動作の変更点: Android 17 以上をターゲットとするアプリ

これまでのリリースと同様、Android 17 には、アプリに影響する可能性がある動作変更が含まれています。下記の動作変更は、Android 17 以上をターゲットとするアプリにのみ適用されます。アプリが Android 17 以上をターゲットとする場合は、必要に応じてアプリを変更し、下記の動作に適切に対応できるようにしてください。

アプリの targetSdkVersion に関係なく、Android 17 で実行されるすべてのアプリに影響する動作変更のリストも必ずご確認ください。

コア機能

Android 17 では、Android システムのさまざまなコア機能を変更または拡張する以下の変更が含まれています。

MessageQueue の新しいロックフリー実装

Beginning with Android 17, apps targeting Android 17 (API level 37) or higher receive a new lock-free implementation of android.os.MessageQueue. The new implementation improves performance and reduces missed frames, but may break clients that reflect on MessageQueue private fields and methods.

For more information, including mitigation strategies, see MessageQueue behavior change guidance.

static final フィールドが変更不可になりました

Android 17（API レベル 37）以上をターゲットとする Android 17 以上で実行されているアプリは、static final フィールドを変更できません。アプリがリフレクションを使用して static final フィールドを変更しようとすると、IllegalAccessException が発生します。JNI API（SetStaticLongField() など）を使用してこれらのフィールドのいずれかを変更しようとすると、アプリがクラッシュします。

ユーザー補助

Android 17 では、ユーザー補助機能を改善するために次の変更が行われています。

This feature introduces new AccessibilityEvent and TextAttribute APIs to enhance screen reader spoken feedback for CJKV language input. CJKV IME apps can now signal whether a text conversion candidate has been selected during text composition. Apps with edit fields can specify text change types when sending text changed accessibility events. For example, apps can specify that a text change occurred during text composition, or that a text change resulted from a commit. Doing this enables accessibility services such as screen readers to deliver more precise feedback based on the nature of the text modification.

App adoption

IME Apps: When setting composing text in edit fields, IMEs can use TextAttribute.Builder.setTextSuggestionSelected() to indicate whether a specific conversion candidate was selected.
Apps with Edit Fields: Apps that maintain a custom InputConnection can retrieve candidate selection data by calling TextAttribute.isTextSuggestionSelected(). These apps should then call AccessibilityEvent.setTextChangeTypes() when dispatching TYPE_VIEW_TEXT_CHANGED events. Apps targeting Android 17 (API level 37) that use the standard TextView will have this feature enabled by default. (That is, TextView will handle retrieving data from the IME and setting text change types when sending events to accessibility services).
Accessibility Services: Accessibility services that process TYPE_VIEW_TEXT_CHANGED events can call AccessibilityEvent.getTextChangeTypes() to identify the nature of the modification and adjust their feedback strategies accordingly.

プライバシー

Android 17 では、ユーザーのプライバシーを強化するために、次のような変更が行われています。

ECH（Encrypted Client Hello）が機会的に有効化される

Android 17 では、TLS handshake で Server Name Indication（SNI）を暗号化してユーザーのプライバシーを強化する TLS 拡張機能である Encrypted Client Hello（ECH）のプラットフォームサポートが導入されています。この暗号化により、ネットワーク監視者がアプリが接続している特定のドメインを簡単に特定することを防ぐことができます。

Android 17（API レベル 37）以上をターゲットとするアプリの場合、TLS 接続に ECH が機会的に使用されます。ECH は、アプリで使用されるネットワーキングライブラリ（HttpEngine、WebView、OkHttp など）が ECH サポートを統合しており、リモートサーバーも ECH プロトコルをサポートしている場合にのみ有効になります。ECH をネゴシエートできない場合、接続は自動的に SNI 暗号化なしの標準 TLS ハンドシェイクにフォールバックします。

アプリでこの動作をカスタマイズできるようにするため、Android 17 では、ネットワークセキュリティ構成ファイルに新しい <domainEncryption> 要素が追加されています。デベロッパーは、<base-config> タグまたは <domain-config> タグ内で <domainEncryption> を使用して、グローバルまたはドメイン単位で ECH モード（"opportunistic"、"enabled"、"disabled" など）を選択できます。

詳細については、暗号化されたクライアント Hello のドキュメントをご覧ください。

Android 17 をターゲットとするアプリでローカルネットワークの権限が必要に

Android 17 では、ユーザーを不正なローカルネットワークアクセスから保護するために、ACCESS_LOCAL_NETWORK ランタイム権限が導入されました。これは既存の NEARBY_DEVICES 権限グループに該当するため、他の NEARBY_DEVICES 権限をすでに付与しているユーザーには、再度権限の付与を求めるプロンプトは表示されません。この新しい要件により、悪意のあるアプリが、無制限のローカルネットワークアクセスを利用してユーザートラッキングやフィンガープリント採取を密かに行うことを防ぐことができます。この権限を宣言してリクエストすることで、アプリはスマートホームデバイスやキャストレシーバーなどのローカルエリアネットワーク（LAN）上のデバイスを検出して接続できます。

Android 17（API レベル 37）以降を対象とするアプリは、LAN デバイスとの通信を維持するためのパスが 2 つになりました。システムが仲介するプライバシー保護デバイス選択ツールを採用して権限の付与を求めるプロンプトをスキップするか、この新しい権限をランタイム時に明示的にリクエストしてローカルネットワーク通信を維持します。

詳細については、ローカルネットワーク権限のドキュメントをご覧ください。

物理デバイスからパスワードを非表示にする

If an app targets Android 17 (API level 37) or higher and the user is using a physical input device (for example, an external keyboard), the Android operating system applies the new show_passwords_physical setting to all characters in the password field. By default, that setting hides all password characters.

The Android system shows the last-typed password character to help the user see if they mistyped the password. However, this is much less necessary with larger external keyboards. In addition, devices with external keyboards often have larger displays, which increases the danger of someone seeing the typed password.

If the user is using the device's touchscreen, the system applies the new show_passwords_touch setting.

セキュリティ

Android 17 では、デバイスとアプリのセキュリティが次のように改善されています。

アクティビティのセキュリティ

Android 17 では、プラットフォームは「デフォルトで安全」なアーキテクチャへの移行を継続し、フィッシング、インタラクションハイジャック、混乱した代理攻撃などの重大なエクスプロイトを軽減するように設計された一連の機能強化が導入されています。このアップデートでは、アプリの互換性とユーザー保護を維持するために、デベロッパーが新しいセキュリティ標準を明示的にオプトインする必要があります。

デベロッパーへの主な影響は次のとおりです。

BAL の強化とオプトインの改善: バックグラウンドアクティビティの起動（BAL）の制限を改良し、保護を IntentSender にまで拡大しています。デベロッパーは、従来の MODE_BACKGROUND_ACTIVITY_START_ALLOWED 定数から移行する必要があります。代わりに、アクティビティの開始が呼び出し元のアプリが表示されている場合に制限され、攻撃対象領域が大幅に縮小される MODE_BACKGROUND_ACTIVITY_START_ALLOW_IF_VISIBLEなどのきめ細かい制御を採用する必要があります。
採用ツール: デベロッパーは、厳格モードと更新された lint チェックを使用して、従来のパターンを特定し、今後のターゲット SDK の要件に対応できるようにする必要があります。

デフォルトで CT を有効化

アプリが Android 17（API レベル 37）以上をターゲットとしている場合、証明書の透明性（CT）はデフォルトで有効になっています。（Android 16 では CT は利用可能ですが、アプリはオプトインする必要があります）。

Safer Native DCL—C

If your app targets Android 17 (API level 37) or higher, the Safer Dynamic Code Loading (DCL) protection introduced in Android 14 for DEX and JAR files now extends to native libraries.

All native files loaded using System.load() must be marked as read-only. Otherwise, the system throws UnsatisfiedLinkError.

We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

CP2 データビューで PII フィールドを制限する

Android 17（API レベル 37）以上を対象とするアプリの場合、連絡先プロバイダ 2（CP2）は、個人を特定できる情報（PII）を含む特定の列をデータビューから制限します。この変更を有効にすると、ユーザーのプライバシーを強化するために、これらの列がデータビューから削除されます。制限付き列には次のものがあります。

ContactsContract.Data のこれらの列を使用しているアプリは、RAW_CONTACT_ID と結合することで、代わりに ContactsContract.RawContacts から抽出できます。

CP2 で厳格な SQL チェックを適用する

Android 17（API レベル 37）以上をターゲットとするアプリの場合、READ_CONTACTS 権限なしで ContactsContract.Data テーブルにアクセスすると、連絡先プロバイダ 2（CP2）は厳格な SQL クエリ検証を適用します。

この変更により、アプリに READ_CONTACTS 権限がない場合、ContactsContract.Data テーブルをクエリするときに StrictColumns オプションと StrictGrammar オプションが設定されます。クエリでこれらのパターンと互換性のないパターンが使用されている場合、クエリは拒否され、例外がスローされます。

メディア

Android 17 では、メディアの動作が次のように変更されています。

バックグラウンド音声の強化

Beginning with Android 17, the audio framework enforces restrictions on background audio interactions including audio playback, audio focus requests, and volume change APIs to ensure that these changes are started intentionally by the user.

Some audio restrictions apply to all apps. However, the restrictions are more stringent if an app targets Android 17 (API level 37). If one of these apps interacts with audio while it is in the background, it must have a foreground service running. In addition, the app must meet one or both of these requirements:

The foreground service must have while-in-use (WIU) capabilities.
The app must have the exact alarm permission and be interacting with USAGE_ALARM audio streams.

For more information, including mitigation strategies, see Background audio hardening.

デバイスのフォームファクタ

Android 17 では、さまざまなデバイスサイズやフォームファクタでユーザーエクスペリエンスを向上させるために、以下の変更が加えられています。

大画面（sw>=600dp）での画面の向き、サイズ変更、アスペクト比の制約を無視するためのプラットフォーム API の変更

We introduced Platform API changes in Android 16 to ignore orientation, aspect ratio, and resizability restrictions on large screens (sw >= 600dp) for apps targeting API level 36 or higher. Developers have the option to opt out of these changes with SDK 36, but this opt-out will no longer be available for apps that target Android 17 (API level 37) or higher.

For more information, see Restrictions on orientation and resizability are ignored.

接続

Android 17 では、一貫性を高め、Bluetooth RFCOMM ソケットの標準 Java InputStream の動作に合わせるため、以下の変更が導入されています。

RFCOMM の BluetoothSocket read() の動作の一貫性

Android 17（API レベル 37）をターゲットとするアプリでは、RFCOMM ベースの BluetoothSocket から取得した InputStream の read() メソッドは、ソケットが閉じられたり接続が切断されたりすると、-1 を返すようになりました。

この変更により、RFCOMM ソケットの動作が LE CoC ソケットと一貫性を持つようになり、ストリームの終わりに達すると -1 が返されることを示す標準の InputStream.read() ドキュメントと整合性が取れるようになります。

IOException のキャッチのみに依存して読み取りループから抜け出すアプリは、この変更の影響を受ける可能性があります。BluetoothSocket の読み取りループを更新して、-1 の戻り値を明示的にチェックする必要があります。これにより、リモートデバイスが切断されたときやソケットが閉じられたときに、ループが正しく終了します。推奨される実装の例については、Bluetooth データを転送するガイドのコードスニペットをご覧ください。