Giống như các bản phát hành trước, Android 16 có các thay đổi về hành vi có thể ảnh hưởng đến ứng dụng của bạn. Những thay đổi về hành vi sau đây chỉ áp dụng cho các ứng dụng nhắm đến Android 16 trở lên. Nếu ứng dụng của bạn nhắm đến Android 16 trở lên, bạn nên điều chỉnh ứng dụng để hỗ trợ những hành vi này (nếu cần).
Ngoài ra, hãy nhớ tham khảo danh sách các thay đổi về hành vi ảnh hưởng đến tất cả ứng dụng chạy trên Android 16 bất kể targetSdkVersion của ứng dụng.
Trải nghiệm người dùng và giao diện người dùng hệ thống
Android 16 (cấp độ API 36) có những thay đổi sau đây nhằm tạo ra trải nghiệm người dùng nhất quán và trực quan hơn.
Lựa chọn không sử dụng chế độ tràn viền sẽ không còn nữa
Android 15 enforced edge-to-edge for apps targeting Android 15 (API
level 35), but your app could opt-out by setting
R.attr#windowOptOutEdgeToEdgeEnforcement to true. For apps
targeting Android 16 (API level 36),
R.attr#windowOptOutEdgeToEdgeEnforcement is deprecated and disabled, and your
app can't opt-out of going edge-to-edge.
- If your app targets Android 16 (API level 36) and is running on an
Android 15 device,
R.attr#windowOptOutEdgeToEdgeEnforcementcontinues to work. - If your app targets Android 16 (API level 36) and is running on an
Android 16 device,
R.attr#windowOptOutEdgeToEdgeEnforcementis disabled.
For testing in Android 16, ensure your app supports edge-to-edge and
remove any use of R.attr#windowOptOutEdgeToEdgeEnforcement so that your app
also supports edge-to-edge on an Android 15 device. To support edge-to-edge,
see the Compose and Views guidance.
Bạn phải di chuyển hoặc chọn không sử dụng tính năng xem trước thao tác quay lại
For apps targeting Android 16 (API level 36) or higher and running on an
Android 16 or higher device, the predictive back system animations
(back-to-home, cross-task, and cross-activity) are enabled by default.
Additionally, onBackPressed is not called and
KeyEvent.KEYCODE_BACK is not dispatched anymore.
If your app intercepts the back event and you haven't migrated to predictive
back yet, update your app to use supported back navigation APIs, or
temporarily opt out by setting the
android:enableOnBackInvokedCallback attribute to false in the
<application> or <activity> tag of your app's AndroidManifest.xml file.
Các API phông chữ Elegant không được dùng nữa và bị vô hiệu hoá
Apps targeting Android 15 (API level 35) have the
elegantTextHeight
TextView attribute set to true by
default, replacing the compact font with one that is much more readable. You
could override this by setting the elegantTextHeight attribute to false.
Android 16 deprecates the
elegantTextHeight attribute,
and the attribute will be ignored once your app targets Android 16. The "UI
fonts" controlled by these APIs are being discontinued, so you should adapt any
layouts to ensure consistent and future proof text rendering in Arabic, Lao,
Myanmar, Tamil, Gujarati, Kannada, Malayalam, Odia, Telugu or Thai.
elegantTextHeight behavior for apps targeting Android
14 (API level 34) and lower, or for apps targeting Android 15 (API level 35)
that overrode the default by setting the elegantTextHeight
attribute to false.
elegantTextHeight behavior for apps targeting Android
16 (API level 36), or for apps targeting Android 15 (API level 35) that didn't
override the default by setting the elegantTextHeight attribute
to false.Chức năng cốt lõi
Android 16 (cấp độ API 36) có những thay đổi sau đây nhằm sửa đổi hoặc mở rộng nhiều chức năng cốt lõi của hệ thống Android.
Tối ưu hoá lịch làm việc theo mức giá cố định
Prior to targeting Android 16, when scheduleAtFixedRate
missed a task execution due to being outside a valid
process lifecycle, all missed executions immediately
execute when the app returns to a valid lifecycle.
When targeting Android 16, at most one missed execution of
scheduleAtFixedRate is immediately executed when the app
returns to a valid lifecycle. This behavior change is expected to improve app
performance. Test this behavior in your app to check if your app is impacted.
You can also test by using the app compatibility framework
and enabling the STPE_SKIP_MULTIPLE_MISSED_PERIODIC_TASKS compat flag.
Kiểu dáng thiết bị
Android 16 (cấp độ API 36) có những thay đổi sau đây đối với các ứng dụng khi hiển thị trên thiết bị có màn hình lớn.
Bố cục thích ứng (Adaptive Layouts)
With Android apps now running on a variety of devices (such as phones, tablets, foldables, desktops, cars, and TVs) and windowing modes on large screens (such as split screen and desktop windowing), developers should build Android apps that adapt to any screen and window size, regardless of device orientation. Paradigms like restricting orientation and resizability are too restrictive in today's multidevice world.
Ignore orientation, resizability, and aspect ratio restrictions
For apps targeting Android 16 (API level 36), orientation, resizability, and aspect ratio restrictions no longer apply on displays with smallest width >= 600dp. Apps fill the entire display window, regardless of aspect ratio or a user's preferred orientation, and pillarboxing isn't used.
This change introduces a new standard platform behavior. Android is moving toward a model where apps are expected to adapt to various orientations, display sizes, and aspect ratios. Restrictions like fixed orientation or limited resizability hinder app adaptability. Make your app adaptive to deliver the best possible user experience.
You can also test this behavior by using the
app compatibility framework and enabling the
UNIVERSAL_RESIZABLE_BY_DEFAULT compat flag.
Common breaking changes
Ignoring orientation, resizability, and aspect ratio restrictions might impact your app's UI on some devices, especially elements that were designed for small layouts locked in portrait orientation: for example, issues like stretched layouts and off-screen animations and components. Any assumptions about aspect ratio or orientation can cause visual issues with your app. Learn more about how to avoid them and improve your app's adaptive behaviour.
Allowing device rotation results in more activity re-creation, which can result in losing user state if not properly preserved. Learn how to correctly save UI state in Save UI states.
Implementation details
The following manifest attributes and runtime APIs are ignored across large screen devices in full-screen and multi-window modes:
screenOrientationresizableActivityminAspectRatiomaxAspectRatiosetRequestedOrientation()getRequestedOrientation()
The following values for screenOrientation, setRequestedOrientation(), and
getRequestedOrientation() are ignored:
portraitreversePortraitsensorPortraituserPortraitlandscapereverseLandscapesensorLandscapeuserLandscape
Regarding display resizability, android:resizeableActivity="false",
android:minAspectRatio, and android:maxAspectRatio have no effect.
For apps targeting Android 16 (API level 36), app orientation, resizability, and aspect ratio constraints are ignored on large screens by default, but every app that isn't fully ready can temporarily override this behavior by opting out (which results in the previous behavior of being placed in compatibility mode).
Exceptions
The Android 16 orientation, resizability, and aspect ratio restrictions don't apply in the following situations:
- Games (based on the
android:appCategoryflag) - Users explicitly opting in to the app's default behavior in aspect ratio settings of the device
- Screens that are smaller than
sw600dp
Opt out temporarily
To opt out a specific activity, declare the
PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY manifest property:
<activity ...>
<property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
...
</activity>
If too many parts of your app aren't ready for Android 16, you can opt out completely by applying the same property at the application level:
<application ...>
<property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
</application>
Sức khoẻ và thể chất
Android 16 (cấp độ API 36) có những thay đổi sau đây liên quan đến dữ liệu về sức khoẻ và thể chất.
Quyền đối với dữ liệu về sức khoẻ và thể dục
Đối với các ứng dụng nhắm đến Android 16 (API cấp 36) trở lên,
BODY_SENSORS quyền sử dụng các quyền chi tiết hơn
trong android.permissions.health. Health Connect
cũng sử dụng các quyền này. Kể từ Android 16, mọi API trước đây yêu cầu quyền BODY_SENSORS
hoặc BODY_SENSORS_BACKGROUND đều yêu cầu quyền tương ứng
android.permissions.health. Điều này ảnh hưởng đến các loại dữ liệu, API và loại dịch vụ trên nền trước sau đây:
HEART_RATE_BPMtừ Dịch vụ sức khoẻ trên Wear OSSensor.TYPE_HEART_RATEtừ Trình quản lý cảm biến AndroidheartRateAccuracyvàheartRateBpmtừProtoLayouttrên Wear OSFOREGROUND_SERVICE_TYPE_HEALTHtrong đó cần có quyềnandroid.permission.healthtương ứng thay choBODY_SENSORS
Nếu sử dụng các API này, ứng dụng của bạn nên yêu cầu các quyền chi tiết tương ứng:
- Đối với việc theo dõi Nhịp tim, Độ bão hoà oxy hoặc Nhiệt độ trên da khi đang sử dụng:
hãy yêu cầu quyền thật chi tiết trong
android.permissions.health, chẳng hạn nhưREAD_HEART_RATEthay vìBODY_SENSORS. - Đối với quyền truy cập vào cảm biến nền: hãy yêu cầu
READ_HEALTH_DATA_IN_BACKGROUNDthay vìBODY_SENSORS_BACKGROUND.
Các quyền này giống như những quyền bảo vệ quyền truy cập để đọc dữ liệu từ Health Connect, kho lưu trữ dữ liệu Android cho dữ liệu về sức khoẻ, thể dục và thể chất.
Ứng dụng trên điện thoại di động
Các ứng dụng trên điện thoại di động di chuyển để sử dụng READ_HEART_RATE và các quyền chi tiết khác cũng phải khai báo một hoạt động để hiển thị chính sách quyền riêng tư của ứng dụng. Đây là yêu cầu giống như Health Connect.
Khả năng kết nối
Android 16 (cấp độ API 36) bao gồm các thay đổi sau trong ngăn xếp Bluetooth để cải thiện khả năng kết nối với các thiết bị ngoại vi.
Các ý định mới để xử lý tình trạng mất liên kết và thay đổi chế độ mã hoá
Trong phần Cải thiện khả năng xử lý việc mất liên kết, Android 16 cũng giới thiệu 2 ý định mới để giúp ứng dụng nhận biết rõ hơn về việc mất liên kết và các thay đổi về mã hoá.
Ứng dụng nhắm đến Android 16 hiện có thể:
- Nhận ý định
ACTION_KEY_MISSINGkhi phát hiện mất liên kết từ xa, cho phép họ cung cấp ý kiến phản hồi chi tiết hơn cho người dùng và thực hiện các hành động thích hợp. - Nhận ý định
ACTION_ENCRYPTION_CHANGEbất cứ khi nào trạng thái mã hoá của đường liên kết thay đổi. Điều này bao gồm thay đổi trạng thái mã hoá, thay đổi thuật toán mã hoá và thay đổi kích thước khoá mã hoá. Các ứng dụng phải xem xét việc khôi phục liên kết nếu đường liên kết được mã hoá thành công sau khi nhận được ý địnhACTION_ENCRYPTION_CHANGE.
Điều chỉnh cho phù hợp với nhiều cách triển khai của nhà sản xuất thiết bị gốc (OEM)
Mặc dù Android 16 giới thiệu các ý định mới này, nhưng cách triển khai và truyền tin của các ý định này có thể khác nhau tuỳ theo nhà sản xuất thiết bị gốc (OEM). Để đảm bảo ứng dụng của bạn mang lại trải nghiệm nhất quán và đáng tin cậy trên tất cả thiết bị, nhà phát triển nên thiết kế cách xử lý việc mất liên kết để thích ứng linh hoạt với những biến thể tiềm ẩn này.
Bạn nên áp dụng các hành vi sau đây cho ứng dụng:
Nếu ý định
ACTION_KEY_MISSINGđược truyền tin:Hệ thống sẽ ngắt kết nối liên kết ACL (Không có kết nối không đồng bộ), nhưng thông tin liên kết cho thiết bị sẽ được giữ lại (như mô tả tại đây).
Ứng dụng của bạn nên sử dụng ý định này làm tín hiệu chính để phát hiện mất liên kết và hướng dẫn người dùng xác nhận thiết bị từ xa nằm trong phạm vi trước khi bắt đầu quên thiết bị hoặc ghép nối lại.
Nếu một thiết bị ngắt kết nối sau khi nhận được
ACTION_KEY_MISSING, thì ứng dụng của bạn nên thận trọng khi kết nối lại, vì thiết bị có thể không còn liên kết với hệ thống nữa.Nếu ý định
ACTION_KEY_MISSINGKHÔNG được truyền tin:Đường liên kết ACL sẽ vẫn được kết nối và hệ thống sẽ xoá thông tin liên kết cho thiết bị, tương tự như hành vi trong Android 15.
Trong trường hợp này, ứng dụng của bạn sẽ tiếp tục các cơ chế xử lý mất liên kết hiện có như trong các bản phát hành Android trước, để phát hiện và quản lý các sự kiện mất liên kết.
Cách mới để xoá mối liên kết Bluetooth
All apps targeting Android 16 are now able to unpair bluetooth devices using a
public API in CompanionDeviceManager. If a companion device is
being managed as a CDM association, then the app can trigger
bluetooth bond removal by using the new removeBond(int) API
on the associated device. The app can monitor the bond state changes by
listening to the bluetooth device broadcast event
ACTION_BOND_STATE_CHANGED.
Bảo mật
Android 16 (cấp độ API 36) có những thay đổi sau đây về bảo mật.
Khoá phiên bản MediaStore
For apps targeting Android 16 or higher, MediaStore#getVersion() will now
be unique to each app. This eliminates identifying properties from the version
string to prevent abuse and usage for fingerprinting techniques. Apps shouldn't
make any assumptions around the format of this version. Apps should already
handle version changes when using this API and in most cases shouldn't need to
change their current behavior, unless the developer has attempted to infer
additional information that is beyond the intended scope of this API.
Ý định an toàn hơn
Tính năng Ý định an toàn hơn là một sáng kiến bảo mật nhiều giai đoạn được thiết kế để cải thiện tính bảo mật của cơ chế phân giải ý định của Android. Mục tiêu là bảo vệ ứng dụng khỏi các hành động độc hại bằng cách thêm các bước kiểm tra trong quá trình xử lý ý định và lọc các ý định không đáp ứng các tiêu chí cụ thể.
Trong Android 15, tính năng này tập trung vào ứng dụng gửi. Giờ đây, với Android 16, quyền kiểm soát sẽ chuyển sang ứng dụng nhận, cho phép nhà phát triển chọn tham gia phân giải ý định nghiêm ngặt bằng tệp kê khai ứng dụng.
Chúng tôi đang triển khai 2 thay đổi chính:
Ý định tường minh phải khớp với bộ lọc ý định của thành phần mục tiêu: Nếu một ý định nhắm mục tiêu tường minh đến một thành phần, thì ý định đó phải khớp với bộ lọc ý định của thành phần đó.
Ý định không có hành động không thể khớp với bất kỳ bộ lọc ý định nào: Các ý định không có hành động được chỉ định không được phân giải thành bất kỳ bộ lọc ý định nào.
Những thay đổi này chỉ áp dụng khi có nhiều ứng dụng tham gia và không ảnh hưởng đến việc xử lý ý định trong một ứng dụng.
Tác động
Bản chất chọn tham gia có nghĩa là nhà phát triển phải bật tính năng này một cách rõ ràng trong tệp kê khai ứng dụng để tính năng này có hiệu lực. Do đó, tác động của tính năng này sẽ chỉ giới hạn ở những ứng dụng có nhà phát triển:
- Biết về tính năng Ý định an toàn hơn và lợi ích của tính năng này.
- Chủ động chọn kết hợp các phương pháp xử lý ý định nghiêm ngặt hơn vào ứng dụng của họ.
Phương pháp chọn tham gia này giúp giảm thiểu nguy cơ làm hỏng các ứng dụng hiện có có thể dựa vào hành vi phân giải ý định kém an toàn hiện tại.
Mặc dù tác động ban đầu trong Android 16 có thể bị hạn chế, nhưng sáng kiến Ý định an toàn hơn có lộ trình để tác động rộng hơn trong các bản phát hành Android trong tương lai. Kế hoạch là cuối cùng sẽ biến việc phân giải ý định nghiêm ngặt thành hành vi mặc định.
Tính năng Ý định an toàn hơn có khả năng nâng cao đáng kể tính bảo mật của hệ sinh thái Android bằng cách khiến các ứng dụng độc hại khó khai thác các lỗ hổng trong cơ chế phân giải ý định hơn.
Tuy nhiên, quá trình chuyển đổi sang chọn không tham gia và thực thi bắt buộc phải được quản lý cẩn thận để giải quyết các vấn đề tiềm ẩn về khả năng tương thích với các ứng dụng hiện có.
Triển khai
Nhà phát triển cần bật rõ ràng tính năng so khớp ý định nghiêm ngặt hơn bằng cách sử dụng thuộc tính intentMatchingFlags trong tệp kê khai ứng dụng.
Sau đây là một ví dụ về trường hợp tính năng này là chọn tham gia cho toàn bộ ứng dụng, nhưng bị tắt/chọn không tham gia trên một trình nhận:
<application android:intentMatchingFlags="enforceIntentFilter">
<receiver android:name=".MyBroadcastReceiver" android:exported="true" android:intentMatchingFlags="none">
<intent-filter>
<action android:name="com.example.MY_CUSTOM_ACTION" />
</intent-filter>
<intent-filter>
<action android:name="com.example.MY_ANOTHER_CUSTOM_ACTION" />
</intent-filter>
</receiver>
</application>
Thông tin thêm về các cờ được hỗ trợ:
| Tên cờ | Mô tả |
|---|---|
| enforceIntentFilter | Buộc so khớp nghiêm ngặt hơn đối với các ý định đến |
| không có | Tắt tất cả các quy tắc so khớp đặc biệt cho các ý định đến. Khi chỉ định nhiều cờ, các giá trị xung đột sẽ được phân giải bằng cách ưu tiên cờ "không có" |
| allowNullAction | Nới lỏng các quy tắc so khớp để cho phép các ý định không có hành động khớp. Cờ này được dùng kết hợp với "enforceIntentFilter" để đạt được một hành vi cụ thể |
Kiểm thử và gỡ lỗi
Khi tính năng thực thi đang hoạt động, các ứng dụng sẽ hoạt động đúng cách nếu trình gọi ý định đã điền đúng ý định.
Tuy nhiên, các ý định bị chặn sẽ kích hoạt thông báo nhật ký cảnh báo như
"Intent does not match component's intent filter:" và "Access blocked:"
bằng thẻ "PackageManager."
Điều này cho thấy một vấn đề tiềm ẩn có thể ảnh hưởng đến ứng dụng và cần được
chú ý.
Bộ lọc Logcat:
tag=:PackageManager & (message:"Intent does not match component's intent filter:" | message: "Access blocked:")
Lọc lệnh gọi hệ thống GPU
Để tăng cường bảo mật cho bề mặt GPU Mali, các IOCTL GPU Mali đã ngừng hoạt động hoặc chỉ dành cho việc phát triển GPU đã bị chặn trong các bản dựng phát hành công khai. Ngoài ra, các IOCTL được dùng để lập hồ sơ GPU đã bị hạn chế đối với quy trình shell hoặc các ứng dụng có thể gỡ lỗi. Hãy tham khảo thông tin cập nhật về SAC để biết thêm thông tin chi tiết về chính sách ở cấp nền tảng.
Thay đổi này diễn ra trên các thiết bị Pixel sử dụng GPU Mali (Pixel 6 – 9). Arm đã cung cấp danh mục chính thức về các IOCTL trong Documentation/ioctl-categories.rst của bản phát hành r54p2. Danh sách này sẽ tiếp tục được duy trì trong các bản phát hành trình điều khiển trong tương lai.
Thay đổi này không ảnh hưởng đến các API đồ hoạ được hỗ trợ (bao gồm cả Vulkan và OpenGL), đồng thời không ảnh hưởng đến nhà phát triển hoặc các ứng dụng hiện có. Các công cụ lập hồ sơ GPU như Streamline Performance Analyzer và Android GPU Inspector sẽ không bị ảnh hưởng.
Thử nghiệm
Nếu bạn thấy một thông báo từ chối của SELinux tương tự như sau, thì có thể ứng dụng của bạn đã chịu ảnh hưởng của thay đổi này:
06-30 10:47:18.617 20360 20360 W roidJUnitRunner: type=1400 audit(0.0:85): avc: denied { ioctl }
for path="/dev/mali0" dev="tmpfs" ino=1188 ioctlcmd=0x8023
scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:gpu_device:s0 tclass=chr_file
permissive=0 app=com.google.android.selinux.pts
Nếu ứng dụng của bạn cần sử dụng các IOCTL bị chặn, vui lòng báo cáo lỗi và chỉ định lỗi đó cho android-partner-security@google.com.
Câu hỏi thường gặp
Thay đổi chính sách này có áp dụng cho tất cả các OEM không? Thay đổi này sẽ là lựa chọn không bắt buộc, nhưng có sẵn cho mọi OEM muốn sử dụng phương thức tăng cường bảo mật này. Bạn có thể xem hướng dẫn triển khai thay đổi trong tài liệu triển khai.
Tôi có bắt buộc phải thay đổi cơ sở mã OEM để triển khai tính năng này hay tính năng này có đi kèm với bản phát hành AOSP mới theo mặc định không? Theo mặc định, thay đổi ở cấp nền tảng sẽ đi kèm với một bản phát hành AOSP mới. Các nhà cung cấp có thể chọn áp dụng thay đổi này trong cơ sở mã của họ nếu muốn.
SoC có trách nhiệm cập nhật danh sách IOCTL không? Ví dụ: nếu thiết bị của tôi sử dụng GPU ARM Mali, thì tôi có cần liên hệ với ARM để yêu cầu thay đổi không? Các SoC riêng lẻ phải cập nhật danh sách IOCTL cho mỗi thiết bị khi phát hành trình điều khiển. Ví dụ: ARM sẽ cập nhật danh sách IOCTL đã xuất bản khi có bản cập nhật trình điều khiển. Tuy nhiên, các OEM phải đảm bảo rằng họ kết hợp các bản cập nhật trong SEPolicy và thêm mọi IOCTL tuỳ chỉnh đã chọn vào danh sách nếu cần.
Thay đổi này có tự động áp dụng cho tất cả thiết bị Pixel đang bán trên thị trường không, hay người dùng cần thực hiện thao tác để bật/tắt một chế độ nào đó nhằm áp dụng thay đổi này? Thay đổi này áp dụng cho tất cả thiết bị Pixel đang được bán trên thị trường sử dụng GPU Mali (Pixel 6 – 9). Người dùng không cần làm gì để áp dụng thay đổi này.
Việc sử dụng chính sách này có ảnh hưởng đến hiệu suất của trình điều khiển nhân không? Chính sách này đã được kiểm thử trên GPU Mali bằng GFXBench và không có thay đổi nào đáng kể về hiệu suất GPU.
Có cần thiết phải điều chỉnh danh sách IOCTL cho phù hợp với phiên bản trình điều khiển hạt nhân và không gian người dùng hiện tại không? Có, danh sách IOCTL được phép phải được đồng bộ hoá với IOCTL mà cả không gian người dùng và trình điều khiển hạt nhân đều hỗ trợ. Nếu IOCTL trong không gian người dùng hoặc trình điều khiển hạt nhân được cập nhật, thì danh sách IOCTL SEPolicy cũng phải được cập nhật cho phù hợp.
ARM đã phân loại IOCTL là "bị hạn chế" / "khả năng đo lường", nhưng chúng tôi muốn sử dụng một số IOCTL trong các trường hợp sử dụng thực tế và/hoặc từ chối những IOCTL khác. Từng OEM/SoC chịu trách nhiệm quyết định cách phân loại các IOCTL mà họ sử dụng, dựa trên cấu hình của các thư viện Mali trong không gian người dùng. Bạn có thể sử dụng danh sách của ARM để đưa ra quyết định về những vấn đề này, nhưng trường hợp sử dụng của mỗi OEM/SoC có thể khác nhau.
Quyền riêng tư
Android 16 (cấp độ API 36) bao gồm những thay đổi sau đây về quyền riêng tư.
Quyền truy cập mạng cục bộ
Devices on the LAN can be accessed by any app that has the INTERNET permission.
This makes it easy for apps to connect to local devices but it also has privacy
implications such as forming a fingerprint of the user, and being a proxy for
location.
The Local Network Protections project aims to protect the user's privacy by gating access to the local network behind a new runtime permission.
Release plan
This change will be deployed between two releases, 25Q2 and 26Q2 respectively. It is imperative that developers follow this guidance for 25Q2 and share feedback because these protections will be enforced at a later Android release. Moreover, they will need to update scenarios which depend on implicit local network access by using the following guidance and prepare for user rejection and revocation of the new permission.
Impact
At the current stage, LNP is an opt-in feature which means only the apps that opt in will be affected. The goal of the opt-in phase is for app developers to understand which parts of their app depend on implicit local network access such that they can prepare to permission guard them for the next release.
Apps will be affected if they access the user's local network using:
- Direct or library use of raw sockets on local network addresses (e.g. mDNS or SSDP service discovery protocol)
- Use of framework level classes that access the local network (e.g. NsdManager)
Traffic to and from a local network address requires local network access permission. The following table lists some common cases:
| App Low Level Network Operation | Local Network Permission Required |
|---|---|
| Making an outgoing TCP connection | yes |
| Accepting incoming TCP connections | yes |
| Sending a UDP unicast, multicast, broadcast | yes |
| Receiving an incoming UDP unicast, multicast, broadcast | yes |
These restrictions are implemented deep in the networking stack, and thus they apply to all networking APIs. This includes sockets created in native or managed code, networking libraries like Cronet and OkHttp, and any APIs implemented on top of those. Trying to resolve services on the local network (i.e. those with a .local suffix) will require local network permission.
Exceptions to the rules above:
- If a device's DNS server is on a local network, traffic to or from it (at port 53) doesn't require local network access permission.
- Applications using Output Switcher as their in-app picker won't need local network permissions (more guidance to come in 2025Q4).
Developer Guidance (Opt-in)
To opt into local network restrictions, do the following:
- Flash the device to a build with 25Q2 Beta 3 or later.
- Install the app to be tested.
Toggle the Appcompat flag in adb:
adb shell am compat enable RESTRICT_LOCAL_NETWORK <package_name>Reboot The device
Now your app's access to the local network is restricted and any attempt to access the local network will lead to socket errors. If you are using APIs that perform local network operations outside of your app process (ex: NsdManager), they won't be impacted during the opt-in phase.
To restore access, you must grant your app permission to NEARBY_WIFI_DEVICES.
- Ensure the app declares the
NEARBY_WIFI_DEVICESpermission in its manifest. - Go to Settings > Apps > [Application Name] > Permissions > Nearby devices > Allow.
Now your app's access to the local network should be restored and all your scenarios should work as they did prior to opting the app in.
Once enforcement for local network protection begins, here is how the app network traffic will be impacted.
| Permission | Outbound LAN Request | Outbound/Inbound Internet Request | Inbound LAN Request |
|---|---|---|---|
| Granted | Works | Works | Works |
| Not Granted | Fails | Works | Fails |
Use the following command to toggle-off the App-Compat flag
adb shell am compat disable RESTRICT_LOCAL_NETWORK <package_name>
Errors
Errors arising from these restrictions will be returned to the calling socket whenever it invokes send or a send variant to a local network address.
Example errors:
sendto failed: EPERM (Operation not permitted)
sendto failed: ECONNABORTED (Operation not permitted)
Local Network Definition
A local network in this project refers to an IP network that utilizes a broadcast-capable network interface, such as Wi-Fi or Ethernet, but excludes cellular (WWAN) or VPN connections.
The following are considered local networks:
IPv4:
- 169.254.0.0/16 // Link Local
- 100.64.0.0/10 // CGNAT
- 10.0.0.0/8 // RFC1918
- 172.16.0.0/12 // RFC1918
- 192.168.0.0/16 // RFC1918
IPv6:
- Link-local
- Directly-connected routes
- Stub networks like Thread
- Multiple-subnets (TBD)
Additionally, both multicast addresses (224.0.0.0/4, ff00::/8) and the IPv4 broadcast address (255.255.255.255) are classified as local network addresses.
Ảnh thuộc về ứng dụng
Khi một ứng dụng nhắm đến SDK 36 trở lên yêu cầu quyền truy cập vào ảnh và video trên các thiết bị chạy Android 16 trở lên, những người dùng chọn giới hạn quyền truy cập vào nội dung nghe nhìn đã chọn sẽ thấy mọi ảnh do ứng dụng sở hữu được chọn trước trong công cụ chọn ảnh. Người dùng có thể bỏ chọn bất kỳ mục nào trong số các mục được chọn trước này. Thao tác này sẽ thu hồi quyền truy cập của ứng dụng vào những ảnh và video đó.