Zmiany w działaniu: aplikacje kierowane na Androida 17 lub nowszego

Podobnie jak w przypadku poprzednich wersji Androida, w Androidzie 17 wprowadziliśmy zmiany w działaniu, które mogą mieć wpływ na Twoją aplikację. Poniższe zmiany w działaniu dotyczą wyłącznie aplikacji kierowanych na Androida 17 lub nowszego. Jeśli Twoja aplikacja jest kierowana na Androida 17 lub nowszego, zmodyfikuj ją, aby w odpowiednich przypadkach obsługiwała te działania.

Zapoznaj się też z listą zmian w działaniu, które wpływają na wszystkie aplikacje działające na Androidzie 17 niezależnie od aplikacji targetSdkVersion.

Główna funkcjonalność

Android 17 zawiera te zmiany, które modyfikują lub rozszerzają różne podstawowe funkcje systemu Android.

Nowa implementacja MessageQueue bez blokad

Od Androida 17 aplikacje kierowane na Androida 17 (API na poziomie 37) lub nowszego otrzymują nową implementację bez blokad android.os.MessageQueue. Nowa implementacja zwiększa wydajność i zmniejsza liczbę pominiętych klatek, ale może spowodować problemy u klientów, którzy korzystają z prywatnych pól i metod MessageQueue.

Więcej informacji, w tym strategie ograniczania ryzyka, znajdziesz w przewodniku dotyczącym zmiany zachowania MessageQueue .

Pola statyczne finalne są teraz niemodyfikowalne

Aplikacje działające na Androidzie 17 lub nowszym, które są kierowane na Androida 17 (API na poziomie 37) lub nowszego, nie mogą zmieniać pól static final. Jeśli aplikacja spróbuje zmienić pole static final za pomocą odbicia, spowoduje to IllegalAccessException. Próba zmodyfikowania jednego z tych pól za pomocą interfejsów API JNI (np. SetStaticLongField()) spowoduje awarię aplikacji.

Ułatwienia dostępu

W Androidzie 17 wprowadziliśmy te zmiany, aby poprawić ułatwienia dostępu.

Obsługa ułatwień dostępu w przypadku złożonego wpisywania z klawiatury fizycznej w edytorze IME

Ta funkcja wprowadza nowe AccessibilityEvent i TextAttribute interfejsy API, które mają na celu ulepszenie informacji głosowych czytnika ekranu w przypadku wprowadzania tekstu w językach CJKV. Aplikacje IME w językach CJKV mogą teraz sygnalizować, czy podczas tworzenia tekstu wybrano kandydata do konwersji tekstu. Aplikacje z polami edycji mogą określać typy zmian tekstu podczas wysyłania zdarzeń ułatwień dostępu dotyczących zmiany tekstu. Aplikacje mogą na przykład określić, że zmiana tekstu nastąpiła podczas tworzenia tekstu lub że zmiana tekstu była wynikiem zatwierdzenia. Dzięki temu usługi ułatwień dostępu, takie jak czytniki ekranu, mogą przekazywać dokładniejsze informacje na podstawie charakteru modyfikacji tekstu.

Popularność aplikacji

• Aplikacje IME: podczas ustawiania tekstu w polach edycji aplikacje IME mogą używać metody TextAttribute.Builder.setTextSuggestionSelected(), aby wskazać, czy wybrano konkretnego kandydata do konwersji.

• Aplikacje z polami edycji: aplikacje, które obsługują niestandardowe połączenie InputConnection, mogą pobierać dane o wyborze kandydata, wywołując metodę TextAttribute.isTextSuggestionSelected(). Te aplikacje powinny następnie wywoływać metodę AccessibilityEvent.setTextChangeTypes() podczas wysyłania zdarzeń TYPE_VIEW_TEXT_CHANGED. W przypadku aplikacji kierowanych na Androida 17 (poziom interfejsu API 37), które używają standardowego widoku TextView, ta funkcja będzie domyślnie włączona. (Oznacza to, że widok TextView będzie obsługiwać pobieranie danych z aplikacji IME i ustawianie typów zmian tekstu podczas wysyłania zdarzeń do usług ułatwień dostępu).

• Usługi ułatwień dostępu: usługi ułatwień dostępu, które przetwarzają zdarzenia TYPE_VIEW_TEXT_CHANGED, mogą wywoływać metodę AccessibilityEvent.getTextChangeTypes(), aby określić charakter modyfikacji i odpowiednio dostosować strategie informacji zwrotnych.

Prywatność

W Androidzie 17 wprowadziliśmy te zmiany, aby zwiększyć prywatność użytkowników.

Opcjonalne włączenie ECH (Encrypted Client Hello)

Android 17 wprowadza obsługę platformy dla rozszerzenia Encrypted Client Hello (ECH), które zwiększa prywatność użytkowników przez szyfrowanie wskaźnika nazwy serwera (SNI) podczas uzgadniania połączenia TLS. To szyfrowanie utrudnia obserwatorom sieci łatwe zidentyfikowanie konkretnej domeny, z którą łączy się Twoja aplikacja.

W przypadku aplikacji kierowanych na Androida 17 (API na poziomie 37) lub nowszego ECH jest używane w przypadku połączeń TLS. Rozszerzenie ECH jest aktywne tylko wtedy, gdy biblioteka sieciowa używana przez aplikację (np. HttpEngine, WebView lub OkHttp) ma zintegrowaną obsługę ECH, a serwer zdalny również obsługuje protokół ECH. Jeśli nie można uzgodnić ECH, połączenie automatycznie przełącza się na standardowy protokół TLS bez szyfrowania SNI.

Aby umożliwić aplikacjom dostosowywanie tego działania, Android 17 dodaje nowy element <domainEncryption> do pliku konfiguracji zabezpieczeń sieci. Deweloperzy mogą używać tagów <domainEncryption> w tagach <base-config> lub <domain-config>, aby wybrać tryb ECH (np. "opportunistic", "enabled" lub "disabled") globalnie lub w poszczególnych domenach.

Więcej informacji znajdziesz w dokumentacji Encrypted Client Hello.

Wymagane uprawnienia do sieci lokalnej w przypadku aplikacji kierowanych na Androida 17

Android 17 wprowadza uprawnienia w czasie działania (aplikacji) ACCESS_LOCAL_NETWORK, aby chronić użytkowników przed nieautoryzowanym dostępem do sieci lokalnej. Ponieważ to uprawnienie należy do istniejącej grupy uprawnień NEARBY_DEVICES, użytkownicy, którzy przyznali już inne uprawnienia NEARBY_DEVICES, nie będą ponownie proszeni o ich przyznanie. Ten nowy wymóg uniemożliwia złośliwym aplikacjom wykorzystywanie nieograniczonego dostępu do sieci lokalnej do potajemnego śledzenia użytkowników i zbierania odcisków cyfrowych. Deklarując to uprawnienie i wysyłając prośbę o nie, aplikacja może wykrywać urządzenia w sieci lokalnej (LAN), takie jak urządzenia inteligentnego domu czy odbiorniki do przesyłania, i łączyć się z nimi.

Aplikacje kierowane na Androida 17 (API na poziomie 37) lub nowszego mają teraz 2 sposoby na utrzymanie komunikacji z urządzeniami w sieci LAN: mogą korzystać z selektorów urządzeń obsługiwanych przez system, które chronią prywatność i pomijają prośbę o uprawnienia, lub wyraźnie prosić o te nowe uprawnienia w czasie działania, aby utrzymać komunikację w sieci lokalnej.

Więcej informacji znajdziesz w dokumentacji uprawnień do sieci lokalnej.

Ukrywanie haseł na urządzeniach fizycznych

Jeśli aplikacja jest kierowana na Androida 17 (API na poziomie 37) lub nowszego, a użytkownik korzysta z fizycznego urządzenia wejściowego (np. klawiatury zewnętrznej), system operacyjny Android stosuje nowe ustawienie show_passwords_physical do wszystkich znaków w polu hasła. Domyślnie to ustawienie ukrywa wszystkie znaki hasła.

System Android wyświetla ostatnio wpisany znak hasła, aby pomóc użytkownikowi sprawdzić, czy nie popełnił błędu. Jest to jednak znacznie mniej potrzebne w przypadku większych klawiatur zewnętrznych. Ponadto urządzenia z klawiaturami zewnętrznymi często mają większe wyświetlacze, co zwiększa ryzyko, że ktoś zobaczy wpisane hasło.

Jeśli użytkownik korzysta z ekranu dotykowego urządzenia, system stosuje nowe ustawienie show_passwords_touch.

Bezpieczeństwo

W Androidzie 17 wprowadziliśmy te ulepszenia, aby zwiększyć bezpieczeństwo urządzeń i aplikacji.

Bezpieczeństwo aktywności

W Androidzie 17 platforma kontynuuje przejście na architekturę „bezpieczną domyślnie”, wprowadzając szereg ulepszeń zaprojektowanych w celu ograniczenia poważnych luk w zabezpieczeniach, takich jak wyłudzanie informacji, przejmowanie interakcji i ataki typu „confused deputy”. W ramach tej aktualizacji deweloperzy muszą wyraźnie zgodzić się na nowe standardy bezpieczeństwa, aby zachować zgodność aplikacji i ochronę użytkowników.

Najważniejsze zmiany dla programistów:

• Wzmacnianie zabezpieczeń BAL i ulepszona akceptacja: udoskonalamy ograniczenia dotyczące uruchamiania aktywności w tle (BAL), rozszerzając ochronę na IntentSender. Deweloperzy muszą zrezygnować ze stałej starszego typu MODE_BACKGROUND_ACTIVITY_START_ALLOWED. Zamiast tego używaj szczegółowych elementów sterujących, takich jak MODE_BACKGROUND_ACTIVITY_START_ALLOW_IF_VISIBLE, które ograniczają uruchamianie aktywności do sytuacji, w których aplikacja wywołująca jest widoczna, co znacznie zmniejsza obszar ataku.
• Narzędzia do wdrażania: deweloperzy powinni korzystać z trybu ścisłego i zaktualizowanych kontroli lint, aby identyfikować starsze wzorce i zapewnić gotowość na przyszłe wymagania dotyczące docelowego pakietu SDK.

Domyślne włączanie CT

Jeśli aplikacja jest kierowana na Androida 17 (API na poziomie 37) lub nowszego, przejrzystość certyfikatów (CT) jest domyślnie włączona. (Na Androidzie 16 CT jest dostępny, ale aplikacje musiały wyrazić zgodę na jego używanie).

Bezpieczniejsza natywna biblioteka DCL-C

Jeśli Twoja aplikacja jest kierowana na Androida 17 (poziom interfejsu API 37) lub nowszego, ochrona Safer Dynamic Code Loading (DCL) wprowadzona w Androidzie 14 w przypadku plików DEX i JAR obejmuje teraz biblioteki natywne.

Wszystkie pliki natywne wczytane za pomocą funkcji System.load() muszą być oznaczone jako tylko do odczytu. W przeciwnym razie system zgłasza wyjątek UnsatisfiedLinkError.

Zalecamy, aby aplikacje w miarę możliwości unikały dynamicznego wczytywania kodu, ponieważ znacznie zwiększa to ryzyko naruszenia bezpieczeństwa aplikacji przez wstrzyknięcie lub zmodyfikowanie kodu.

Ograniczanie pól PII w widoku danych CP2

W przypadku aplikacji kierowanych na Androida 17 (poziom API 37) i nowsze wersje dostawca kontaktów 2 (CP2) ogranicza dostęp do niektórych kolumn zawierających informacje umożliwiające identyfikację. Gdy ta zmiana zostanie włączona, te kolumny zostaną usunięte z widoku danych, aby zwiększyć prywatność użytkowników. Ograniczone kolumny:

• ACCOUNT_NAME
• ACCOUNT_TYPE
• ACCOUNT_TYPE_AND_DATA_SET

Aplikacje, które używają tych kolumn z ContactsContract.Data mogą je zamiast tego wyodrębniać z ContactsContract.RawContacts , łącząc się z RAW_CONTACT_ID.

Wymuszanie rygorystycznych kontroli SQL w CP2

W przypadku aplikacji kierowanych na Androida 17 (interfejs API na poziomie 37) i nowsze wersje dostawca kontaktów 2 (CP2) wymusza ścisłą weryfikację zapytań SQL, gdy uzyskiwany jest dostęp do tabeli ContactsContract.Data bez uprawnienia READ_CONTACTS.

Po wprowadzeniu tej zmiany, jeśli aplikacja nie ma uprawnień READ_CONTACTS, podczas wysyłania zapytań do tabeli ContactsContract.Data ustawiane są opcje StrictColumns i StrictGrammar. Jeśli zapytanie używa wzorca, który nie jest z nimi zgodny, zostanie odrzucone i spowoduje zgłoszenie wyjątku.

Multimedia

W Androidzie 17 wprowadziliśmy te zmiany w działaniu multimediów.

Wzmacnianie zabezpieczeń dźwięku w tle

Od Androida 17 platforma audio wymusza ograniczenia dotyczące interakcji audio w tle, w tym odtwarzania dźwięku, żądań aktywności audio i interfejsów API zmiany głośności, aby mieć pewność, że te zmiany są inicjowane celowo przez użytkownika.

Niektóre ograniczenia dotyczące dźwięku obowiązują w przypadku wszystkich aplikacji. Jeśli jednak aplikacja jest kierowana na Androida 17 (API na poziomie 37), ograniczenia są bardziej rygorystyczne. Jeśli jedna z tych aplikacji wchodzi w interakcję z dźwiękiem w tle, musi mieć uruchomioną usługę na pierwszym planie. Dodatkowo aplikacja musi spełniać co najmniej jedno z tych wymagań:

• Usługa na pierwszym planie musi mieć funkcje obowiązujące podczas używania.
• Aplikacja musi mieć uprawnienie alarm precyzyjny i korzystać ze strumieni audio USAGE_ALARM.

Więcej informacji, w tym strategie ograniczania ryzyka, znajdziesz w artykule Wzmacnianie zabezpieczeń dźwięku w tle.

Formaty urządzeń

W Androidzie 17 wprowadziliśmy te zmiany, aby poprawić wygodę użytkowników na urządzeniach o różnych rozmiarach i formatach.

Zmiany w interfejsie Platform API, które ignorują ograniczenia dotyczące orientacji, możliwości zmiany rozmiaru i formatu obrazu na dużych ekranach (sw>=600dp)

W Androidzie 16 wprowadziliśmy zmiany w interfejsie Platform API, aby ignorować ograniczenia dotyczące orientacji, formatu obrazu i możliwości zmiany rozmiaru na dużych ekranach (sw >= 600 dp) w przypadku aplikacji korzystających z API na poziomie 36 lub nowszym. Deweloperzy mogą zrezygnować z tych zmian w przypadku pakietu SDK 36, ale ta opcja nie będzie już dostępna w przypadku aplikacji, których docelowy poziom to Android 17 (API na poziomie 37) lub nowszy.

Więcej informacji znajdziesz w artykule Ograniczenia dotyczące orientacji i możliwości zmiany rozmiaru są ignorowane.

Łączność

W Androidzie 17 wprowadziliśmy tę zmianę, aby zwiększyć spójność i dostosować działanie do standardowego zachowania InputStream w Javie w przypadku gniazd Bluetooth RFCOMM.

Spójne działanie funkcji BluetoothSocket read() w przypadku RFCOMM

W przypadku aplikacji kierowanych na Androida 17 (poziom API 37) metoda read() interfejsu InputStream uzyskana z BluetoothSocket opartego na RFCOMM zwraca teraz wartość -1, gdy gniazdo jest zamknięte lub połączenie zostało przerwane.

Ta zmiana ujednolica działanie gniazd RFCOMM z gniazdami LE CoC i jest zgodna ze standardową dokumentacją InputStream.read(), która mówi, że po osiągnięciu końca strumienia zwracana jest wartość -1.

Aplikacje, które polegają wyłącznie na przechwytywaniu wyjątku IOException w celu przerwania pętli odczytu, mogą zostać dotknięte tą zmianą. Powinny one zaktualizować pętle odczytu BluetoothSocket, aby jawnie sprawdzać wartość zwracaną -1. Dzięki temu pętla zakończy się prawidłowo, gdy urządzenie zdalne zostanie odłączone lub gniazdo zostanie zamknięte. Przykładową implementację znajdziesz we fragmencie kodu w przewodniku Przesyłanie danych przez Bluetooth.