שינויים בהתנהגות: אפליקציות שמטרגטות ל-Android 14 ואילך

בדומה לגרסאות קודמות, Android 14 כולל שינויים בהתנהגות שעשויים להשפיע על האפליקציה שלכם. שינויי ההתנהגות הבאים רלוונטיים רק לאפליקציות שמטרגטות את Android 14 (רמת API 34) ואילך. אם האפליקציה שלכם מטרגטת את Android מגרסה 14 ואילך, אתם צריכים לשנות את האפליקציה כדי שהיא תתמוך בהתנהגויות האלה בצורה נכונה, במקרים הרלוונטיים.

חשוב גם לבדוק את רשימת השינויים בהתנהגות שמשפיעים על כל האפליקציות שפועלות ב-Android 14, בלי קשר ל-targetSdkVersion של האפליקציה.

פונקציונליות עיקרית

חובה לציין את סוגי השירותים שפועלים בחזית

אם האפליקציה שלכם מטרגטת ל-Android 14 (רמת API ‏34) ואילך, צריך לציין לפחות סוג אחד של שירות שפועל בחזית לכל שירות שפועל בחזית באפליקציה. כדאי לבחור סוג של שירות שפועל בחזית שמייצג את תרחיש השימוש של האפליקציה. המערכת מצפה ששירותים שפועלים בחזית עם סוג מסוים יעמדו בדרישות של תרחיש לדוגמה מסוים.

אם תרחיש שימוש באפליקציה לא משויך לאף אחד מהסוגים האלה, מומלץ מאוד להעביר את הלוגיקה שלכם כך שתשתמש ב-WorkManager או במשימות להעברת נתונים שמבוצעות ביוזמת המשתמש.

אכיפה של ההרשאה BLUETOOTH_CONNECT ב-BluetoothAdapter

Android 14 enforces the BLUETOOTH_CONNECT permission when calling the BluetoothAdapter getProfileConnectionState() method for apps targeting Android 14 (API level 34) or higher.

This method already required the BLUETOOTH_CONNECT permission, but it was not enforced. Make sure your app declares BLUETOOTH_CONNECT in your app's AndroidManifest.xml file as shown in the following snippet and check that a user has granted the permission before calling getProfileConnectionState.

<uses-permission android:name="android.permission.BLUETOOTH_CONNECT" />

עדכונים ל-OpenJDK 17

ב-Android 14 אנחנו ממשיכים לעדכן את ספריות הליבה של Android כדי להתאים אותן לתכונות בגרסאות OpenJDK LTS האחרונות, כולל עדכוני ספריות ותמיכה בשפה Java 17 למפתחי אפליקציות ופלטפורמות.

חלק מהשינויים האלה עשויים להשפיע על תאימות האפליקציות:

  • שינויים בביטויים רגולריים: אסור עכשיו להשתמש בהפניות לא חוקיות לקבוצות, כדי להתאים את הקוד יותר לסמנטיקה של OpenJDK. יכול להיות שתראו מקרים חדשים שבהם המערכת תזרוק IllegalArgumentException מהקלאס java.util.regex.Matcher, לכן חשוב לבדוק את האפליקציה לאזורים שבהם נעשה שימוש בביטויים רגולריים. כדי להפעיל או להשבית את השינוי הזה במהלך הבדיקה, משנים את מצב הדגל DISALLOW_INVALID_GROUP_REFERENCE באמצעות כלים של מסגרת התאימות.
  • טיפול ב-UUID: השיטה java.util.UUID.fromString() מבצעת עכשיו בדיקות מחמירות יותר במהלך אימות הארגומנט של הקלט, כך שיכול להיות שתראו IllegalArgumentException במהלך ביטול הסריאליזציה. כדי להפעיל או להשבית את השינוי הזה במהלך הבדיקה, משנים את מצב הדגל ENABLE_STRICT_VALIDATION באמצעות כלים של מסגרת התאימות.
  • בעיות ב-ProGuard: במקרים מסוימים, הוספת הכיתה java.lang.ClassValue גורמת לבעיה אם מנסים לכווץ, להסתיר ולבצע אופטימיזציה של האפליקציה באמצעות ProGuard. הבעיה נובעת מספריית Kotlin שמשנה את התנהגות זמן הריצה בהתאם לכך ש-Class.forName("java.lang.ClassValue") מחזירה סוג או לא. אם האפליקציה שלכם פותחה בגרסה ישנה יותר של סביבת זמן הריצה, בלי הכיתה java.lang.ClassValue, יכול להיות שהאופטימיזציות האלה יגרמו להסרת השיטה computeValue מכיתות שמקורן ב-java.lang.ClassValue.

‫JobScheduler מחזק את ההתנהגות של קריאות חוזרות (callback) ושל הרשת

Since its introduction, JobScheduler expects your app to return from onStartJob or onStopJob within a few seconds. Prior to Android 14, if a job runs too long, the job is stopped and fails silently. If your app targets Android 14 (API level 34) or higher and exceeds the granted time on the main thread, the app triggers an ANR with the error message "No response to onStartJob" or "No response to onStopJob".

This ANR may be a result of 2 scenarios: 1. There is work blocking the main thread, preventing the callbacks onStartJob or onStopJob from executing and completing within the expected time limit. 2. The developer is running blocking work within the JobScheduler callback onStartJob or onStopJob, preventing the callback from completing within the expected time limit.

To address #1, you will need to further debug what is blocking the main thread when the ANR occurs, you can do this using ApplicationExitInfo#getTraceInputStream() to get the tombstone trace when the ANR occurs. If you're able to manually reproduce the ANR, you can record a system trace and inspect the trace using either Android Studio or Perfetto to better understand what is running on the main thread when the ANR occurs. Note that this can happen when using JobScheduler API directly or using the androidx library WorkManager.

To address #2, consider migrating to WorkManager, which provides support for wrapping any processing in onStartJob or onStopJob in an asynchronous thread.

JobScheduler also introduces a requirement to declare the ACCESS_NETWORK_STATE permission if using setRequiredNetworkType or setRequiredNetwork constraint. If your app does not declare the ACCESS_NETWORK_STATE permission when scheduling the job and is targeting Android 14 or higher, it will result in a SecurityException.

Tiles launch API

באפליקציות שמיועדות ל-Android 14 ואילך, השימוש ב-TileService#startActivityAndCollapse(Intent) הוצא משימוש ועכשיו הוא גורם להשלכת חריגה כשמנסים להפעיל אותו. אם האפליקציה מפעילה פעילויות מכרטיסי מידע, משתמשים TileService#startActivityAndCollapse(PendingIntent) במקום זאת.

פרטיות

גישה חלקית לתמונות ולסרטונים

Android 14 引入了“已选照片访问权限”,让用户可以向应用授予对其媒体库中特定图片和视频的访问权限,而不是授予对给定类型的所有媒体的访问权限。

只有当您的应用以 Android 14(API 级别 34)或更高版本为目标平台时,此更改才会启用。如果您尚未使用照片选择器,我们建议您在应用中实现照片选择器,以提供一致的图片和视频选择体验,同时增强用户隐私保护,而无需请求任何存储权限。

如果您使用存储权限维护自己的图库选择器,并且需要对实现保持完全控制,请调整实现以使用新的 READ_MEDIA_VISUAL_USER_SELECTED 权限。如果您的应用不使用新权限,系统会以兼容模式运行您的应用。

חוויית משתמש

התראות מאובטחות לגבי Intent במסך מלא

בגרסה Android 11 (רמת API‏ 30), כל אפליקציה יכולה להשתמש ב-Notification.Builder.setFullScreenIntent כדי לשלוח הודעות Intents במסך מלא כשהטלפון נעול. כדי להעניק את ההרשאה הזו באופן אוטומטי בהתקנת האפליקציה, צריך להצהיר על ההרשאה USE_FULL_SCREEN_INTENT בקובץ AndroidManifest.

התראות Intent שמוצגות במסך מלא מיועדות להתראות בעדיפות גבוהה במיוחד שדורשות את תשומת הלב המיידית של המשתמש, כמו שיחה נכנסת או הגדרות של שעון מעורר שהמשתמש הגדיר. באפליקציות שמטרגטות ל-Android 14 (רמת API 34) ואילך, האפליקציות שמורשות להשתמש בהרשאה הזו מוגבלות לאפליקציות שמספקות שיחות והתראות בלבד. חנות Google Play מבטלת את ההרשאות USE_FULL_SCREEN_INTENT שמוגדרות כברירת מחדל בכל אפליקציה שלא מתאימה לפרופיל הזה. מועד היעד לביצוע השינויים האלה במדיניות הוא 31 במאי 2024.

ההרשאה הזו תישאר מופעלת לאפליקציות שהותקנו בטלפון לפני שהמשתמש יעדכן ל-Android 14. המשתמשים יכולים להפעיל או להשבית את ההרשאה הזו.

אפשר להשתמש ב-API החדש NotificationManager.canUseFullScreenIntent כדי לבדוק אם לאפליקציה יש את ההרשאה. אם לא, האפליקציה יכולה להשתמש בכוונה החדשה ACTION_MANAGE_APP_USE_FULL_SCREEN_INTENT כדי להפעיל את דף ההגדרות שבו המשתמשים יכולים להעניק את ההרשאה.

אבטחה

הגבלות על אובייקטים מרומזים של Intent ועל אובייקטים של Intent בהמתנה

באפליקציות שמטרגטות ל-Android 14 (רמת API ‏34) ואילך, מערכת Android מגבילה את היכולת של האפליקציות לשלוח כוונות משתמשים מרומזות לרכיבים פנימיים של האפליקציה בדרכים הבאות:

  • כוונות משתמשים מרומזות מועברות רק לרכיבים שיוצאו. אפליקציות צריכות להשתמש ב-Intent מפורש כדי לשלוח נתונים לרכיבים שלא יוצאו, או לסמן את הרכיב כמיוצא.
  • אם אפליקציה יוצרת PendingIntent שניתנים לשינוי עם כוונה שלא מציינת רכיב או חבילה, המערכת מקפיצה הודעת שגיאה (throw) לחריגה.

השינויים האלה מונעים מאפליקציות זדוניות ליירט כוונות מרומזות שנועדו לשימוש ברכיבים הפנימיים של האפליקציה.

לדוגמה, לפניכם מסנן כוונת רכישה שאפשר להצהיר בקובץ המניפסט של האפליקציה:

<activity
    android:name=".AppActivity"
    android:exported="false">
    <intent-filter>
        <action android:name="com.example.action.APP_ACTION" />
        <category android:name="android.intent.category.DEFAULT" />
    </intent-filter>
</activity>

אם האפליקציה ניסתה להפעיל את הפעילות הזו מתוך כוונה מרומזת, המערכת תבטל את החריגה ActivityNotFoundException:

Kotlin

// Throws an ActivityNotFoundException exception when targeting Android 14.
context.startActivity(Intent("com.example.action.APP_ACTION"))

Java

// Throws an ActivityNotFoundException exception when targeting Android 14.
context.startActivity(new Intent("com.example.action.APP_ACTION"));

כדי להפעיל את הפעילות שלא יוצאה, האפליקציה צריכה להשתמש ב-Intent מפורש:

Kotlin

// This makes the intent explicit.
val explicitIntent =
        Intent("com.example.action.APP_ACTION")
explicitIntent.apply {
    package = context.packageName
}
context.startActivity(explicitIntent)

Java

// This makes the intent explicit.
Intent explicitIntent =
        new Intent("com.example.action.APP_ACTION")
explicitIntent.setPackage(context.getPackageName());
context.startActivity(explicitIntent);

מקלטי שידורים שרשומים בזמן ריצה חייבים לציין את התנהגות הייצוא

Apps and services that target Android 14 (API level 34) or higher and use context-registered receivers are required to specify a flag to indicate whether or not the receiver should be exported to all other apps on the device: either RECEIVER_EXPORTED or RECEIVER_NOT_EXPORTED, respectively. This requirement helps protect apps from security vulnerabilities by leveraging the features for these receivers introduced in Android 13.

Exception for receivers that receive only system broadcasts

If your app is registering a receiver only for system broadcasts through Context#registerReceiver methods, such as Context#registerReceiver(), then it shouldn't specify a flag when registering the receiver.

טעינה בטוחה יותר של קוד דינמי

אם האפליקציה מטרגטת את Android 14 (רמת API 34) ואילך ומשתמשת בקוד דינמי מתבצעת טעינה (DCL), כל הקבצים שנטענים באופן דינמי צריכים להיות מסומנים לקריאה בלבד. אחרת, המערכת גורמת לחריגה. מומלץ להימנע הקוד בטעינה באופן דינמי כשהדבר אפשרי, כי הוא מגדיל באופן משמעותי את הסיכון שאפליקציה נפגעו על ידי החדרת קוד או פגיעה בקוד.

אם אתם חייבים לטעון קוד באופן דינמי, השתמשו בגישה הבאה כדי להגדיר קובץ שנטען באופן דינמי (כמו קובץ DEX, JAR או APK) לקריאה בלבד בהקדם בזמן שהקובץ נפתח ולפני שנכתב תוכן כלשהו:

Kotlin

val jar = File("DYNAMICALLY_LOADED_FILE.jar")
val os = FileOutputStream(jar)
os.use {
    // Set the file to read-only first to prevent race conditions
    jar.setReadOnly()
    // Then write the actual file content
}
val cl = PathClassLoader(jar, parentClassLoader)

Java

File jar = new File("DYNAMICALLY_LOADED_FILE.jar");
try (FileOutputStream os = new FileOutputStream(jar)) {
    // Set the file to read-only first to prevent race conditions
    jar.setReadOnly();
    // Then write the actual file content
} catch (IOException e) { ... }
PathClassLoader cl = new PathClassLoader(jar, parentClassLoader);

טיפול בקבצים שנטענים באופן דינמי שכבר קיימים

כדי למנוע השלכה של חריגים לגבי קבצים קיימים שנטענים באופן דינמי, מומלץ למחוק וליצור מחדש את הקבצים לפני שמנסים לבצע לטעון אותם שוב באפליקציה. כשיוצרים מחדש את הקבצים, פועלים לפי השלבים הבאים הנחיות לסימון הקבצים לקריאה בלבד בזמן הכתיבה. לחלופין, אפשר לסמן מחדש את הקבצים הקיימים כ'לקריאה בלבד', אבל במקרה הזה, אנחנו מאוד ממליצים מומלץ לבדוק קודם את תקינות הקבצים (לדוגמה, בדיקת חתימת הקובץ מול ערך מהימן), כדי להגן על האפליקציה מפעולות זדוניות.

הגבלות נוספות על התחלת פעילויות מהרקע

באפליקציות שמטרגטות ל-Android 14 (רמת API 34) ומעלה, המערכת מגבילה עוד יותר את הזמנים שבהם אפליקציות יכולות להתחיל פעילויות מהרקע:

  • כשאפליקציה שולחת PendingIntent באמצעות PendingIntent#send() או שיטות דומות, היא צריכה להביע הסכמה אם היא רוצה להעניק לעצמה הרשאות להפעלת פעילות ברקע כדי להפעיל את ה-Intent בהמתנה. כדי להביע הסכמה, האפליקציה צריכה להעביר חבילת ActivityOptions עם setPendingIntentBackgroundActivityStartMode(MODE_BACKGROUND_ACTIVITY_START_ALLOWED).
  • כשאפליקציה גלויה מקשרת שירות של אפליקציה אחרת שנמצאת ברקע באמצעות השיטה bindService(), האפליקציה הגלויה צריכה להביע הסכמה אם היא רוצה להעניק לשירות המקושר את ההרשאות שלה להפעלת פעילות ברקע. כדי להביע הסכמה, האפליקציה צריכה לכלול את הדגל BIND_ALLOW_ACTIVITY_STARTS בקריאה לשיטה bindService().

השינויים האלה מרחיבים את קבוצת ההגבלות הקיימת כדי להגן על המשתמשים. הם מונעים מאפליקציות זדוניות לנצל לרעה ממשקי API כדי להפעיל פעילויות מפריעות מהרקע.

פרצת אבטחה מסוג Path Traversal בקובץ ZIP

For apps targeting Android 14 (API level 34) or higher, Android prevents the Zip Path Traversal Vulnerability in the following way: ZipFile(String) and ZipInputStream.getNextEntry() throws a ZipException if zip file entry names contain ".." or start with "/".

Apps can opt-out from this validation by calling dalvik.system.ZipPathValidator.clearCallback().

באפליקציות שמיועדות ל-Android 14 (רמת API ‏34) ואילך, MediaProjection#createVirtualDisplay יוצרת את השגיאה SecurityException באחת מהתרחישים הבאים:

האפליקציה שלכם צריכה לבקש מהמשתמש להביע הסכמה לפני כל סשן צילום. סשן צילום יחיד הוא קריאה יחידה ל-MediaProjection#createVirtualDisplay, וצריך להשתמש בכל מכונה של MediaProjection רק פעם אחת.

טיפול בשינויים בתצורה

אם האפליקציה צריכה להפעיל את MediaProjection#createVirtualDisplay כדי לטפל בשינויים בתצורה (כמו שינוי כיוון המסך או גודל המסך), תוכלו לפעול לפי השלבים הבאים כדי לעדכן את VirtualDisplay למכונה הקיימת של MediaProjection:

  1. קוראים ל-VirtualDisplay#resize עם הרוחב והגובה החדשים.
  2. מספקים Surface חדש עם הרוחב והגובה החדשים ל-VirtualDisplay#setSurface.

רישום של קריאה חוזרת

האפליקציה צריכה לרשום קריאה חוזרת (callback) כדי לטפל במקרים שבהם המשתמש לא נותן הסכמה להמשך סשן הצילום. כדי לעשות זאת, מטמיעים את Callback#onStop ומאפשרים לאפליקציה לשחרר את המשאבים הקשורים (כמו VirtualDisplay ו-Surface).

אם האפליקציה לא תירשם את קריאת החזרה (callback) הזו, MediaProjection#createVirtualDisplay תשליך IllegalStateException כשהאפליקציה תפעיל אותה.

הגבלות מעודכנות שאינן ב-SDK

‫Android 14 כולל רשימות מעודכנות של ממשקי non-SDK מוגבלים, שמבוססות על שיתוף פעולה עם מפתחי Android ועל הבדיקות הפנימיות האחרונות. כשאפשר, אנחנו מוודאים שיש חלופות ציבוריות לפני שאנחנו מגבילים ממשקים שאינם ב-SDK.

אם האפליקציה שלכם לא מטרגטת ל-Android 14, יכול להיות שחלק מהשינויים האלה לא ישפיעו עליכם באופן מיידי. עם זאת, למרות שכרגע אפשר להשתמש בממשקים מסוימים שאינם SDK (בהתאם לרמת ה-API לטירגוט של האפליקציה), שימוש בשיטה או בשדה כלשהם שאינם SDK תמיד כרוך בסיכון גבוה להפסקת הפעולה של האפליקציה.

אם אתם לא בטוחים אם האפליקציה שלכם משתמשת בממשקים שאינם SDK, אתם יכולים לבצע בדיקה לאפליקציה כדי לגלות זאת. אם האפליקציה שלכם מסתמכת על ממשקים שלא נכללים ב-SDK, כדאי להתחיל לתכנן מעבר לחלופות של SDK. עם זאת, ברור לנו שיש אפליקציות עם תרחישי שימוש לגיטימיים בממשקים שאינם SDK. אם אין לכם אפשרות להשתמש בממשק חלופי במקום בממשק שאינו ב-SDK עבור תכונה באפליקציה, עליכם לבקש ממשק API ציבורי חדש.

מידע נוסף על השינויים בגרסה הזו של Android זמין במאמר עדכונים להגבלות על ממשקים שאינם SDK ב-Android 14. מידע נוסף על ממשקים שאינם ב-SDK זמין במאמר הגבלות על ממשקים שאינם ב-SDK.