[automerger] Select only preinstalled Spell Checker Services am: fa265ed970

Change-Id: I6a0825a14c8b0f38415cccacc315ba84eb88f5b9

Select only preinstalled Spell Checker Services

When we are setting a new spell checker as the default one in
Secure.Settings, TSMS#findAvailSpellCheckerLocked can pick up
any available spell checker service. This violates the principle
that user should be warned whenever we are setting an untrusted
spell checker service as the default service, since the warning
dialog is never shown.

Fixes: 64764051
Bug: 118694079
Test: Manually as follows:
0. Make sure AOSP keyboard is pre-installed.
1. adb shell settings put --user 0 secure selected_spell_checker com.android.inputmethod.latin/.spellcheck.AndroidSpellCheckerService
2. tapas SampleSpellCheckerService
3. make -j
4. adb install --user 0  -r out/target/product/generic/system/app/SampleSpellCheckerService/SampleSpellCheckerService.apk
5. adb shell pm disable com.android.inputmethod.latin
6. adb shell settings get --user 0 secure selected_spell_checker
    -> com.android.inputmethod.latin/.spellcheck.AndroidSpellCheckerService
7. adb reboot
8. adb shell settings get --user 0 secure selected_spell_checker
    -> com.android.inputmethod.latin/.spellcheck.AndroidSpellCheckerService
Change-Id: I298ffbcfa5e32f43753f54fbebc40a414a5c0f9e
Merged-In: I298ffbcfa5e32f43753f54fbebc40a414a5c0f9e

[automerger] RESTRICT AUTOMERGE: Recover shady content:// paths. am: 301d17e4dd

Change-Id: I80ac911a166e12eedf77518436808d4f3ede872c

RESTRICT AUTOMERGE: Recover shady content:// paths.

The path-permission element offers prefix or regex style matching of
paths, but most providers internally use UriMatcher to decide what
to do with an incoming Uri.

This causes trouble because UriMatcher uses Uri.getPathSegments(),
which quietly ignores "empty" paths.  Consider this example:

    <path-permission android:pathPrefix="/private" ... />

    uriMatcher.addURI("com.example", "/private", CODE_PRIVATE);

    content://com.example//private

The Uri above will pass the security check, since it's not
technically a prefix match.  But the UriMatcher will then match it
as CODE_PRIVATE, since it ignores the "//" zero-length path.

Since we can't safely change the behavior of either path-permission
or UriMatcher, we're left with recovering these shady paths by
trimming away zero-length paths.

Bug: 112555574
Test: cts-tradefed run cts -m CtsAppSecurityHostTestCases -t android.appsecurity.cts.AppSecurityTests
Change-Id: Ibadbfa4fc904ec54780c8102958735b03293fb9a

Merge changes from topic "am-81126cf1-3777-4130-82b2-fbb9b5f9bcf8" into nyc-dr1-dev

* changes:
  [automerger] RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package." am: 95a3e91846
  RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package."

Merge "RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package."" into nyc-dev

Merge "RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Check both self and shared user id package for requested permissions."" into nyc-dev

[automerger] RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Check both self and shared user id package for requested permissions." am: 999e3fe986

Change-Id: I178b86c62e2b0e8d3399897adaa3bfc191daea2d

RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Check both self and shared user id package for requested permissions."

This reverts commit 8da6786608e374c20ae584b1c404fd4894786e46.

Reason for revert: Not a security fix and the security fix needs this cl is reverted.
Bug: 114365189

Change-Id: I1826a5b6889f21fbbe16311a3da66c93e26383f3

[automerger] RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package." am: 95a3e91846

Change-Id: Ib9aa56a12fff0fb53848b9856fb89c6bb4de3793

RESTRICT AUTOMERGE: Revert "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package."

This reverts commit fa69d725eb99b8c20a15135304bf5be4ea811573.

Reason for revert: triggers other issue.
Bug: 114365189

Change-Id: I746c74b00f4524575279cdaa831435d12425de20

Merge "Verify number of Map entries written to Parcel" into nyc-dev

Merge changes from topic "am-bdb0270e-8295-4ee6-be36-2709e172d48f" into nyc-dr1-dev

* changes:
  [automerger] Verify number of Map entries written to Parcel am: 057a01d1f3
  Verify number of Map entries written to Parcel

Merge "Hide overlay windows when requesting media projection permission." into nyc-dev

Merge changes from topic "am-51363a78-f167-48aa-956c-f9bfd551a3a5" into nyc-dr1-dev

* changes:
  [automerger skipped] Hide overlay windows when requesting media projection permission. skipped: 5c3f5a02bd
  Hide overlay windows when requesting media projection permission.

Merge "RESTRICT AUTOMERGE: Hide overlay windows when requesting media projection permission." into nyc-dr1-dev

RESTRICT AUTOMERGE: Hide overlay windows when requesting media projection permission.

1: Cherry-pick ag/4067454 - Setting PRIVATE_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS
updateNonSystemOverlayWindowsVisibilityIfNeeded on relayoutWindow

2: Cherry-pick ag/3650369 - If PRIVATE_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS changed on
relayoutWindow() then updateNonSystemOverlayWindowsVisibilityIfNeeded

3: Add permissions to SystemUI to allow it to hide non-system overlays

Bug: 34170870
Test: manual (see bug for poc)
Change-Id: I57cb0f390d9a78e721c5ddce49a377d385002753

[automerger skipped] Hide overlay windows when requesting media projection permission. skipped: 5c3f5a02bd

Change-Id: I76ade50f15b706e3f4e6acc156884b83967e4b40

Hide overlay windows when requesting media projection permission.

1: Cherry-pick ag/4067454 - Setting PRIVATE_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS
updateNonSystemOverlayWindowsVisibilityIfNeeded on relayoutWindow

2: Cherry-pick ag/3650369 - If PRIVATE_FLAG_HIDE_NON_SYSTEM_OVERLAY_WINDOWS changed on
relayoutWindow() then updateNonSystemOverlayWindowsVisibilityIfNeeded

3: Add permissions to SystemUI to allow it to hide non-system overlays

Bug: 34170870
Test: manual (see bug for poc)
Change-Id: I57cb0f390d9a78e721c5ddce49a377d385002753

[automerger] Verify number of Map entries written to Parcel am: 057a01d1f3

Change-Id: Idb2572b46c48fe2f3e4b99c5cb4372dcfe6b20ce

Verify number of Map entries written to Parcel

Make sure the number of entries written by Parcel#writeMapInternal
matches the size written. If a mismatch were allowed, an exploitable
scenario could occur where the data read from the Parcel would not
match the data written.

Fixes: 112859604
Test: cts-tradefed run cts -m CtsOsTestCases -t android.os.cts.ParcelTest

Change-Id: I325d08a8b66b6e80fe76501359c41b6656848607
Merged-In: I325d08a8b66b6e80fe76501359c41b6656848607

[automerger] RESTRICT AUTOMERGE: Check both self and shared user id package for requested permissions. am: 8da6786608

Change-Id: I2c9174d4b065aada8c4ba95e864b3628dd1f0975

RESTRICT AUTOMERGE: Check both self and shared user id package for requested permissions.

Bug: 111752150
Test: Manual local test
Change-Id: I0b48a20525f87fc6f5ab8d7e70aa7d11cd747f97

Merge changes from topic "am-0f30ee3d-94a0-4dc3-bb14-762781265ad9" into nyc-dr1-dev

* changes:
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f am: 04c7154fd9 am: 65082f8f5b
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f am: 04c7154fd9
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea
  Fix crash during cursor moving on BiDi text

Merge changes from topic "am-0f30ee3d-94a0-4dc3-bb14-762781265ad9" into nyc-dev

* changes:
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f am: 04c7154fd9
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2
  [automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea
  Fix crash during cursor moving on BiDi text

Merge "Fix crash during cursor moving on BiDi text" into nyc-dev

[automerger] Fix crash during cursor moving on BiDi text am: 82c84d5fbb

Change-Id: I221d974ba9402c088235d5bdb3c94e91cf4167ba

Fix crash during cursor moving on BiDi text

The crash was introduced by Ib66ef392c19c937718e7101f6d48fac3abe51ad0
The root cause of the crashing is requesting out-of-line access for the
horizontal width. This invalid access is silently ignored by
TextLine#measure() method but new implementation end up with out of
bounds access.

To makes behavior as old implementation, calling getHorizontal instead
of accessing measured result array.

Bug: 78464361, 111580019
Test: Manually done
Change-Id: I5c5778718f6b397adbb1e4f2cf95e9f635f6e5c8
(cherry picked from commit 960647d582911ae7ab8b9491097898e6c313aaf1)
Merged-In: I5c5778718f6b397adbb1e4f2cf95e9f635f6e5c8

[automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f am: 04c7154fd9 am: 65082f8f5b

Change-Id: I27b2220f568a37ff16b0dfc3376d7e46cb3659c9

[automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f am: 04c7154fd9

Change-Id: Ic801a54fa6cb048ddf911c7b315849ab40bd7a52

[automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2 skipped: 723f13d01f

Change-Id: If1607fb19bd806cb6d0f9b9010032e95df6549a8

[automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea am: b7a2d47ec2

Change-Id: I6995aab201805b64e81022db295356ef8abda30c

[automerger] Fix crash during cursor moving on BiDi text am: 95218ce7ea

Change-Id: Id97c3f508a0dcd82978b06891b3a979921d4be3a

Fix crash during cursor moving on BiDi text

The crash was introduced by Ib66ef392c19c937718e7101f6d48fac3abe51ad0
The root cause of the crashing is requesting out-of-line access for the
horizontal width. This invalid access is silently ignored by
TextLine#measure() method but new implementation end up with out of
bounds access.

To makes behavior as old implementation, calling getHorizontal instead
of accessing measured result array.

Bug: 111580019
Test: Manually done
Change-Id: I5c5778718f6b397adbb1e4f2cf95e9f635f6e5c8
Merged-In: Ib66ef392c19c937718e7101f6d48fac3abe51ad0

Merge "RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package." into nyc-dev

Merge changes from topic "am-81126cf1-3777-4130-82b2-fbb9b5f9bcf8" into nyc-dr1-dev

* changes:
  [automerger] RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package. am: fa69d725eb
  RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package.

[automerger] DO NOT MERGE. Extend SQLiteQueryBuilder for update and delete. am: 8e95967f09

Change-Id: I6cdb5a5dd5531ad53ef02174ff5063788d11029d

[automerger] DO NOT MERGE. Execute "strict" queries with extra parentheses. am: 286fd5652a

Change-Id: Ia877305c642c3b7741941d2e438fe77f1d1550f3

DO NOT MERGE. Extend SQLiteQueryBuilder for update and delete.

Developers often accept selection clauses from untrusted code, and
SQLiteQueryBuilder already supports a "strict" mode to help catch
SQL injection attacks.  This change extends the builder to support
update() and delete() calls, so that we can help secure those
selection clauses too.

Bug: 111085900
Test: atest packages/providers/DownloadProvider/tests/
Test: atest cts/tests/app/src/android/app/cts/DownloadManagerTest.java
Test: atest cts/tests/tests/database/src/android/database/sqlite/cts/SQLiteQueryBuilderTest.java
Change-Id: Ib4fc8400f184755ee7e971ab5f2095186341730c
Merged-In: Ib4fc8400f184755ee7e971ab5f2095186341730c

DO NOT MERGE. Execute "strict" queries with extra parentheses.

SQLiteQueryBuilder has a setStrict() mode which can be used to
detect SQL attacks from untrusted sources, which it does by running
each query twice: once with an extra set of parentheses, and if that
succeeds, it runs the original query verbatim.

This sadly doesn't catch inputs of the type "1=1) OR (1=1", which
creates valid statements for both tests above, but the final executed
query ends up leaking data due to SQLite operator precedence.

Instead, we need to continue compiling both variants, but we need
to execute the query with the additional parentheses to ensure
data won't be leaked.

Test: atest cts/tests/tests/database/src/android/database/sqlite/cts/SQLiteQueryBuilderTest.java
Bug: 111085900
Change-Id: I6e8746fa48f9de13adae37d2990de11c9c585381
Merged-In: I6e8746fa48f9de13adae37d2990de11c9c585381

[automerger] RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package. am: fa69d725eb

Change-Id: I7bfd11dd549f814b59742c7565c4a39ed3df66fe

RESTRICT AUTOMERGE: Revoke permissions defined in a to-be removed package.

Bug: 67319274
Test: run cts-dev --module CtsPermissionTestCases --test android.permission.cts.RemovePermissionTest#permissionShouldBeRevokedIfRemoved
Change-Id: I69edee8ed044cc2a8cdb01515f7996b004209c81

Merge "Fix TrackInfo parcel write" into nyc-dev

[automerger] Fix TrackInfo parcel write am: 0d2dc943dc

Change-Id: I7ea941c8cffa147d2c6a46f0428899bf001a2672

Fix TrackInfo parcel write

Bug: 77600398
Change-Id: Ia316f1c5dc4879f6851fdb78fe8b9039579be7bc

[automerger] Resolve inconsistent parcel read in NanoAppFilter am: abe5a73a4a

Change-Id: Ieb925f073b80e4d624552e738d49b0996f0485ae

Resolve inconsistent parcel read in NanoAppFilter

Bug: 77599679
Test: Compile only
Change-Id: Ib417a5cb4d51744442d2fb14437cabbe5fd1c266

[automerger] RESTRICT AUTOMERGE: Backporting of b/77821568 am: 4bc1c2445c

Change-Id: I12a6a00f11b2d94d3ac112a2f18284e13062a814

RESTRICT AUTOMERGE: Backporting of b/77821568

Enforce permission check before returning application info
Test: manually tested (see bug for repro steps)
Bug: 77821568

Change-Id: I5d81345b2d958c2bb0a62bbcb8bd8c714a1cf41e

Merge changes from topic "dynamic-ref-se-mnc-dev" into mnc-dr1.5-dev

* changes:
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0
  Fix DynamicRefTable::load security bug

Merge changes from topic "dynamic-ref-se-mnc-dev" into cw-e-dev

* changes:
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0
  Fix DynamicRefTable::load security bug

Merge changes from topic "dynamic-ref-se-mnc-dev" into mnc-dr-dev

* changes:
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0
  Fix DynamicRefTable::load security bug

Merge "Fix DynamicRefTable::load security bug" into mnc-dev

Merge changes from topic "dynamic-ref-se-mnc-dev" into nyc-dr1-dev

* changes:
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9 am: 0938689606 am: 6f76fbfc69
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9 am: 0938689606
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0
  Fix DynamicRefTable::load security bug

Merge changes from topic "dynamic-ref-se-mnc-dev" into nyc-dev

* changes:
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9 am: 0938689606
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce
  [automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0
  Fix DynamicRefTable::load security bug

Merge changes from topic "am-c1e91e5e-2686-4871-b188-107c0ddf3273" into mnc-dr1.5-dev

* changes:
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008
  ResStringPool: Prevenet boot loop from se fix

Merge changes from topic "am-c1e91e5e-2686-4871-b188-107c0ddf3273" into cw-e-dev

* changes:
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008
  ResStringPool: Prevenet boot loop from se fix

Merge changes from topic "am-c1e91e5e-2686-4871-b188-107c0ddf3273" into mnc-dr-dev

* changes:
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008
  ResStringPool: Prevenet boot loop from se fix

Merge "ResStringPool: Prevenet boot loop from se fix" into mnc-dev

Merge changes from topic "am-c1e91e5e-2686-4871-b188-107c0ddf3273" into nyc-dr1-dev

* changes:
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59 am: 6714a260e6 am: 3a272fe404
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59 am: 6714a260e6
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008
  ResStringPool: Prevenet boot loop from se fix

Merge changes from topic "am-c1e91e5e-2686-4871-b188-107c0ddf3273" into nyc-dev

* changes:
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59 am: 6714a260e6
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436
  [automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008
  ResStringPool: Prevenet boot loop from se fix

[automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9 am: 0938689606 am: 6f76fbfc69

Change-Id: I43c9c68ca69d26f6d4d2dee3cd2a66d5e4a73761

[automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9 am: 0938689606

Change-Id: Ib9e372290f9b2e1fa73470db3f7fd67bc9190711

[automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce am: aeb2fc64d9

Change-Id: I0556ef6fb1ceb02f4972c7434895cfeb5e13188d

[automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0 am: d65dbf91ce

Change-Id: I17fcbac2b6a7860749ddaabf6324cd89e3b78570

[automerger] Fix DynamicRefTable::load security bug am: 8cf0f988b0

Change-Id: I17682a41fbacafd30a032bd78b176a883bc7bdd8

Fix DynamicRefTable::load security bug

DynamicRefTables parsed from apks are missing bounds checks that prevent
buffer overflows. This changes verifies the bounds of the header before
attempting to preform operations on the chunk.

Bug: 79488511
Test: run cts -m CtsAppSecurityHostTestCases \
        -t android.appsecurity.cts.CorruptApkTests

Change-Id: I02c8ad957da244fce777ac68a482e4e8fa70f846
Merged-In: I02c8ad957da244fce777ac68a482e4e8fa70f846

[automerger] Optimise the hit test algorithm am: 3b6f84b77c am: 5b224ccf41 skipped: eb86ac42e6 am: a60d0b2e93 am: a16b03c540

Change-Id: I3b08cf27f6407fdf5789f8a49c3b3aa49f1c1ecd

[automerger] Optimise the hit test algorithm am: 3b6f84b77c am: 5b224ccf41 skipped: eb86ac42e6 am: a60d0b2e93

Change-Id: I23ca86e3bf3df6684d88f1be575f2be1599ac9eb

[automerger] Optimise the hit test algorithm am: 3b6f84b77c am: 5b224ccf41 skipped: eb86ac42e6

Change-Id: Ida4ae11d778115fb1f0d373523f71845fff88331

Merge changes from topic "am-2d17369d-a241-482f-bad0-edb5147de00b" into nyc-dr1-dev

* changes:
  [automerger] Optimise the hit test algorithm am: 71ecf5bd5c
  Optimise the hit test algorithm

Merge "Optimise the hit test algorithm" into nyc-dev

[automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59 am: 6714a260e6 am: 3a272fe404

Change-Id: I8774e7b9ca61abd7fbfc43f0d4793cea41ae2e7c

[automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59 am: 6714a260e6

Change-Id: I5c8048d78c4e499419cee8b60e1a591c47b5456b

[automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436 am: 5a632d1b59

Change-Id: I0de34641572b18ba701f41df542124b6331537c0

[automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008 am: fd1097e436

Change-Id: I50e23f33371f7f1e47b65d421628ab771238b278

[automerger] ResStringPool: Prevenet boot loop from se fix am: c31cf80008

Change-Id: Ie8651904560e43e89374df132bf30cd615718192

ResStringPool: Prevenet boot loop from se fix

Changes the logs adding in a previous security fix to warnings so
devices with malformed APKs currently on them will not undergo DOS when
they are upgraded to P.

Bug: 79724567
Test: run cts -m CtsAppSecurityHostTestCases \
          -t android.appsecurity.cts.CorruptApkTests

Change-Id: Ied54e4bb14abdaf79da562022c7ea6075187c1f8
(cherry picked from commit f05f47b2c1838529e682ad8f931d3da72244b1a1)

[automerger] Optimise the hit test algorithm am: 3b6f84b77c am: 5b224ccf41

Change-Id: I4c318ee8e717792cbe25caa830e6567572bd03f7

[automerger] Optimise the hit test algorithm am: 3b6f84b77c

Change-Id: I881f5f6db05ad200a6d8507956664c8f25172dc9

Optimise the hit test algorithm

Layout#getOffsetForHorizontal was running in O(n^2) time, where n is the
length of the current line. The method is used when a touch event
happens on a text line, to compute the cursor offset (and the character)
where it happened. Although this is not an issue in common usecases,
where the number of characters on a line is relatively small, this can
be very inefficient as a consequence of Unicode containing 0-width
(invisible) characters. Specifically, there are characters defining the
text direction (LTR or RTL), which cause our algorithm to touch the
worst case quadratic runtime. For example, a person is able to send a
message containing a few visible characters, and also a lot of these
direction changing invisible ones. When the receiver touches the message
(causing the Layout#getOffsetForHorizontal method to be called), the
receiver's application would become not responsive.

This CL optimizes the method to run in O(n) worst case. This is achieved
by computing the measurements of all line prefixes at first, which can
be done in a single pass. Then, all the prefix measurement queries will
be answered in O(1), rather than O(n) as it was happening before.

Bug: 79215201
Test: manual testing
Change-Id: Ib66ef392c19c937718e7101f6d48fac3abe51ad0
Merged-In: Ib66ef392c19c937718e7101f6d48fac3abe51ad0

[automerger] Optimise the hit test algorithm am: 71ecf5bd5c

Change-Id: If1c91f3bc1e785434f153c5bc0d14befbc75e6cb

Optimise the hit test algorithm

Layout#getOffsetForHorizontal was running in O(n^2) time, where n is the
length of the current line. The method is used when a touch event
happens on a text line, to compute the cursor offset (and the character)
where it happened. Although this is not an issue in common usecases,
where the number of characters on a line is relatively small, this can
be very inefficient as a consequence of Unicode containing 0-width
(invisible) characters. Specifically, there are characters defining the
text direction (LTR or RTL), which cause our algorithm to touch the
worst case quadratic runtime. For example, a person is able to send a
message containing a few visible characters, and also a lot of these
direction changing invisible ones. When the receiver touches the message
(causing the Layout#getOffsetForHorizontal method to be called), the
receiver's application would become not responsive.

This CL optimizes the method to run in O(n) worst case. This is achieved
by computing the measurements of all line prefixes at first, which can
be done in a single pass. Then, all the prefix measurement queries will
be answered in O(1), rather than O(n) as it was happening before.

Bug: 79215201
Test: manual testing
Change-Id: Ib66ef392c19c937718e7101f6d48fac3abe51ad0
Merged-In: Ib66ef392c19c937718e7101f6d48fac3abe51ad0

[automerger] Make safe label more safe am: 2263da9539

Change-Id: If833354e5ae2b056de124fe23f0414c7654f6c33

Make safe label more safe

* limit the absolute maximum size of the label to 50000 characters
[which is probably far more than necessary, but, can be dialed down]

* use a string buffer while processing the string [instead of creating
multiple string objects]

Bug: 62537081
Test: Manual. Install APK in bug and see that it can be uninstalled
Change-Id: Ibf63c2691ad7438a123e92110d95b1f50050f8b1
Merged-In: Ibf63c2691ad7438a123e92110d95b1f50050f8b1

[automerger] clearCallingIdentity before calling into getPackageUidAsUser am: 857326e373 am: b1f2848510 am: 884d2c7360 am: 6a42ea18b3 am: 42ded39df8

Change-Id: I315da9ccb85d9e69edf18dd85b7bdf183bd6f738

[automerger] clearCallingIdentity before calling into getPackageUidAsUser am: 857326e373 am: b1f2848510 am: 884d2c7360 am: 6a42ea18b3

Change-Id: If82fd8b2c76bedf089bec4501169417427854b1d

[automerger] clearCallingIdentity before calling into getPackageUidAsUser am: 857326e373 am: b1f2848510 am: 884d2c7360

Change-Id: I0e5ba8adaed2d6247137319262278fac98f467e1

[automerger] clearCallingIdentity before calling into getPackageUidAsUser am: 857326e373 am: b1f2848510

Change-Id: I689d44b6617f0ed949e3f72367980158ea06ad0d

[automerger] clearCallingIdentity before calling into getPackageUidAsUser am: 857326e373

Change-Id: I2166c2f9ca0a6654e1a88b1d183062eb1564c24d

clearCallingIdentity before calling into getPackageUidAsUser

Fix: 70585244
Bug: 69981755

Test: Enable any accessibility service -> inflate work profile
      -> Tap on any work app -> no longer crash

Test: cts-tradefed run cts-dev --module DevicePolicyManager --test com.android.cts.devicepolicy.CrossProfileAppsHostSideTest.testPrimaryUserToManagedProfile
Change-Id: I80d18f4e2ab76a228cb0aa2c8312c323a9b5c84d

[automerger] Nullcheck to fix Autofill CTS am: 6c68a69288 am: 743abb939a am: a99414f51f am: 6b95503960 am: 9e291fe8c2

Change-Id: Ia6ba75b4938ab6d9ec0ffe1bc39b6ce6995a808e

[automerger] Nullcheck to fix Autofill CTS am: 6c68a69288 am: 743abb939a am: a99414f51f am: 6b95503960

Change-Id: Ia3658c17dc890ca2de951da5c701e953ce8c969b

[automerger] Nullcheck to fix Autofill CTS am: 6c68a69288 am: 743abb939a am: a99414f51f

Change-Id: I7aaceff0646a5e738ed862c34645e548aabf62f1

[automerger] Nullcheck to fix Autofill CTS am: 6c68a69288 am: 743abb939a

Change-Id: Ia89ea1adb47be3b70f5db292677c4c19194a04db

[automerger] Nullcheck to fix Autofill CTS am: 6c68a69288

Change-Id: I379d54d926e01da53b637bba6b3b1ee8577cbdbb

Nullcheck to fix Autofill CTS

Test: presubmit
Fixes: 70506475
Bug: 69981755
Change-Id: I187bed4889a4901a7137a2995178ea651ed09186

Merge changes from topic "am-01dfab30-af7a-4b8d-97d8-55bde12588f9-nyc-dev" into nyc-dr1-dev

* changes:
  [automerger] DO NOT MERGE Truncate newline and tab characters in BluetoothDevice name am: b6cde9ecc1
  DO NOT MERGE Truncate newline and tab characters in BluetoothDevice name

Merge "DO NOT MERGE Truncate newline and tab characters in BluetoothDevice name" into nyc-dev

[automerger] DO NOT MERGE Truncate newline and tab characters in BluetoothDevice name am: b6cde9ecc1

Change-Id: I3f951fac78c6e2da84eac511d3b0e19141e90153