash fixed when turn off MagnificationGesture"

Merge "Avoid configuration of callback being reset after relayout."

Avoid configuration of callback being reset after relayout.

mPendingConfiguration is a parameter of IWindowSession.relayout.
And IWindowSession.aidl declared "out Configuration outConfig",
it will always create a new configuration for remote side to write.
If remote side does not write (WMS does not have config change),
the new default configuration will be returned.

In original code passes mPendingConfiguration to updateConfiguration
directly, then callbacks (sConfigCallbacks) receive the same
instance of mPendingConfiguration. And because the implementation
of callback may use the configuration after relayout has reset
the configuration to default, then it may have timing that results
"showing hybrid of portrait and landscape modes" which try to fix
in commit e36d6e27.

To avoid this, always create a copy to updateConfiguration.
MSG_RESIZED_REPORT from dispatchResized also did the same thing.

Related commit:
e36d6e277e49475076b7872d36ea6a5c5b996e9d
694f79b5d1196640d1beb680b7d1fc68e6e77cbd

Change-Id: Ic1abd596e384918224b3a7020583d9a04641cccc

Support X509TrustManagerExtensions methods

Change-Id: I14a405e90f139b8d73eb9f88597fac804a7c18f3

Use duck typing in X509TrustManagerExtensions

X509TrustManagerExtensions assumes that the default X509TrustManager is
an instance of conscrypt's TrustManagerImpl. That's no longer going to
always be the case. Instead use duck typing to support any
X509TrustManagers that have the extra methods required for
X509TrustManagerExtensions.

Change-Id: If23471bda590d5e131bb1e802a60599957bc7f37

Merge "Add NetworkSecurityConfigProvider"

Merge "Fix system watchdog timeout when reading too many usage events."

Merge "Add support for debug-overrides configuration"

Add NetworkSecurityConfigProvider

Change-Id: I321e3ca94cc2a8d5e0e5d82a83b255ff5b8a71d2

Merge "Fix memory corruption in SpotShadow"

Merge "Parse method-trace properties only in debug builds."

Fix memory corruption in SpotShadow

The array list is too small and causing stack corruption

Change-Id: I0e34dad39357fb63977d2ce6f183ced7b6a632be

Parse method-trace properties only in debug builds.

Bug: 25612377
Change-Id: Ia1d8e6c5afbdd70486d5aa8c059e70e27b03367d

Merge "Fix HWUI Path Cache dangling pointer"

Add support for debug-overrides configuration

Debug overrides are only used if the application is debuggable in
order to help local debugging and development by trusting additional
CAs. In a non-debuggable version of the application the debug-overrides
are ignored.

Trust anchors in the debug override configuration have two key
differences from those in base-config and domain-config:
1) trust anchors in the debug-overrides are trusted for all connections
in addition to any trust anchors included in the relevant base/domain
configs.
2) By default trust anchors in the debug config override pins, as their
purpose is for connecting to non-standard servers for debugging and
testing and those servers should not be pinned in the production
configuration.

Change-Id: I15ee98eae182be0ffaa49b06bc5e1c6c3d22baee

Merge "Avoid NPE in printspooler when changing language"

Merge "system_server: allow /proc read access to other UIDs"

Fix HWUI Path Cache dangling pointer

When precache, PathTexture is added to PathCache, and it is released after drawn if we want to clean it.
But the PathCache LRU still holds the entry of the PathTexture object. When trim the cache in
the end of each frame, LRU finds that its mListener is not NULL and invoke the functor, however,
mListerer points to the released PathTexture object and is a dangling pointer, thus leads to crash.
Smart pointer don't help here since they only manage scopes, while PathTexture is also controled by
its cleanup field.
The fix is to also remove the LRU entry of PathTexture*, it will also release the texture object
and there won't be texture leaks.

Change-Id: Iaa0621df5dc71532e9e75b38ad94384353930b95

Fix system watchdog timeout when reading too many usage events.

Symptom:
As issue link:
https://code.google.com/p/android/issues/detail?id=193100

RootCause:
UsageStatsService.onDisplayChanged executed in system main thread,
If calling UsageStatsManager.queryEvents with too many events before it
(i.e. in daily usage event file,
too many activity resume / pause events or configuration change
during monkey test),
System will be blocked then watchdog timeout.

Solution:
Let display listener executed in background thread handler

Change-Id: Ic894d112612400ed8fb7ba843b3309fdc4f66fe1

system_server: allow /proc read access to other UIDs

Add system_server to AID_READPROC, to allow system_server to read
/proc entries associated with other UIDs.

Bug: 23310674
Change-Id: I1602b8ee30670cde4ed56e2f901524c105895352

Merge "Support nested domain-config elements"

Merge "Add xml source for network security configuration"

Support nested domain-config elements

Nested domain-config inherit unset parameters from the domain-config
they are nested in. This helps avoid copy and pasted configs that are
almost the same except a few minor differences for a domain with
slightly different requirements.

For example: Consider a domain-config for example.com that, among other
settings, does not enforce hsts. Now if you want the rules for
example.com to apply to secure.example.com except that hsts _is_
enforced you can make a nested domain-config for secure.example.com
under example.com that sets hstsEnforced="true" and nothing else.

Change-Id: I9e33f7e62127fd7f4f15c3560fff2f2626477bd4

Add xml source for network security configuration

XmlConfigSource parses an ApplicationConfig from an xml resource.
Currently this supports app-wide default configuration via the
base-config element, per domain via the domain-config element and
inheritance of unset properties at parse time.

Inheritance of unset properties is currently only:
domain-config -> base-config -> platform default configuration
Where the most specific value is used.
For example: If the base-config specifies trust anchors, all connections
will use those anchors except for connections to a domain which has a
domain-config that specifies trust anchors, in which case the
domain-config's trust anchors will be used. If the domain-config or
base-config don't set trust anchors, or don't exist, then the platform
default trust anchors will be used.

Nested domain-config entries, debug-overrides, and thorough
documentation of the xml format will follow in later commits.

Change-Id: I1232ff1e8079a81b340bc12e142f0889f6947aa0

Merge "Fix incorrect hstsEnforced lookup"

Fix incorrect hstsEnforced lookup

Change-Id: I00364d8c1d3311bebd3ad88e557860e694ba5018

Merge "Fix directory check in UserCertificateSource"

Merge "Fix incorrect hasPerDomainConfigs check"

Fix directory check in UserCertificateSource

If the user has not added any CAs to the user trust store the user-added
directory will not have been created.

Change-Id: I8b5f73af3c0761c56969874231004fedbf7badda

Fix incorrect hasPerDomainConfigs check

Change-Id: Iaeedbbcc5f12475d346a77dba84b38a1d3d8d346

Merge "Use a builder for NetworkSecurityConfig"

System crash fixed when turn off MagnificationGesture

Symptom:
WindowManagerService throws exception and system crashes.

Root cause:
When the MagnificationGesture is turned off during animation of scale
up/down, WindowManagerService.mAccessibilityController can be null so
exception is thrown.

Solution:
Cancel ongoing animation before turning off MagnificationGesture.

Change-Id: I469d84e024bdd453e3729a69229398233ed2eb61

Merge "Take into account default app for default grants"

Take into account default app for default grants

Change-Id: Ib78c7dbda65d405bbf74544cad18e5e10bfcdeec

Merge "Revert "Take into account default app for default grants""

Revert "Take into account default app for default grants"

Apparently OEMs can set the chooser so this patch is not enough since it assumes the chooser is a platform component.

This reverts commit fce33d58d87fd494686aae4e21332b58ec260b73.

Change-Id: I3b8e499d2f0a731a227d193f6c5d6ed528be2272

Merge "When the incoming light source is invalid, don't generate any shadow"

When the incoming light source is invalid, don't generate any shadow

b/25417885

Change-Id: I4b87e35ca68091fd0409cb9fe9b9400af860a507

Use a builder for NetworkSecurityConfig

The builder supports all the standard builder set* methods as well as
setting a parent builder to use when values are not set (recursively).
This allows us to have a level of inheretence in configurations without
complicating the lookup and trust checking logic by doing inheretence
when building the configs.

Change-Id: I054af83451e52761227479eadf9cb9803437505f

Merge "Use std::unique_ptr instead of UniquePtr."

Merge "Add initial network security config implementation"

Merge "Fixes for sm and pm usage"

Fixes for sm and pm usage

sm showed IllegalArgumentException after usage.
pm inconsistently used "return showUsage()"

Bug: 20948199
Change-Id: I5828489a9d4ef2eabfb97dd408d66e1560a5a983

Remove unsupported RS graphics API tests.

Bug: 25497185

These tests all use deprecated graphics APIs along with unsupported
pragmas. Removing them first will make our pragma cleanup simpler.

Change-Id: Icd0f2690d79dd8deb709724b47607483d6e3dea2

Merge "Don't apply clang flag to gcc builds."

Avoid NPE in printspooler when changing language

PrintActivity is recreated when the language setting is changed.
As a result of the recreation mCurrentPrinter is null, which causes
a NullPointerException when onActivityResult() is called.

The issue is solved with a simple null check.

Change-Id: Ic58f0ca01577d2ec02d494739f3bc2f06240dd44

Don't apply clang flag to gcc builds.

For whatever reason GCC doesn't fail the build on unknown flags unless
there is also a warning emitted. Since we're now deprecating
UniquePtr, the warning is thrown here and the build fails (despite not
being -Werror).

Bug: http://b/22403888
Change-Id: I4af7911a51f7af9aa47a596a76f3e9d79535585b

Use std::unique_ptr instead of UniquePtr.

We're deprecating UniquePtr, so we need to move to the real thing.

Bug: http://b/22403888
Change-Id: I5b7fdf4924dd8c12a8c7dba89278714ca6fdc60a

Merge "Take into account default app for default grants"

Merge "Enforce weaker grant if app is default handler for miltiple action"

Enforce weaker grant if app is default handler for miltiple action

Change-Id: Ibc46e458e277412ebb276eb5ba6f2765b6b6c5e9

Add initial network security config implementation

Initial implementation of a unified application wide static
network security configuration.

This currently encompases:
* Trust decisions such as what trust anchors to use as well as static
  certificate pinning.
* Policy on what to do with cleartext traffic.

In order to prevent issues due to interplay of various components in an
application and their potentially different security requirements
configuration can be specified at a per-domain granularity in addition
to application wide defaults.

This change contains the internal data structures and trust management
code, hooking these up in application startup will come in a future
commit.

Change-Id: I53ce5ba510a4221d58839e61713262a8f4c6699c

Merge "Built-in mic is not used when USB mic is disconnected"

Built-in mic is not used when USB mic is disconnected

In some cases when the USB microphone is disconnected,
audio stack does not switch to the built-in microphone.
It gets stuck in a state where it still recognizes the
USB mic is still connected. Current device removal
implementation only considers USB output devices such
as headset. The same process should be used for input
USB devices (microphone).

Bug: 24932354
Change-Id: Ic2089ef5a9a318cb47336ade405f79eccd7129f8
Signed-off-by: Alejandro Ochoa <alejandro.ochoa@intel.com>