解决ICS40上设置APN无权限问题

在ICS40以前的版本中，如果程序需要设置APN，只需要在AndroidManifest文件中声明<uses-permission android:name="android.permission.WRITE_APN_SETTINGS"></uses-permission>这个权限即可。在40的机器上运行则会抛出以下异常：java.lang.SecurityException: No permission to write APN settings: Neither user *** nor current process has android.permission.WRITE_APN_SETTINGS.

原因是google基于安全性考虑屏蔽了第三方应用对于APN的访问权限，网上有人说把程序设为系统app即可。通过adb push命令将apk放到/system/app/目录下确实可行，但是大多数app都是作为第三方应用，这样的可行性不大。因此利用系统签名来使app具有APN访问权限。

第一个方法简单点，不过需要在Android系统源码的环境下用make来编译：

1. 在应用程序的AndroidManifest.xml中的manifest节点中加入android:sharedUserId="android.uid.system"这个属性。

2. 修改Android.mk文件，加入LOCAL_CERTIFICATE := platform这一行

3. 使用mm命令来编译，生成的apk就有修改系统时间的权限了。

第二个方法麻烦点，不过不用开虚拟机跑到源码环境下用make来编译：

1. 同上，加入android:sharedUserId="android.uid.system"这个属性。

2. 使用eclipse编译出apk文件，但是这个apk文件是不能用的。

3. 用压缩软件打开apk文件，删掉META-INF目录下的CERT.SF和CERT.RSA两个文件。

4. 使用目标系统的platform密钥来重新给apk文件签名。这步比较麻烦，首先找到密钥文件，在我的Android源码目录中的位置 是"build\target\product\security"，下面的platform.pk8和platform.x509.pem两个文件。然 后用Android提供的Signapk工具来签名，signapk的源代码是在"build\tools\signapk"下，用法为java -jar signapk.jar platform.x509.pem platform.pk8 ***.apk ***_signed.apk 得到具有对应权限的APK.

工具和密钥下载地址：http://download.csdn.net/detail/bulkin/4329253

这样最后得到的apk和第一个方法是一样的。

最后解释一下原理，首先加入android:sharedUserId="android.uid.system"这个属性。通过Shared User id,拥有同一个User id的多个APK可以配置成运行在同一个进程中。那么把程序的UID配成android.uid.system，也就是要让程序运行在系统进程中，这样就 有权限来修改系统时间了。

只是加入UID还不够，如果这时候安装APK的话发现无法安装，提示签名不符，原因是程序想要运行在系统进程中还要有目标系统的platform. key，就是上面第二个方法提到的platform.pk8和platform.x509.pem两个文件。用这两个key签名后apk才真正可以放入系 统进程中。第一个方法中加入LOCAL_CERTIFICATE := platform其实就是用这两个key来签名。

这也有一个问题，就是这样生成的程序只有在原始的Android系统或者是自己编译的系统中才可以用，因为这样的系统才可以拿到platform.pk8 和platform.x509.pem两个文件。要是别家公司做的Android上连安装都安装不了。试试原始的Android中的key来签名，程序在 模拟器上运行OK，不过放到G3上安装直接提示"Package ... has no signatures that match those in shared user android.uid.system"，这样也是保护了系统的安全。

最最后还说下，这个android:sharedUserId属性不只可以把apk放到系统进程中，也可以配置多个APK运行在一个进程中，这样可以共享数据，应该会很有用的。