Ни одно приложение или служба не должны иметь возможность записывать в /system, поскольку они доступны только для чтения.
Вы можете проверить политики SELinux с помощью инструмента sepolicy-check.
. build/envsetup.sh
lunch
m sepolicy-check
# Check whether system_app can read system_file.
sepolicy-check -s system_app -t system_file -c file -p read -P $OUT/root/sepolicy; echo $?
# Check whether system_app can write system_file.
sepolicy-check -s system_app -t system_file -c file -p write -P $OUT/root/sepolicy; echo $?
Проверка read печатает сообщение Match found! и возвращает 1. Проверка write возвращает только 0, указывая, что правило разрешения не найдено. Поскольку SELinux разрешает только то, что явно разрешено в правиле, запись в /system запрещена для системных приложений.