行為變更：指定 Android 17 以上版本的應用程式

和先前版本一樣，Android 17 也包含可能會影響應用程式的行為變更。以下行為變更僅適用於指定 Android 17 以上版本的應用程式。如果您的應用程式指定 Android 17 以上版本，建議您視情況修改應用程式，以支援這些行為。

此外，無論應用程式的 targetSdkVersion 為何，請務必查看對所有 Android 17 應用程式有影響的行為變更清單。

核心功能

Android 17 包含下列異動項目，這類變更會修改或擴充 Android 系統的各種核心功能。

MessageQueue 的新無鎖實作

Beginning with Android 17, apps targeting Android 17 (API level 37) or higher receive a new lock-free implementation of android.os.MessageQueue. The new implementation improves performance and reduces missed frames, but may break clients that reflect on MessageQueue private fields and methods.

For more information, including mitigation strategies, see MessageQueue behavior change guidance.

靜態最終欄位現在無法修改

如果應用程式在 Android 17 以上版本上執行，且指定 Android 17 (API 級別 37) 以上版本，就無法變更 static final 欄位。如果應用程式嘗試使用反射功能變更 static final 欄位，就會導致 IllegalAccessException。如果嘗試透過 JNI API (例如 SetStaticLongField()) 修改其中一個欄位，應用程式就會當機。

無障礙設定

Android 17 進行下列變更，提升無障礙功能。

支援複雜 IME 實體鍵盤輸入的無障礙功能

This feature introduces new AccessibilityEvent and TextAttribute APIs to enhance screen reader spoken feedback for CJKV language input. CJKV IME apps can now signal whether a text conversion candidate has been selected during text composition. Apps with edit fields can specify text change types when sending text changed accessibility events. For example, apps can specify that a text change occurred during text composition, or that a text change resulted from a commit. Doing this enables accessibility services such as screen readers to deliver more precise feedback based on the nature of the text modification.

App adoption

• IME Apps: When setting composing text in edit fields, IMEs can use TextAttribute.Builder.setTextSuggestionSelected() to indicate whether a specific conversion candidate was selected.

• Apps with Edit Fields: Apps that maintain a custom InputConnection can retrieve candidate selection data by calling TextAttribute.isTextSuggestionSelected(). These apps should then call AccessibilityEvent.setTextChangeTypes() when dispatching TYPE_VIEW_TEXT_CHANGED events. Apps targeting Android 17 (API level 37) that use the standard TextView will have this feature enabled by default. (That is, TextView will handle retrieving data from the IME and setting text change types when sending events to accessibility services).

• Accessibility Services: Accessibility services that process TYPE_VIEW_TEXT_CHANGED events can call AccessibilityEvent.getTextChangeTypes() to identify the nature of the modification and adjust their feedback strategies accordingly.

隱私權

Android 17 包含下列異動項目，可提升使用者隱私權。

視情況啟用 ECH (Encrypted Client Hello)

Android 17 導入了平台對經加密的 ClientHello (ECH) 的支援。ECH 是 TLS 擴充功能，可加密 TLS 握手中的伺服器名稱指示 (SNI)，進一步保障使用者隱私。這項加密功能可防止網路觀察員輕易識別應用程式連線的特定網域。

如果應用程式指定 Android 17 (API 級別 37) 以上版本，系統會視情況將 ECH 用於 TLS 連線。只有在應用程式使用的網路程式庫 (例如 HttpEngine、WebView 或 OkHttp) 已整合 ECH 支援，且遠端伺服器也支援 ECH 通訊協定時，ECH 才會啟用。如果無法協商 ECH，連線會自動回復為標準 TLS 交握，但不加密 SNI。

為允許應用程式自訂這項行為，Android 17 在網路安全性設定檔中新增了 <domainEncryption> 元素。開發人員可以在 <base-config> 或 <domain-config> 代碼中使用 <domainEncryption>，以全域或網域為單位選取 ECH 模式 (例如 "opportunistic"、"enabled" 或 "disabled")。

詳情請參閱「加密用戶端問候訊息」說明文件。

以 Android 17 為目標的應用程式必須取得區域網路權限

Android 17 導入 ACCESS_LOCAL_NETWORK 執行階段權限，可防止使用者在未經授權的情況下存取本機網路。由於這項權限屬於現有的「NEARBY_DEVICES」權限群組，因此如果使用者已授予其他「NEARBY_DEVICES」權限，系統就不會再次提示。這項新規定可防止惡意應用程式利用不受限制的區域網路存取權，暗中追蹤使用者及建立數位指紋。只要宣告並要求這項權限，應用程式就能探索區域網路 (LAN) 上的裝置並與之連線，例如智慧住宅裝置或投放接收器。

以 Android 17 (API 級別 37) 以上版本為目標的應用程式，現在有兩種方式可與區域網路裝置保持通訊：採用系統中介的隱私權保護裝置挑選器來略過權限提示，或在執行階段明確要求這項新權限，以維持區域網路通訊。

詳情請參閱「區域網路權限」說明文件。

在實體裝置上隱藏密碼

If an app targets Android 17 (API level 37) or higher and the user is using a physical input device (for example, an external keyboard), the Android operating system applies the new show_passwords_physical setting to all characters in the password field. By default, that setting hides all password characters.

The Android system shows the last-typed password character to help the user see if they mistyped the password. However, this is much less necessary with larger external keyboards. In addition, devices with external keyboards often have larger displays, which increases the danger of someone seeing the typed password.

If the user is using the device's touchscreen, the system applies the new show_passwords_touch setting.

安全性

Android 17 在裝置和應用程式安全性方面有以下改進。

活動安全性

Android 17 平台持續朝「預設安全」架構邁進，推出一系列強化功能，旨在防範網路釣魚、互動劫持和混淆副手攻擊等高嚴重性攻擊。這項更新要求開發人員明確選擇採用新的安全標準，以維持應用程式相容性並保護使用者。

對開發人員的主要影響包括：

• 強化 BAL 並改善啟用程序：我們將擴大保護範圍至 IntentSender，進一步完善背景活動啟動 (BAL) 限制。開發人員必須從舊版 MODE_BACKGROUND_ACTIVITY_START_ALLOWED 常數遷移。您應改為採用細微控制項，例如 MODE_BACKGROUND_ACTIVITY_START_ALLOW_IF_VISIBLE，將活動啟動限制在呼叫應用程式可見的情況，大幅減少攻擊面。
• 採用工具：開發人員應使用嚴格模式和更新的 Lint 檢查，找出舊版模式，確保符合日後目標 SDK 的規定。

預設啟用 CT

如果應用程式指定 Android 17 (API 級別 37) 以上版本，系統預設會啟用憑證透明化 (CT)。(在 Android 16 上，CT 可供使用，但應用程式必須選擇加入)。

更安全的 Native DCL - C

If your app targets Android 17 (API level 37) or higher, the Safer Dynamic Code Loading (DCL) protection introduced in Android 14 for DEX and JAR files now extends to native libraries.

All native files loaded using System.load() must be marked as read-only. Otherwise, the system throws UnsatisfiedLinkError.

We recommend that apps avoid dynamically loading code whenever possible, as doing so greatly increases the risk that an app can be compromised by code injection or code tampering.

限制 CP2 資料檢視中的 PII 欄位

如果應用程式的目標是 Android 17 (API 級別 37) 以上版本，則聯絡人供應程式 2 (CP2) 會限制資料檢視畫面中的特定欄位，避免顯示個人識別資訊 (PII)。啟用這項變更後，系統會從資料檢視畫面中移除這些資料欄，以提升使用者隱私權。受限的資料欄包括：

• ACCOUNT_NAME
• ACCOUNT_TYPE
• ACCOUNT_TYPE_AND_DATA_SET

如果應用程式使用 ContactsContract.Data 中的這些資料欄，可以改為透過與 RAW_CONTACT_ID 聯結，從 ContactsContract.RawContacts 中擷取資料。

在 CP2 中強制執行嚴格的 SQL 檢查

For apps targeting Android 17 (API level Android 17 (API level 37)) and higher, Contacts Provider 2 (CP2) enforces strict SQL query validation when the ContactsContract.Data table is accessed without READ_CONTACTS permission.

With this change, if an app doesn't have READ_CONTACTS permission, StrictColumns and StrictGrammar options are set when querying the ContactsContract.Data table. If a query uses a pattern that isn't compatible with these, it will be rejected and cause an exception to be thrown.

媒體

Android 17 包含下列媒體行為變更。

背景音訊強化

Beginning with Android 17, the audio framework enforces restrictions on background audio interactions including audio playback, audio focus requests, and volume change APIs to ensure that these changes are started intentionally by the user.

Some audio restrictions apply to all apps. However, the restrictions are more stringent if an app targets Android 17 (API level 37). If one of these apps interacts with audio while it is in the background, it must have a foreground service running. In addition, the app must meet one or both of these requirements:

• The foreground service must have while-in-use (WIU) capabilities.
• The app must have the exact alarm permission and be interacting with USAGE_ALARM audio streams.

For more information, including mitigation strategies, see Background audio hardening.

裝置板型規格

Android 17 包含下列異動項目，可改善各種尺寸和板型規格裝置的使用者體驗。

平台 API 異動，可忽略大螢幕 (sw>=600dp) 的螢幕方向、大小調整和長寬比限制

我們在 Android 16 中導入了平台 API 變更，針對指定 API 級別 36 以上版本的應用程式，忽略大螢幕 (sw >= 600dp) 的螢幕方向、顯示比例和大小調整限制。開發人員可使用 SDK 36 選擇不採用這些變更，但如果應用程式的目標版本是 Android 17 (API 級別 37) 以上版本，則無法再選擇不採用。

詳情請參閱「系統會忽略螢幕方向和大小調整限制」。

連線能力

Android 17 導入下列變更，可提升藍牙 RFCOMM Socket 的一致性，並與標準 Java InputStream 行為保持一致。

RFCOMM 的 BluetoothSocket read() 行為一致

如果應用程式指定 Android 17 (API 級別 37) 為目標版本，從以 RFCOMM 為基礎的 BluetoothSocket 取得的 InputStream read() 方法，現在會在通訊端關閉或連線中斷時傳回 -1。

這項變更可讓 RFCOMM Socket 行為與 LE CoC Socket 一致，並符合標準InputStream.read()文件，該文件指出到達串流結尾時會傳回 -1。

如果應用程式只會擷取 IOException 來中斷讀取迴圈，就可能會受到這項變更影響，因此應更新 BluetoothSocket 讀取迴圈，明確檢查 -1 的傳回值。這樣可確保遠端裝置中斷連線或插座關閉時，迴圈會正確終止。如要查看建議的實作方式範例，請參閱「傳輸藍牙資料」指南中的程式碼片段。