以下是针对 2025 年 Android 15 GMS 新政策 及完整的 CDD(Compatibility Definition Document)检查规范,结合历史政策对比与落地操作指南。
第一部分:2025 Android 15 GMS 新政策核心变化
一、强制性政策更新
| 政策领域 | 2025 新增要求 | 历史政策对比(2023/2024) |
|---|
| Verified Boot 摘要验证 | 全设备强制实施 VBMeta Digest 校验,任何不一致将无法通过 Google Play 认证。 | 2024 年仅建议性实施,允许例外(如安全应急修复)。 |
| 动态分区 OTA 限制 | super 分区的子分区(如 system_ext)禁止通过 OTA 修改哈希链。 | 允许动态分区内容增量更新。 |
| 硬件安全模块 | 所有设备必须集成 TEE(可信执行环境)或 HSM(硬件安全模块)存储密钥。 | 仅建议中高端设备提供硬件安全存储。 |
| 隐私沙盒集成 | 强制启用 Android Privacy Sandbox,禁止使用第三方广告 ID(取代 AAID)。 | 2023 年测试性试点,2024 年部分机型强制要求。 |
| 内核实时监控 | 内核必须启用 KRS(Kernel Runtime Security),实时拦截未签名模块加载。 | 2024 年要求内核支持,2025 年强制激活。 |
二、兼容性要求升级
| 功能模块 | 2025 新要求 | CDD 章节参考 |
|---|
| 摄像头安全 | 摄像头驱动必须支持 Secure Camera HAL,防止未授权应用访问 RAW 数据流。 | CDD 7.3.9(硬件安全扩展) |
| 生物识别 | 指纹/人脸识别需符合 FIDO2 协议,本地匹配失败次数超过 5 次强制擦除生物模板数据。 | CDD 7.3.4(生物识别框架) |
| 网络共享 | 移动热点必须支持 WPA3-Enterprise 加密,默认关闭 WPA2-PSK。 | CDD 7.4.5(网络连接性) |
| 无障碍服务 | 辅助功能应用必须声明最小化数据收集,禁止通过 AccessibilityService 获取用户输入。 | CDD 3.8(无障碍) |
三、开发者生态调整
| 政策方向 | 2025 变更内容 |
|---|
| Target API 要求 | 所有预装应用必须针对 Android 15(API Level 35)编译,低于此版本的应用将被下架。 |
| 数据主权声明 | 必须在 AndroidManifest.xml 中声明数据存储区域(如中国用户数据仅存于境内服务器)。 |
| 广告追踪限制 | 除 Privacy Sandbox 外,禁止通过 ANDROID_ID 或 MAC 地址进行跨应用用户追踪。 |
第二部分:完整 GMS CDD 检查规范(2025 年更新版)
一、硬件兼容性检查
| 类别 | 检查项 | 验证方法 |
|---|
| 处理器架构 | 必须为 ARMv9-A 64 位,禁止 32 位兼容模式。 | 检查 /proc/cpuinfo,确认无 armeabi-v7a 支持。 |
| 内存与存储 | 最低 4GB RAM + 64GB 存储,支持 UFS 3.1 或更高协议。 | 通过 ActivityManager.MemoryInfo 获取 RAM 数据。 |
| 安全芯片 | 必须集成独立安全元件(SE)或符合 TEE 3.0 标准的可信执行环境。 | 运行 Keymaster 4.1 HAL 测试套件。 |
| 传感器校准 | 加速度计、陀螺仪需通过 NIST 800-90B 随机性测试。 | 使用 sensor_test 工具采集数据并统计熵值。 |
二、软件与 API 合规性
系统框架
| 检查项 | 合规标准 | 测试命令 |
|---|
| SELinux 策略 | 强制模式(Enforcing)无任何宽容规则。 | getenforce 返回 Enforcing。 |
| Project Mainline 模块 | 必须包含至少 12 个可更新模块(如 DNS、WiFi)。 | pm list modules 验证模块列表。 |
| 隐私沙盒集成 | 默认启用 Topics API 和 FLEDGE 框架。 | 检查 settings.Global.PRIVACY_SANDBOX_ENABLED=1。 |
API 一致性
| API 类型 | 检查项 | 测试工具 |
|---|
| 公共 API | 所有 @SystemApi 接口必须返回符合 CDD 的默认值,禁止修改行为。 | 运行 atest 中的 API 兼容性测试。 |
| 隐藏 API(@hide) | 禁止厂商应用调用非 SDK 接口(白名单外)。 | 使用 veridex 工具扫描 APK。 |
| HIDL/AIDL 接口 | 必须支持 Google 定义的扩展接口(如 IExtendedNetworkService.aidl)。 | 通过 dumpsys 验证服务状态。 |
三、安全与认证
启动验证
| 检查项 | 合规要求 | 验证方法 |
|---|
| AVB 2.0 实现 | 所有分区(包括 userdata)需启用 dm-verity。 | avbtool info_image 检查哈希描述符。 |
| 回滚保护(Rollback Protection) | 回滚版本必须低于当前设备的 Anti-Rollback 版本号。 | 触发 OTA 降级并验证启动失败。 |
数据加密
| 检查项 | 合规要求 | 验证方法 |
|---|
| 文件级加密(FBE) | 必须启用 metadata_csum 和 64bit 特性。 | 检查 /data/.fbe_metadata 标志位。 |
| 密钥派生 | 使用 AES-256-XTS 加密算法,禁止 ECB 模式。 | 通过 vold 日志验证加密参数。 |
四、用户体验与预装应用
GMS 应用集成
| 检查项 | 合规要求 | 验证方法 |
|---|
| Play Store 版本 | 必须预装最新稳定版(≥ v38.0),禁用降级。 | `pm list packages |
| 默认搜索引擎 | 必须提供用户首次启动时选择搜索引擎的界面。 | 检查 DefaultSearchPickerDialog 活动是否存在。 |
系统应用管理
| 检查项 | 合规要求 | 验证方法 |
|---|
| 可卸载应用 | 非 GMS 应用必须允许用户卸载。 | 尝试卸载应用,检查 pm uninstall 返回值。 |
| 后台限制 | 非白名单应用禁止在后台启动 Service。 | 使用 dumpsys activity processes 监控后台进程。 |
第三部分:新旧政策对比与迁移指南
一、认证流程变化
| 环节 | 2024 年政策 | 2025 年新要求 | 迁移建议 |
|---|
| 测试报告提交 | 允许上传修改后的 CTS 结果(最多 3 次修复)。 | 首次提交必须通过全部测试项,禁止修改后补传。 | 增加本地自动化测试覆盖率至 100%。 |
| 工厂审核 | 远程视频审核 + 关键参数抽检。 | 必须现场审核,覆盖全部产线。 | 提前准备生产环境文档,优化产线透明度。 |
二、违规处理升级
| 违规行为 | 2024 年处罚 | 2025 年处罚 | 风控策略 |
|---|
| VBMeta 篡改 | Google Play 服务降级警告。 | 设备无法激活,Play Protect 强制锁定。 | 构建流程中集成摘要校验,阻断非法签名。 |
| 隐私数据泄漏 | 应用下架,厂商整改后恢复。 | 厂商罚款(GMS 授权费 3 倍),全球召回设备。 | 引入第三方隐私审计工具(如 OneTrust)。 |
第四部分:企业合规操作清单
一、开发阶段
-
硬件定型
-
系统构建
二、测试阶段
-
自动化测试集成:
cts-tradefed run cts --plan CTS --disable-reboot
gts-tradefed run gts --plan GTS --module-arg GoogleSampleTest:include-annotation=android.platform.test.annotations.Presubmit
-
摘要预校验脚本:
APPROVED_DIGEST=$(cat google_approved_digest.txt)
CURRENT_DIGEST=$(avbtool calculate_vbmeta_digest --image vbmeta.img)
[ "$CURRENT_DIGEST" = "$APPROVED_DIGEST" ] || exit 1
三、量产与维护
总结:2025 年 GMS 政策的核心是 强化设备生命周期内的可信验证。方案公司需从硬件选型、代码管理到量产交付全链路实施自动化合规控制,并通过密钥熔断、零日补丁等机制降低风险。
扫一扫
2868
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
