שינויים בהתנהגות: אפליקציות שמטרגטות ל-Android 14 ואילך

בדומה לגרסאות קודמות, Android 14 כולל שינויים בהתנהגות שעשויים להשפיע על האפליקציה שלכם. שינויי ההתנהגות הבאים רלוונטיים רק לאפליקציות שמטרגטות את Android 14 (רמת API‏ 34) ומעלה. אם האפליקציה שלכם מטרגטת את Android מגרסה 14 ואילך, אתם צריכים לשנות את האפליקציה כדי שהיא תתמוך בהתנהגויות האלה בצורה נכונה, במקרים הרלוונטיים.

חשוב גם לבדוק את רשימת השינויים בהתנהגות שמשפיעים על כל האפליקציות שפועלות ב-Android 14, בלי קשר ל-targetSdkVersion של האפליקציה.

פונקציונליות עיקרית

חובה לציין את סוגי השירותים שפועלים בחזית

If your app targets Android 14 (API level 34) or higher, it must specify at least one foreground service type for each foreground service within your app. You should choose a foreground service type that represents your app's use case. The system expects foreground services that have a particular type to satisfy a particular use case.

If a use case in your app isn't associated with any of these types, it's strongly recommended that you migrate your logic to use WorkManager or user-initiated data transfer jobs.

אכיפה של ההרשאה BLUETOOTH_CONNECT ב-BluetoothAdapter

Android 14 enforces the BLUETOOTH_CONNECT permission when calling the BluetoothAdapter getProfileConnectionState() method for apps targeting Android 14 (API level 34) or higher.

This method already required the BLUETOOTH_CONNECT permission, but it was not enforced. Make sure your app declares BLUETOOTH_CONNECT in your app's AndroidManifest.xml file as shown in the following snippet and check that a user has granted the permission before calling getProfileConnectionState.

<uses-permission android:name="android.permission.BLUETOOTH_CONNECT" />

עדכונים ל-OpenJDK 17

Android 14 continues the work of refreshing Android's core libraries to align with the features in the latest OpenJDK LTS releases, including both library updates and Java 17 language support for app and platform developers.

A few of these changes can affect app compatibility:

• Changes to regular expressions: Invalid group references are now disallowed to more closely follow the semantics of OpenJDK. You might see new cases where an IllegalArgumentException is thrown by the java.util.regex.Matcher class, so make sure to test your app for areas that use regular expressions. To enable or disable this change while testing, toggle the DISALLOW_INVALID_GROUP_REFERENCE flag using the compatibility framework tools.
• UUID handling: The java.util.UUID.fromString() method now does more strict checks when validating the input argument, so you might see an IllegalArgumentException during deserialization. To enable or disable this change while testing, toggle the ENABLE_STRICT_VALIDATION flag using the compatibility framework tools.
• ProGuard issues: In some cases, the addition of the java.lang.ClassValue class causes an issue if you try to shrink, obfuscate, and optimize your app using ProGuard. The problem originates with a Kotlin library that changes runtime behaviour based on whether Class.forName("java.lang.ClassValue") returns a class or not. If your app was developed against an older version of the runtime without the java.lang.ClassValue class available, then these optimizations might remove the computeValue method from classes derived from java.lang.ClassValue.

‫JobScheduler מחזק את ההתנהגות של קריאות חוזרות (callback) ושל הרשת

Since its introduction, JobScheduler expects your app to return from onStartJob or onStopJob within a few seconds. Prior to Android 14, if a job runs too long, the job is stopped and fails silently. If your app targets Android 14 (API level 34) or higher and exceeds the granted time on the main thread, the app triggers an ANR with the error message "No response to onStartJob" or "No response to onStopJob".

This ANR may be a result of 2 scenarios: 1. There is work blocking the main thread, preventing the callbacks onStartJob or onStopJob from executing and completing within the expected time limit. 2. The developer is running blocking work within the JobScheduler callback onStartJob or onStopJob, preventing the callback from completing within the expected time limit.

To address #1, you will need to further debug what is blocking the main thread when the ANR occurs, you can do this using ApplicationExitInfo#getTraceInputStream() to get the tombstone trace when the ANR occurs. If you're able to manually reproduce the ANR, you can record a system trace and inspect the trace using either Android Studio or Perfetto to better understand what is running on the main thread when the ANR occurs. Note that this can happen when using JobScheduler API directly or using the androidx library WorkManager.

To address #2, consider migrating to WorkManager, which provides support for wrapping any processing in onStartJob or onStopJob in an asynchronous thread.

JobScheduler also introduces a requirement to declare the ACCESS_NETWORK_STATE permission if using setRequiredNetworkType or setRequiredNetwork constraint. If your app does not declare the ACCESS_NETWORK_STATE permission when scheduling the job and is targeting Android 14 or higher, it will result in a SecurityException.

Tiles launch API

באפליקציות שמיועדות ל-Android 14 ואילך, השימוש ב-TileService#startActivityAndCollapse(Intent) הוצא משימוש ועכשיו הוא גורם להשלכת חריגה כשמנסים להפעיל אותו. אם האפליקציה מפעילה פעילויות מכרטיסי מידע, משתמשים TileService#startActivityAndCollapse(PendingIntent) במקום זאת.

פרטיות

גישה חלקית לתמונות ולסרטונים

Android 14 introduces Selected Photos Access, which allows users to grant apps access to specific images and videos in their library, rather than granting access to all media of a given type.

This change is only enabled if your app targets Android 14 (API level 34) or higher. If you don't use the photo picker yet, we recommend implementing it in your app to provide a consistent experience for selecting images and videos that also enhances user privacy without having to request any storage permissions.

If you maintain your own gallery picker using storage permissions and need to maintain full control over your implementation, adapt your implementation to use the new READ_MEDIA_VISUAL_USER_SELECTED permission. If your app doesn't use the new permission, the system runs your app in a compatibility mode.

חוויית משתמש

התראות מאובטחות לגבי Intent במסך מלא

בגרסה Android 11 (רמת API‏ 30), כל אפליקציה יכולה להשתמש ב-Notification.Builder.setFullScreenIntent כדי לשלוח הודעות Intents במסך מלא כשהטלפון נעול. כדי להעניק את ההרשאה הזו באופן אוטומטי בהתקנת האפליקציה, צריך להצהיר על ההרשאה USE_FULL_SCREEN_INTENT בקובץ AndroidManifest.

התראות Intent שמוצגות במסך מלא מיועדות להתראות בעדיפות גבוהה במיוחד שדורשות את תשומת הלב המיידית של המשתמש, כמו שיחה נכנסת או הגדרות של שעון מעורר שהמשתמש הגדיר. באפליקציות שמטרגטות ל-Android 14 (רמת API 34) ואילך, האפליקציות שמורשות להשתמש בהרשאה הזו מוגבלות לאפליקציות שמספקות שיחות והתראות בלבד. חנות Google Play מבטלת את ההרשאות USE_FULL_SCREEN_INTENT שמוגדרות כברירת מחדל בכל אפליקציה שלא מתאימה לפרופיל הזה. מועד היעד לביצוע השינויים האלה במדיניות הוא 31 במאי 2024.

ההרשאה הזו תישאר מופעלת לאפליקציות שהותקנו בטלפון לפני שהמשתמש יעדכן ל-Android 14. המשתמשים יכולים להפעיל או להשבית את ההרשאה הזו.

אפשר להשתמש ב-API החדש NotificationManager.canUseFullScreenIntent כדי לבדוק אם לאפליקציה יש את ההרשאה. אם לא, האפליקציה יכולה להשתמש בכוונה החדשה ACTION_MANAGE_APP_USE_FULL_SCREEN_INTENT כדי להפעיל את דף ההגדרות שבו המשתמשים יכולים להעניק את ההרשאה.

אבטחה

הגבלות על כוונות משתמש מרומזות וכאלה שממתינות לאישור

באפליקציות שמטרגטות ל-Android 14 (רמת API ‏34) ואילך, מערכת Android מגבילה את היכולת של האפליקציות לשלוח כוונות משתמשים מרומזות לרכיבים פנימיים של האפליקציה בדרכים הבאות:

• כוונות משתמשים מרומזות מועברות רק לרכיבים שיוצאו. אפליקציות צריכות להשתמש ב-Intent מפורש כדי לשלוח נתונים לרכיבים שלא יוצאו, או לסמן את הרכיב כמיוצא.
• אם אפליקציה יוצרת PendingIntent שניתנים לשינוי עם כוונה שלא מציינת רכיב או חבילה, המערכת מקפיצה הודעת שגיאה (throw) לחריגה.

השינויים האלה מונעים מאפליקציות זדוניות ליירט כוונות מרומזות שנועדו לשימוש ברכיבים הפנימיים של האפליקציה.

לדוגמה, לפניכם מסנן כוונת רכישה שאפשר להצהיר בקובץ המניפסט של האפליקציה:

<activity
    android:name=".AppActivity"
    android:exported="false">
    <intent-filter>
        <action android:name="com.example.action.APP_ACTION" />
        <category android:name="android.intent.category.DEFAULT" />
    </intent-filter>
</activity>

אם האפליקציה ניסתה להפעיל את הפעילות הזו מתוך כוונה מרומזת, המערכת תבטל את החריגה ActivityNotFoundException:

// Throws an ActivityNotFoundException exception when targeting Android 14.
context.startActivity(Intent("com.example.action.APP_ACTION"))

// Throws an ActivityNotFoundException exception when targeting Android 14.
context.startActivity(new Intent("com.example.action.APP_ACTION"));

כדי להפעיל את הפעילות שלא יוצאה, האפליקציה צריכה להשתמש ב-Intent מפורש:

// This makes the intent explicit.
val explicitIntent =
        Intent("com.example.action.APP_ACTION")
explicitIntent.apply {
    package = context.packageName
}
context.startActivity(explicitIntent)

// This makes the intent explicit.
Intent explicitIntent =
        new Intent("com.example.action.APP_ACTION")
explicitIntent.setPackage(context.getPackageName());
context.startActivity(explicitIntent);

מקלטי שידורים שרשומים בזמן ריצה חייבים לציין את התנהגות הייצוא

Apps and services that target Android 14 (API level 34) or higher and use context-registered receivers are required to specify a flag to indicate whether or not the receiver should be exported to all other apps on the device: either RECEIVER_EXPORTED or RECEIVER_NOT_EXPORTED, respectively. This requirement helps protect apps from security vulnerabilities by leveraging the features for these receivers introduced in Android 13.

Exception for receivers that receive only system broadcasts

If your app is registering a receiver only for system broadcasts through Context#registerReceiver methods, such as Context#registerReceiver(), then it shouldn't specify a flag when registering the receiver.

טעינה בטוחה יותר של קוד דינמי

אם האפליקציה מטרגטת את Android 14 (רמת API 34) ואילך ומשתמשת בקוד דינמי מתבצעת טעינה (DCL), כל הקבצים שנטענים באופן דינמי צריכים להיות מסומנים לקריאה בלבד. אחרת, המערכת גורמת לחריגה. מומלץ להימנע הקוד בטעינה באופן דינמי כשהדבר אפשרי, כי הוא מגדיל באופן משמעותי את הסיכון שאפליקציה נפגעו על ידי החדרת קוד או פגיעה בקוד.

אם אתם חייבים לטעון קוד באופן דינמי, השתמשו בגישה הבאה כדי להגדיר קובץ שנטען באופן דינמי (כמו קובץ DEX, JAR או APK) לקריאה בלבד בהקדם בזמן שהקובץ נפתח ולפני שנכתב תוכן כלשהו:

val jar = File("DYNAMICALLY_LOADED_FILE.jar")
val os = FileOutputStream(jar)
os.use {
    // Set the file to read-only first to prevent race conditions
    jar.setReadOnly()
    // Then write the actual file content
}
val cl = PathClassLoader(jar, parentClassLoader)

File jar = new File("DYNAMICALLY_LOADED_FILE.jar");
try (FileOutputStream os = new FileOutputStream(jar)) {
    // Set the file to read-only first to prevent race conditions
    jar.setReadOnly();
    // Then write the actual file content
} catch (IOException e) { ... }
PathClassLoader cl = new PathClassLoader(jar, parentClassLoader);

טיפול בקבצים שנטענים באופן דינמי שכבר קיימים

כדי למנוע השלכה של חריגים לגבי קבצים קיימים שנטענים באופן דינמי, מומלץ למחוק וליצור מחדש את הקבצים לפני שמנסים לבצע לטעון אותם שוב באפליקציה. כשיוצרים מחדש את הקבצים, פועלים לפי השלבים הבאים הנחיות לסימון הקבצים לקריאה בלבד בזמן הכתיבה. לחלופין, אפשר לסמן מחדש את הקבצים הקיימים כ'לקריאה בלבד', אבל במקרה הזה, אנחנו מאוד ממליצים מומלץ לבדוק קודם את תקינות הקבצים (לדוגמה, בדיקת חתימת הקובץ מול ערך מהימן), כדי להגן על האפליקציה מפעולות זדוניות.

הגבלות נוספות על התחלת פעילויות מהרקע

באפליקציות שמטרגטות ל-Android 14 (רמת API 34) ומעלה, המערכת מגבילה עוד יותר את הזמנים שבהם אפליקציות יכולות להתחיל פעילויות מהרקע:

• כשאפליקציה שולחת PendingIntent באמצעות PendingIntent#send() או שיטות דומות, היא צריכה להביע הסכמה אם היא רוצה להעניק לעצמה הרשאות להפעלת פעילות ברקע כדי להפעיל את ה-Intent בהמתנה. כדי להביע הסכמה, האפליקציה צריכה להעביר חבילת ActivityOptions עם setPendingIntentBackgroundActivityStartMode(MODE_BACKGROUND_ACTIVITY_START_ALLOWED).
• כשאפליקציה גלויה מקשרת שירות של אפליקציה אחרת שנמצאת ברקע באמצעות השיטה bindService(), האפליקציה הגלויה צריכה להביע הסכמה אם היא רוצה להעניק לשירות המקושר את ההרשאות שלה להפעלת פעילות ברקע. כדי להביע הסכמה, האפליקציה צריכה לכלול את הדגל BIND_ALLOW_ACTIVITY_STARTS בקריאה לשיטה bindService().

השינויים האלה מרחיבים את קבוצת ההגבלות הקיימת כדי להגן על המשתמשים. הם מונעים מאפליקציות זדוניות לנצל לרעה ממשקי API כדי להפעיל פעילויות מפריעות מהרקע.

Zip path traversal

For apps targeting Android 14 (API level 34) or higher, Android prevents the Zip Path Traversal Vulnerability in the following way: ZipFile(String) and ZipInputStream.getNextEntry() throws a ZipException if zip file entry names contain ".." or start with "/".

Apps can opt-out from this validation by calling dalvik.system.ZipPathValidator.clearCallback().

דרושה הסכמת משתמשים לכל סשן של לכידת MediaProjection

באפליקציות שמיועדות ל-Android 14 (רמת API ‏34) ואילך, MediaProjection#createVirtualDisplay יוצרת את השגיאה SecurityException באחת מהתרחישים הבאים:

• האפליקציה שומרת במטמון את הערך Intent שמוחזר מ-MediaProjectionManager#createScreenCaptureIntent, ומעבירה אותו כמה פעמים אל MediaProjectionManager#getMediaProjection.
• האפליקציה מפעילה את MediaProjection#createVirtualDisplay כמה פעמים באותה מכונה של MediaProjection.

האפליקציה שלכם צריכה לבקש מהמשתמש להביע הסכמה לפני כל סשן צילום. סשן צילום יחיד הוא קריאה יחידה ל-MediaProjection#createVirtualDisplay, וצריך להשתמש בכל מכונה של MediaProjection רק פעם אחת.

טיפול בשינויים בתצורה

אם האפליקציה צריכה להפעיל את MediaProjection#createVirtualDisplay כדי לטפל בשינויים בתצורה (כמו שינוי כיוון המסך או גודל המסך), תוכלו לפעול לפי השלבים הבאים כדי לעדכן את VirtualDisplay למכונה הקיימת של MediaProjection:

1. קוראים ל-VirtualDisplay#resize עם הרוחב והגובה החדשים.
2. מספקים Surface חדש עם הרוחב והגובה החדשים ל-VirtualDisplay#setSurface.

רישום של קריאה חוזרת

האפליקציה צריכה לרשום קריאה חוזרת (callback) כדי לטפל במקרים שבהם המשתמש לא נותן הסכמה להמשך סשן הצילום. כדי לעשות זאת, מטמיעים את Callback#onStop ומאפשרים לאפליקציה לשחרר את המשאבים הקשורים (כמו VirtualDisplay ו-Surface).

אם האפליקציה לא תירשם את קריאת החזרה (callback) הזו, MediaProjection#createVirtualDisplay תשליך IllegalStateException כשהאפליקציה תפעיל אותה.

הגבלות שאינן קשורות ל-SDK עודכנו

‫Android 14 כולל רשימות מעודכנות של ממשקי non-SDK מוגבלים, שמבוססות על שיתוף פעולה עם מפתחי Android ועל הבדיקות הפנימיות האחרונות. כשאפשר, אנחנו מוודאים שיש חלופות ציבוריות לפני שאנחנו מגבילים ממשקים שאינם ב-SDK.

אם האפליקציה שלכם לא מטרגטת ל-Android 14, יכול להיות שחלק מהשינויים האלה לא ישפיעו עליכם באופן מיידי. עם זאת, למרות שאתם יכולים כרגע להשתמש בממשקים מסוימים שאינם SDK (בהתאם לרמת ה-API לטירגוט של האפליקציה), שימוש בכל שיטה או שדה שאינם SDK תמיד כרוך בסיכון גבוה להפסקת הפעולה של האפליקציה.

אם אתם לא בטוחים אם האפליקציה שלכם משתמשת בממשקים שאינם SDK, אתם יכולים לבצע בדיקה של האפליקציה כדי לגלות זאת. אם האפליקציה שלכם מסתמכת על ממשקים שאינם SDK, כדאי להתחיל לתכנן מעבר לחלופות SDK. עם זאת, אנחנו מבינים שיש אפליקציות שבהן יש תרחישי שימוש לגיטימיים בממשקים שאינם SDK. אם אין לכם אפשרות להשתמש בממשק חלופי במקום בממשק שאינו ב-SDK עבור תכונה באפליקציה, עליכם לבקש ממשק API ציבורי חדש.

מידע נוסף על השינויים בגרסה הזו של Android זמין במאמר עדכונים להגבלות על ממשקים שאינם SDK ב-Android 14. מידע נוסף על ממשקים שאינם ב-SDK זמין במאמר הגבלות על ממשקים שאינם ב-SDK.