การเปลี่ยนแปลงลักษณะการทำงาน: แอปที่กำหนดเป้าหมายเป็น Android 16 ขึ้นไป

เช่นเดียวกับรุ่นก่อนๆ Android 16 มีการเปลี่ยนแปลงลักษณะการทำงานที่อาจส่งผลต่อแอปของคุณ การเปลี่ยนแปลงลักษณะการทำงานต่อไปนี้จะมีผลกับแอปที่กำหนดเป้าหมายเป็น Android 16 ขึ้นไปเท่านั้น หากแอปกำหนดเป้าหมายเป็น Android 16 ขึ้นไป คุณควรแก้ไขแอปให้รองรับลักษณะการทำงานเหล่านี้ หากเกี่ยวข้อง

นอกจากนี้ โปรดตรวจสอบรายการการเปลี่ยนแปลงลักษณะการทำงานที่มีผลกับแอปทั้งหมด ที่ทำงานบน Android 16 ไม่ว่า targetSdkVersion ของแอปจะเป็นอย่างไร

ประสบการณ์ของผู้ใช้และ UI ของระบบ

Android 16 (ระดับ API 36) มีการเปลี่ยนแปลงต่อไปนี้ซึ่งมีจุดประสงค์ เพื่อสร้างประสบการณ์ของผู้ใช้ที่สอดคล้องกันและใช้งานง่ายยิ่งขึ้น

การเลือกไม่ใช้แบบไร้ขอบจะสิ้นสุดลง

Android 15 บังคับใช้การแสดงผลแบบขอบต่อขอบสำหรับแอปที่กำหนดเป้าหมายเป็น Android 15 (API ระดับ 35) แต่แอปของคุณสามารถเลือกไม่ใช้ได้โดยตั้งค่า R.attr#windowOptOutEdgeToEdgeEnforcement เป็น true สำหรับแอปที่กำหนดเป้าหมายเป็น Android 16 (API ระดับ 36) ระบบจะเลิกใช้งานและปิดใช้ R.attr#windowOptOutEdgeToEdgeEnforcement และแอปของคุณจะเลือกไม่ใช้การแสดงผลแบบไร้ขอบไม่ได้

• หากแอปกำหนดเป้าหมายเป็น Android 16 (ระดับ API 36) และทำงานบนอุปกรณ์ Android 15 R.attr#windowOptOutEdgeToEdgeEnforcement จะยังคงทำงานต่อไป
• หากแอปกำหนดเป้าหมายเป็น Android 16 (API ระดับ 36) และทำงานบนอุปกรณ์ Android 16 ระบบจะปิดใช้ R.attr#windowOptOutEdgeToEdgeEnforcement

สำหรับการทดสอบใน Android 16 โปรดตรวจสอบว่าแอปของคุณรองรับการแสดงผลแบบขอบจรดขอบ และ นำการใช้ R.attr#windowOptOutEdgeToEdgeEnforcement ออกเพื่อให้แอปของคุณ รองรับการแสดงผลแบบขอบจรดขอบในอุปกรณ์ Android 15 ด้วย หากต้องการรองรับการแสดงผลแบบขอบถึงขอบ โปรดดูคำแนะนำเกี่ยวกับ Compose และ Views

ต้องย้ายข้อมูลหรือเลือกไม่ใช้เพื่อใช้การย้อนกลับที่คาดการณ์ได้

สำหรับแอปที่กำหนดเป้าหมายเป็น Android 16 (ระดับ API 36) ขึ้นไปและทำงานบนอุปกรณ์ Android 16 ขึ้นไป ระบบจะเปิดใช้ภาพเคลื่อนไหวของการย้อนกลับที่คาดการณ์ได้ (ย้อนกลับไปหน้าแรก ข้ามงาน และข้ามกิจกรรม) โดยค่าเริ่มต้น นอกจากนี้ ระบบจะไม่เรียก onBackPressed และ KeyEvent.KEYCODE_BACK ไม่ส่งอีกต่อไป

หากแอปของคุณดักจับเหตุการณ์ย้อนกลับและคุณยังไม่ได้ย้ายข้อมูลไปใช้การย้อนกลับที่คาดการณ์ได้ ให้อัปเดตแอปเพื่อใช้ API การนำทางย้อนกลับที่รองรับ หรือ เลือกไม่ใช้ชั่วคราวโดยตั้งค่า android:enableOnBackInvokedCallback แอตทริบิวต์เป็น false ใน <application> หรือ <activity> แท็กของไฟล์ AndroidManifest.xml ของแอป

เลิกใช้งานและปิดใช้ Elegant Font API

แอปที่กำหนดเป้าหมายเป็น Android 15 (API ระดับ 35) จะมีแอตทริบิวต์ elegantTextHeight TextView ตั้งค่าเป็น true โดยค่าเริ่มต้น ซึ่งจะแทนที่แบบอักษรแบบย่อด้วยแบบอักษรที่อ่านง่ายกว่ามาก คุณลบล้างค่านี้ได้โดยตั้งค่าแอตทริบิวต์ elegantTextHeight เป็น false

Android 16 จะเลิกใช้งานแอตทริบิวต์ elegantTextHeight และระบบจะละเว้นแอตทริบิวต์เมื่อแอปกำหนดเป้าหมายเป็น Android 16 เราจะเลิกใช้ "UI fonts" ที่ควบคุมโดย API เหล่านี้ ดังนั้นคุณควรปรับเลย์เอาต์ใดๆ เพื่อให้การแสดงข้อความในภาษาอาหรับ ลาว เมียนมาร์ ทมิฬ คุชราต กันนาดา มาลายาลัม โอเดีย เตลูกู หรือไทยมีความสอดคล้องกันและพร้อมใช้งานในอนาคต

ลักษณะการทำงานของ

ลักษณะการทํางานของ

ฟังก์ชันหลัก

Android 16 (API ระดับ 36) มีการเปลี่ยนแปลงต่อไปนี้ซึ่งจะแก้ไขหรือขยายความสามารถหลักต่างๆ ของระบบ Android

การเพิ่มประสิทธิภาพการจัดกำหนดเวลางานแบบอัตราคงที่

ก่อนที่จะกำหนดเป้าหมายเป็น Android 16 เมื่อ scheduleAtFixedRate พลาดการเรียกใช้งานเนื่องจากอยู่นอกวงจรการประมวลผลที่ถูกต้อง การเรียกใช้ทั้งหมดที่พลาดไปจะดำเนินการทันทีเมื่อแอปกลับไปยังวงจรการประมวลผลที่ถูกต้อง

เมื่อกำหนดเป้าหมายเป็น Android 16 ระบบจะเรียกใช้scheduleAtFixedRate ที่พลาดไปไม่เกิน1 ครั้งทันทีเมื่อแอปกลับมาอยู่ในวงจรที่ถูกต้อง การเปลี่ยนแปลงลักษณะการทำงานนี้คาดว่าจะช่วยปรับปรุงประสิทธิภาพของแอป ทดสอบลักษณะการทำงานนี้ในแอปเพื่อดูว่าแอปได้รับผลกระทบหรือไม่ นอกจากนี้ คุณยังทดสอบโดยใช้เฟรมเวิร์กความเข้ากันได้ของแอปและเปิดใช้ Flag STPE_SKIP_MULTIPLE_MISSED_PERIODIC_TASKS compat ได้ด้วย

รูปแบบของอุปกรณ์

Android 16 (ระดับ API 36) มีการเปลี่ยนแปลงต่อไปนี้สำหรับแอปเมื่อ แสดงบนอุปกรณ์หน้าจอขนาดใหญ่

เลย์เอาต์แบบปรับขนาดได้

现在，Android 应用可在各种设备（例如手机、平板电脑、可折叠设备、桌面设备、汽车和电视）上运行，并且在大屏设备上支持多种窗口模式（例如分屏和桌面窗口化模式），因此开发者应构建能够适应任何屏幕和窗口尺寸的 Android 应用，无论设备屏幕方向如何。在当今的多设备世界中，限制屏幕方向和尺寸可调整性等范式过于严格。

忽略屏幕方向、尺寸可调整性和宽高比限制

对于以 Android 16（API 级别 36）为目标平台的应用，屏幕方向、尺寸可调整性和宽高比限制不再适用于最小宽度 >= 600dp 的显示屏。无论宽高比或用户偏好的屏幕方向如何，应用都会填满整个显示窗口，且不会采用竖条模式。

此变更引入了新的标准平台行为。Android 正在向一种模型转变，在该模型中，应用需要适应各种屏幕方向、显示大小和宽高比。固定屏幕方向或有限的尺寸调整等限制会阻碍应用的适应性。使应用具有自适应性，以提供尽可能最佳的用户体验。

您还可以使用应用兼容性框架并启用 UNIVERSAL_RESIZABLE_BY_DEFAULT 兼容性标志来测试此行为。

常见的重大更改

忽略屏幕方向、可调整大小性和宽高比限制可能会影响应用在某些设备上的界面，尤其是那些专为锁定为纵向的小布局设计的元素，例如布局拉伸、动画和组件超出屏幕等问题。任何关于宽高比或屏幕方向的假设都可能导致应用出现视觉问题。详细了解如何避免这些问题并改进应用的自适应行为。

允许设备旋转会导致更多 activity 重新创建，如果未正确保留，可能会导致用户状态丢失。如需了解如何正确保存界面状态，请参阅保存界面状态。

实现细节

在全屏模式和多窗口模式下，以下清单属性和运行时 API 会被大屏设备忽略：

• screenOrientation
• resizableActivity
• minAspectRatio
• maxAspectRatio
• setRequestedOrientation()
• getRequestedOrientation()

系统会忽略 screenOrientation、setRequestedOrientation() 和 getRequestedOrientation() 的以下值：

• portrait
• reversePortrait
• sensorPortrait
• userPortrait
• landscape
• reverseLandscape
• sensorLandscape
• userLandscape

对于显示屏可调整大小性，android:resizeableActivity="false"、android:minAspectRatio 和 android:maxAspectRatio 没有影响。

对于以 Android 16（API 级别 36）为目标平台的应用，默认情况下，大屏设备会忽略应用的屏幕方向、可调整尺寸性和宽高比限制，但尚未完全准备就绪的每个应用都可以选择停用此行为，从而暂时替换此行为（这会导致应用恢复到之前放置在兼容模式下的行为）。

例外情况

在以下情况下，Android 16 的屏幕方向、尺寸调整能力和宽高比限制不适用：

• 游戏（基于 android:appCategory 标志）
• 用户在设备的宽高比设置中明确选择启用应用的默认行为
• 小于 sw600dp 的屏幕

暂时选择不接收

如需选择停用特定 activity，请声明 PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY 清单属性：

<activity ...>
  <property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
  ...
</activity>

如果您的应用有太多部分尚未准备好支持 Android 16，您可以在应用级别应用相同的属性，从而完全选择不启用该功能：

<application ...>
  <property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
</application>

สุขภาพและการออกกำลังกาย

Android 16 (ระดับ API 36) มีการเปลี่ยนแปลงต่อไปนี้ที่เกี่ยวข้องกับข้อมูลสุขภาพ และการออกกำลังกาย

สิทธิ์ด้านสุขภาพและการออกกำลังกาย

สำหรับแอปที่กำหนดเป้าหมายเป็น Android 16 (API ระดับ 36) ขึ้นไป สิทธิ์ BODY_SENSORS จะใช้สิทธิ์ที่ละเอียดยิ่งขึ้นในส่วน android.permissions.health ซึ่ง Health Connect ก็ใช้ด้วย และตั้งแต่ Android 16 เป็นต้นไป API ใดก็ตามที่ก่อนหน้านี้ต้องใช้ BODY_SENSORS หรือ BODY_SENSORS_BACKGROUND จะต้องใช้สิทธิ์ android.permissions.health ที่เกี่ยวข้องแทน ซึ่งจะส่งผลต่อประเภทข้อมูล, API และประเภทบริการที่ทำงานอยู่เบื้องหน้าต่อไปนี้

• HEART_RATE_BPM จากบริการข้อมูลสุขภาพใน Wear OS
• Sensor.TYPE_HEART_RATE จาก Android Sensor Manager
• heartRateAccuracy และ heartRateBpm จาก ProtoLayout ใน Wear OS
• FOREGROUND_SERVICE_TYPE_HEALTH ในกรณีที่ต้องใช้สิทธิ์ android.permission.health ที่เกี่ยวข้องแทน BODY_SENSORS

หากแอปใช้ API เหล่านี้ แอปควรขอสิทธิ์แบบละเอียดที่เกี่ยวข้อง

• สำหรับการตรวจสอบอัตราการเต้นของหัวใจ ค่าความอิ่มตัวของออกซิเจนในเลือด หรืออุณหภูมิผิวหนังขณะใช้งาน ให้ขอสิทธิ์แบบละเอียดภายใต้ android.permissions.health เช่น READ_HEART_RATE แทน BODY_SENSORS
• สำหรับการเข้าถึงเซ็นเซอร์ในเบื้องหลัง ให้ขอ READ_HEALTH_DATA_IN_BACKGROUND แทน BODY_SENSORS_BACKGROUND

สิทธิ์เหล่านี้เหมือนกับสิทธิ์ที่ควบคุมการเข้าถึงเพื่ออ่านข้อมูลจาก Health Connect ซึ่งเป็นพื้นที่เก็บข้อมูล Android สำหรับข้อมูลสุขภาพ การออกกำลังกาย และสุขภาวะ

แอปบนมือถือ

แอปบนมือถือที่ย้ายข้อมูลไปใช้ READ_HEART_RATE และสิทธิ์แบบละเอียดอื่นๆ จะต้องประกาศกิจกรรมเพื่อแสดงนโยบายความเป็นส่วนตัวของแอปด้วย ซึ่งเป็นข้อกำหนดเดียวกันกับ Health Connect

การเชื่อมต่อ

Android 16 (ระดับ API 36) มีการเปลี่ยนแปลงต่อไปนี้ในสแต็กบลูทูธ เพื่อปรับปรุงการเชื่อมต่อกับอุปกรณ์ต่อพ่วง

เจตนาใหม่ในการจัดการการสูญเสียพันธะและการเปลี่ยนแปลงการเข้ารหัส

作为改进了对键值对丢失的处理的一部分，Android 16 还引入了 2 个新 intent，以便应用更好地了解键值对丢失和加密更改。

以 Android 16 为目标平台的应用现在可以：

• 在检测到远程键盘连接丢失时接收 ACTION_KEY_MISSING intent，以便提供更具信息量的用户反馈并采取适当的措施。
• 每当链接的加密状态发生变化时，都会收到 ACTION_ENCRYPTION_CHANGE intent。这包括加密状态更改、加密算法更改和加密密钥大小更改。如果应用在稍后收到 ACTION_ENCRYPTION_CHANGE intent 时成功加密了链接，则必须将该绑定视为已恢复。

适应不同的 OEM 实现

虽然 Android 16 引入了这些新 intent，但其实现和广播可能会因不同的设备制造商 (OEM) 而异。为了确保您的应用在所有设备上都能提供一致且可靠的体验，开发者应设计其绑定丢失处理机制，以妥善适应这些潜在的变化。

我们建议您采用以下应用行为：

• 如果广播 ACTION_KEY_MISSING intent：

  系统会断开 ACL（异步无连接）链接，但会保留设备的配对信息（如此处所述）。

  您的应用应将此 intent 用作检测配对丢失的主要信号，并在发起设备忘记或重新配对之前引导用户确认远程设备是否在范围内。

  如果设备在收到 ACTION_KEY_MISSING 后断开连接，您的应用应谨慎重新连接，因为设备可能已不再与系统绑定。

• 如果未广播 ACTION_KEY_MISSING intent：

  ACL 链接将保持连接状态，系统会移除设备的配对信息，与 Android 15 中的行为相同。

  在这种情况下，您的应用应继续使用与之前的 Android 版本相同的现有配对丢失处理机制，以检测和管理配对丢失事件。

วิธีใหม่ในการนำการจับคู่บลูทูธออก

ตอนนี้แอปทั้งหมดที่กำหนดเป้าหมายเป็น Android 16 สามารถยกเลิกการจับคู่อุปกรณ์บลูทูธได้โดยใช้ API สาธารณะใน CompanionDeviceManager หากอุปกรณ์ที่ใช้ร่วมกันได้รับการจัดการเป็นการเชื่อมโยง CDM แอปจะทริกเกอร์การนำการเชื่อมโยงบลูทูธออกได้โดยใช้ removeBond(int) API ใหม่ในอุปกรณ์ที่เชื่อมโยง แอปสามารถตรวจสอบการเปลี่ยนแปลงสถานะการเชื่อมโยงได้โดยฟังเหตุการณ์การแพร่กระจายข้อมูลของอุปกรณ์บลูทูธ ACTION_BOND_STATE_CHANGED

ความปลอดภัย

Android 16 (API ระดับ 36) มีการเปลี่ยนแปลงด้านความปลอดภัยต่อไปนี้

การล็อกดาวน์เวอร์ชัน MediaStore

สำหรับแอปที่กําหนดเป้าหมายเป็น Android 16 ขึ้นไป MediaStore#getVersion() จะมีลักษณะเฉพาะสำหรับแต่ละแอป ซึ่งจะนําพร็อพเพอร์ตี้ระบุออกจากสตริงเวอร์ชันเพื่อป้องกันการละเมิดและการใช้เทคนิคการระบุตัวตน แอปไม่ควรคาดเดารูปแบบของเวอร์ชันนี้ แอปควรจัดการการเปลี่ยนแปลงเวอร์ชันอยู่แล้วเมื่อใช้ API นี้ และในกรณีส่วนใหญ่ก็ไม่จำเป็นต้องเปลี่ยนแปลงลักษณะการทำงานปัจจุบัน เว้นแต่นักพัฒนาแอปจะพยายามอนุมานข้อมูลเพิ่มเติมที่อยู่นอกเหนือขอบเขตที่ตั้งใจไว้ของ API นี้

ความตั้งใจที่ปลอดภัยยิ่งขึ้น

ฟีเจอร์ Safer Intents เป็นความคิดริเริ่มด้านความปลอดภัยแบบหลายเฟสที่ออกแบบมาเพื่อปรับปรุงความปลอดภัยของกลไกการแก้ปัญหา Intent ของ Android โดยมีเป้าหมายเพื่อปกป้องแอปจากการกระทำที่เป็นอันตรายด้วยการเพิ่มการตรวจสอบระหว่างการประมวลผล Intent และกรอง Intent ที่ไม่เป็นไปตามเกณฑ์ที่เฉพาะเจาะจง

ใน Android 15 ฟีเจอร์นี้มุ่งเน้นที่แอปที่ส่ง แต่ตอนนี้ใน Android 16, ได้เปลี่ยนการควบคุมไปที่แอปที่รับ ซึ่งช่วยให้นักพัฒนาแอปเลือกใช้การแก้ปัญหา Intent อย่างเข้มงวด โดยใช้ไฟล์ Manifest ของแอปได้

เรากำลังใช้การเปลี่ยนแปลงที่สำคัญ 2 อย่างดังนี้

1. Intent ที่ชัดแจ้งต้องตรงกับตัวกรอง Intent ของคอมโพเนนต์เป้าหมาย: หาก Intent กำหนดเป้าหมายคอมโพเนนต์อย่างชัดแจ้ง Intent นั้นควรตรงกับตัวกรอง Intent ของคอมโพเนนต์นั้น

2. Intent ที่ไม่มีการดำเนินการจะจับคู่กับตัวกรอง Intent ไม่ได้: ระบบไม่ควรแก้ปัญหา Intent ที่ไม่ได้ระบุการดำเนินการให้เป็นตัวกรอง Intent ใดๆ

การเปลี่ยนแปลงเหล่านี้จะมีผลเฉพาะเมื่อมีแอปหลายแอปเกี่ยวข้อง และจะไม่ส่งผลต่อการจัดการ Intent ภายในแอปเดียว

ผลกระทบ

ลักษณะการเลือกใช้หมายความว่านักพัฒนาแอปต้องเปิดใช้ฟีเจอร์นี้อย่างชัดแจ้งในไฟล์ Manifest ของแอปเพื่อให้มีผล ดังนั้น ผลกระทบของฟีเจอร์นี้จะจำกัดอยู่เฉพาะแอปที่นักพัฒนาแอปมีลักษณะดังนี้

• ทราบถึงฟีเจอร์ Safer Intents และสิทธิประโยชน์ของฟีเจอร์นี้
• เลือกที่จะรวมแนวทางปฏิบัติในการจัดการ Intent ที่เข้มงวดมากขึ้นไว้ในแอปของตน

แนวทางการเลือกใช้นี้จะช่วยลดความเสี่ยงที่แอปที่มีอยู่ซึ่งอาจอาศัยลักษณะการทำงานของการแก้ปัญหา Intent ที่มีความปลอดภัยน้อยกว่าในปัจจุบันจะหยุดทำงาน

แม้ว่าผลกระทบเริ่มต้นใน Android 16 อาจมีจำกัด แต่ความคิดริเริ่ม Safer Intents ก็มีแผนงานที่จะขยายผลกระทบให้กว้างขึ้นใน Android รุ่นต่อๆ ไป โดยแผนคือการทำให้การแก้ปัญหา Intent อย่างเข้มงวดเป็นลักษณะการทำงานเริ่มต้นในที่สุด

ฟีเจอร์ Safer Intents มีศักยภาพในการปรับปรุงความปลอดภัยของระบบนิเวศ Android อย่างมากด้วยการทำให้แอปที่เป็นอันตรายใช้ประโยชน์จากช่องโหว่ในกลไกการแก้ปัญหา Intent ได้ยากขึ้น

อย่างไรก็ตาม การเปลี่ยนไปใช้การเลือกไม่รับและการบังคับใช้แบบบังคับต้องได้รับการจัดการอย่างรอบคอบเพื่อแก้ไขปัญหาความเข้ากันได้ที่อาจเกิดขึ้นกับแอปที่มีอยู่

การใช้งาน

นักพัฒนาแอปต้องเปิดใช้การจับคู่ Intent ที่เข้มงวดมากขึ้นอย่างชัดแจ้งโดยใช้แอตทริบิวต์ intentMatchingFlags ในไฟล์ Manifest ของแอป ต่อไปนี้คือตัวอย่างที่ฟีเจอร์นี้เลือกใช้ได้สำหรับทั้งแอป แต่ปิดใช้/เลือกไม่รับในตัวรับ

<application android:intentMatchingFlags="enforceIntentFilter">
    <receiver android:name=".MyBroadcastReceiver" android:exported="true" android:intentMatchingFlags="none">
        <intent-filter>
            <action android:name="com.example.MY_CUSTOM_ACTION" />
        </intent-filter>
        <intent-filter>
            <action android:name="com.example.MY_ANOTHER_CUSTOM_ACTION" />
        </intent-filter>
    </receiver>
</application>

ข้อมูลเพิ่มเติมเกี่ยวกับแฟล็กที่รองรับ

การทดสอบและการแก้ไขข้อบกพร่อง

เมื่อการบังคับใช้มีผลใช้งานอยู่ แอปควรทำงานได้อย่างถูกต้องหากผู้เรียก Intent ได้ป้อนข้อมูล Intent อย่างถูกต้อง อย่างไรก็ตาม Intent ที่ถูกบล็อกจะทริกเกอร์ข้อความบันทึกคำเตือน เช่น "Intent does not match component's intent filter:" และ "Access blocked:" พร้อมแท็ก "PackageManager." ซึ่งบ่งชี้ถึงปัญหาที่อาจส่งผลต่อแอปและต้องได้รับการ แก้ไข

ตัวกรอง Logcat:

tag=:PackageManager & (message:"Intent does not match component's intent filter:" | message: "Access blocked:")

การกรอง Syscall ของ GPU

เพื่อเพิ่มความปลอดภัยของพื้นผิว Mali GPU เราได้บล็อก IOCTL ของ Mali GPU ที่เลิกใช้งานแล้วหรือมีไว้สำหรับการพัฒนา GPU เท่านั้นในบิลด์เวอร์ชันที่ใช้งานจริง นอกจากนี้ IOCTL ที่ใช้สำหรับการสร้างโปรไฟล์ GPU ยังถูกจำกัดไว้สำหรับกระบวนการเชลล์หรือแอปพลิเคชันที่แก้ไขข้อบกพร่องได้ ดูรายละเอียดเพิ่มเติมเกี่ยวกับนโยบายระดับแพลตฟอร์มได้ที่การปรับปรุง SAC

การเปลี่ยนแปลงนี้จะมีผลในอุปกรณ์ Pixel ที่ใช้ GPU ของ Mali (Pixel 6-9) Arm ได้จัดหมวดหมู่ IOCTL อย่างเป็นทางการใน Documentation/ioctl-categories.rst ของการเปิดตัว r54p2 เราจะดูแลรายการนี้ต่อไปในการเผยแพร่ไดรเวอร์ในอนาคต

การเปลี่ยนแปลงนี้ไม่ส่งผลต่อ API กราฟิกที่รองรับ (รวมถึง Vulkan และ OpenGL) และคาดว่าจะไม่ส่งผลต่อนักพัฒนาแอปหรือแอปพลิเคชันที่มีอยู่ เครื่องมือสร้างโปรไฟล์ GPU เช่น Streamline Performance Analyzer และ Android GPU Inspector จะไม่ได้รับผลกระทบ

การทดสอบ

หากคุณเห็นการปฏิเสธ SELinux ที่คล้ายกับข้อความต่อไปนี้ แสดงว่าแอปพลิเคชันของคุณอาจได้รับผลกระทบจากการเปลี่ยนแปลงนี้

06-30 10:47:18.617 20360 20360 W roidJUnitRunner: type=1400 audit(0.0:85): avc:  denied  { ioctl }
for  path="/dev/mali0" dev="tmpfs" ino=1188 ioctlcmd=0x8023
scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:gpu_device:s0 tclass=chr_file
permissive=0 app=com.google.android.selinux.pts

หากแอปพลิเคชันของคุณต้องใช้ IOCTL ที่ถูกบล็อก โปรดรายงานข้อบกพร่องและมอบหมายให้ android-partner-security@google.com

คำถามที่พบบ่อย

1. การเปลี่ยนแปลงนโยบายนี้มีผลกับ OEM ทุกรายไหม การเปลี่ยนแปลงนี้จะเป็นแบบเลือกใช้ แต่พร้อมให้บริการแก่ OEM ทุกรายที่ต้องการใช้วิธีการเพิ่มความปลอดภัยนี้ ดูวิธีการใช้การเปลี่ยนแปลงได้ใน เอกสารประกอบการใช้งาน

2. การเปลี่ยนแปลงในฐานของโค้ด OEM เป็นข้อบังคับในการใช้งานฟีเจอร์นี้ หรือฟีเจอร์นี้จะมาพร้อมกับการเปิดตัว AOSP ใหม่โดยค่าเริ่มต้น การเปลี่ยนแปลงระดับแพลตฟอร์มจะมาพร้อมกับการเปิดตัว AOSP ใหม่โดยค่าเริ่มต้น ผู้ให้บริการ อาจเลือกใช้การเปลี่ยนแปลงนี้ในโค้ดเบสของตนหากต้องการใช้

3. SoC มีหน้าที่รับผิดชอบในการอัปเดตรายการ IOCTL ไหม เช่น หากอุปกรณ์ของฉันใช้ GPU ของ ARM Mali ฉันจะต้องติดต่อ ARM เพื่อขอรับการเปลี่ยนแปลงไหม SoC แต่ละรายการต้องอัปเดตรายการ IOCTL ต่ออุปกรณ์เมื่อเผยแพร่ไดรเวอร์ เช่น ARM จะอัปเดตรายการ IOCTL ที่เผยแพร่เมื่อมีการอัปเดตไดรเวอร์ อย่างไรก็ตาม OEM ควรตรวจสอบว่าได้รวมการอัปเดตไว้ใน SEPolicy และเพิ่ม IOCTL ที่กำหนดเองที่เลือกไว้ลงในรายการตามที่จำเป็น

4. การเปลี่ยนแปลงนี้จะมีผลกับอุปกรณ์ Pixel ทุกรุ่นที่วางจำหน่ายโดยอัตโนมัติ หรือผู้ใช้ต้องดำเนินการบางอย่างเพื่อเปิด/ปิดการตั้งค่าเพื่อใช้การเปลี่ยนแปลงนี้ การเปลี่ยนแปลงนี้มีผลกับอุปกรณ์ Pixel ทั้งหมดที่วางจำหน่ายซึ่งใช้ GPU Mali (Pixel 6-9) ผู้ใช้ไม่จำเป็นต้องดำเนินการใดๆ เพื่อใช้การเปลี่ยนแปลงนี้

5. การใช้นโยบายนี้จะส่งผลต่อประสิทธิภาพของไดรเวอร์เคอร์เนลไหม เราได้ทดสอบนโยบายนี้ใน GPU ของ Mali โดยใช้ GFXBench และไม่พบการเปลี่ยนแปลงที่วัดได้ ในประสิทธิภาพของ GPU

6. จำเป็นไหมที่รายการ IOCTL จะต้องสอดคล้องกับเวอร์ชันปัจจุบันของไดรเวอร์ในพื้นที่ผู้ใช้และเคอร์เนล ได้ รายการ IOCTL ที่อนุญาตต้องซิงค์กับ IOCTL ที่ไดรเวอร์ทั้งใน Userspace และเคอร์เนลรองรับ หากมีการอัปเดต IOCTL ในพื้นที่ผู้ใช้หรือ ไดรเวอร์เคอร์เนล จะต้องอัปเดตรายการ IOCTL ของ SEPolicy ให้ตรงกัน

7. ARM ได้จัดหมวดหมู่ IOCTL เป็น 'จำกัด' / 'การวัดคุม' แต่เราต้องการใช้ IOCTL บางรายการในกรณีการใช้งานจริง และ/หรือปฏิเสธรายการอื่นๆ OEM/SoC แต่ละรายมีหน้าที่รับผิดชอบในการตัดสินใจว่าจะจัดหมวดหมู่ IOCTL ที่ใช้ตามการกำหนดค่าของไลบรารี Mali ในพื้นที่ผู้ใช้ได้อย่างไร คุณใช้รายการของ ARM เพื่อช่วยในการตัดสินใจได้ แต่กรณีการใช้งานของ OEM/SoC แต่ละรายอาจแตกต่างกัน

ความเป็นส่วนตัว

Android 16 (API ระดับ 36) มีการเปลี่ยนแปลงด้านความเป็นส่วนตัวต่อไปนี้

สิทธิ์เข้าถึงเครือข่ายภายใน

แอปที่มีINTERNETจะเข้าถึงอุปกรณ์ใน LAN ได้ ซึ่งช่วยให้แอปเชื่อมต่อกับอุปกรณ์ในพื้นที่ได้ง่าย แต่ก็มีผลกระทบด้านความเป็นส่วนตัวด้วย เช่น การสร้างลายนิ้วมือของผู้ใช้ และการเป็นพร็อกซีสำหรับตำแหน่ง

โปรเจ็กต์การป้องกันเครือข่าย LAN มีเป้าหมายเพื่อปกป้องความเป็นส่วนตัวของผู้ใช้โดย จำกัดการเข้าถึงเครือข่าย LAN ไว้เบื้องหลังสิทธิ์รันไทม์ใหม่

แผนการเปิดตัว

การเปลี่ยนแปลงนี้จะได้รับการติดตั้งใช้งานระหว่างการเปิดตัว 2 ครั้ง ได้แก่ 25Q2 และ 26Q2 ตามลำดับ นักพัฒนาแอปต้องปฏิบัติตามคำแนะนำนี้สำหรับ 25Q2 และแชร์ความคิดเห็น เนื่องจากระบบจะบังคับใช้การป้องกันเหล่านี้ใน Android รุ่นต่อๆ ไป นอกจากนี้ นักพัฒนาแอปจะต้องอัปเดตสถานการณ์ที่ขึ้นอยู่กับการเข้าถึงเครือข่ายภายในโดยนัยโดยใช้คำแนะนำต่อไปนี้ และเตรียมพร้อมสำหรับการปฏิเสธของผู้ใช้ และการเพิกถอนสิทธิ์ใหม่

ผลกระทบ

ในระยะปัจจุบัน LNP เป็นฟีเจอร์ที่ต้องเลือกใช้ ซึ่งหมายความว่าจะมีผลกับแอปที่เลือกใช้เท่านั้น เป้าหมายของระยะการเลือกใช้คือการช่วยให้นักพัฒนาแอป เข้าใจว่าส่วนใดของแอปที่ต้องอาศัยการเข้าถึงเครือข่าย LAN โดยนัย เพื่อเตรียมพร้อมที่จะใช้การป้องกันสิทธิ์สำหรับรุ่นถัดไป

แอปจะได้รับผลกระทบหากเข้าถึงเครือข่ายท้องถิ่นของผู้ใช้โดยใช้สิ่งต่อไปนี้

• การใช้ซ็อกเก็ตดิบโดยตรงหรือผ่านไลบรารีในที่อยู่เครือข่ายภายใน (เช่น โปรโตคอล Service Discovery mDNS หรือ SSDP)
• การใช้คลาสระดับเฟรมเวิร์กที่เข้าถึงเครือข่ายในเครื่อง (เช่น NsdManager)

การรับส่งข้อมูลไปยังและจากที่อยู่เครือข่ายภายในต้องมีสิทธิ์เข้าถึงเครือข่ายภายใน ตารางต่อไปนี้แสดงกรณีที่พบบ่อย

ข้อจำกัดเหล่านี้ได้รับการติดตั้งใช้งานในส่วนลึกของสแต็กเครือข่าย จึงมีผลกับAPI เครือข่ายทั้งหมด ซึ่งรวมถึงซ็อกเก็ตที่สร้างขึ้น ในโค้ดเนทีฟหรือโค้ดที่มีการจัดการ ไลบรารีเครือข่าย เช่น Cronet และ OkHttp และ API ใดๆ ที่ใช้งานอยู่ด้านบน การพยายามแก้ไขบริการใน เครือข่ายภายใน (เช่น บริการที่มีคำต่อท้าย .local) จะต้องมีสิทธิ์เข้าถึงเครือข่ายภายใน

ข้อยกเว้นสำหรับกฎข้างต้น

• หากเซิร์ฟเวอร์ DNS ของอุปกรณ์อยู่ในเครือข่ายภายใน การรับส่งข้อมูลไปยังหรือจากเซิร์ฟเวอร์ (ที่พอร์ต 53) ไม่จำเป็นต้องมีสิทธิ์เข้าถึงเครือข่ายภายใน
• แอปพลิเคชันที่ใช้ตัวสลับเอาต์พุตเป็นเครื่องมือเลือกในแอปจะไม่ต้องใช้สิทธิ์เครือข่ายในพื้นที่ (จะมีคำแนะนำเพิ่มเติมในไตรมาสที่ 4 ปี 2025)

คำแนะนำสำหรับนักพัฒนาแอป (เลือกใช้)

หากต้องการเลือกใช้ข้อจำกัดเครือข่ายในเครื่อง ให้ทำดังนี้

1. แฟลชอุปกรณ์เป็นบิลด์ที่มี 25Q2 เบต้า 3 ขึ้นไป
2. ติดตั้งแอปที่จะทดสอบ

3. สลับสถานะ Appcompat ใน adb โดยทำดังนี้

   adb shell am compat enable RESTRICT_LOCAL_NETWORK <package_name>
   

4. รีบูตอุปกรณ์

ตอนนี้สิทธิ์เข้าถึงเครือข่ายภายในของแอปถูกจำกัดแล้ว และการพยายามเข้าถึงเครือข่ายภายในจะทำให้เกิดข้อผิดพลาดเกี่ยวกับซ็อกเก็ต หากคุณใช้ API ที่ ดำเนินการในเครือข่ายภายในนอกกระบวนการของแอป (เช่น NsdManager) API เหล่านี้จะไม่ได้รับผลกระทบในระหว่างระยะการเลือกใช้

หากต้องการคืนค่าสิทธิ์เข้าถึง คุณต้องให้สิทธิ์แอปในการเข้าถึง NEARBY_WIFI_DEVICES

1. ตรวจสอบว่าแอปประกาศสิทธิ์ NEARBY_WIFI_DEVICES ในไฟล์ Manifest
2. ไปที่การตั้งค่า > แอป > [ชื่อแอปพลิเคชัน] > สิทธิ์ > อุปกรณ์ที่อยู่ใกล้เคียง > อนุญาต

ตอนนี้การเข้าถึงเครือข่าย LAN ของแอปควรได้รับการกู้คืนแล้ว และสถานการณ์ทั้งหมดควรทํางานได้เหมือนก่อนที่จะเลือกใช้แอป

เมื่อการบังคับใช้เพื่อการปกป้องเครือข่าย LAN เริ่มขึ้น การจราจรของข้อมูลในเครือข่ายของแอป จะได้รับผลกระทบดังนี้

ใช้คำสั่งต่อไปนี้เพื่อเปิด/ปิด Flag ความเข้ากันได้ของแอป

adb shell am compat disable RESTRICT_LOCAL_NETWORK <package_name>

ข้อผิดพลาด

ระบบจะส่งข้อผิดพลาดที่เกิดจากข้อจำกัดเหล่านี้กลับไปยังซ็อกเก็ตที่เรียกใช้ เมื่อใดก็ตามที่เรียกใช้ send หรือตัวแปร send ไปยังที่อยู่เครือข่ายภายใน

ตัวอย่างข้อผิดพลาด

sendto failed: EPERM (Operation not permitted)

sendto failed: ECONNABORTED (Operation not permitted)

คำจำกัดความของเครือข่ายภายใน

เครือข่ายภายในในโปรเจ็กต์นี้หมายถึงเครือข่าย IP ที่ใช้อินเทอร์เฟซเครือข่ายที่สามารถออกอากาศได้ เช่น Wi-Fi หรืออีเทอร์เน็ต แต่ไม่รวมการเชื่อมต่อเซลลูลาร์ (WWAN) หรือ VPN

ระบบจะพิจารณาว่าเครือข่ายต่อไปนี้เป็นเครือข่ายภายใน

IPv4:

• 169.254.0.0/16 // ลิงก์ภายใน
• 100.64.0.0/10 // CGNAT
• 10.0.0.0/8 // RFC1918
• 172.16.0.0/12 // RFC1918
• 192.168.0.0/16 // RFC1918

IPv6:

• ลิงก์เฉพาะ
• เส้นทางที่เชื่อมต่อโดยตรง
• เครือข่าย Stub เช่น Thread
• หลายซับเน็ต (จะแจ้งภายหลัง)

นอกจากนี้ ทั้งที่อยู่แบบมัลติแคสต์ (224.0.0.0/4, ff00::/8) และที่อยู่ IPv4 แบบบรอดแคสต์ (255.255.255.255) จะจัดเป็นที่อยู่เครือข่ายภายใน

รูปภาพที่เป็นของแอป

เมื่อแอปที่กำหนดเป้าหมาย SDK 36 ขึ้นไปในอุปกรณ์ที่ใช้ Android 16 ขึ้นไปแสดงข้อความแจ้งขอสิทธิ์เข้าถึงรูปภาพและวิดีโอ ผู้ใช้ที่เลือกจำกัดการเข้าถึงสื่อที่เลือกไว้จะเห็นรูปภาพทั้งหมดที่แอปเป็นเจ้าของซึ่งเลือกไว้ล่วงหน้าในเครื่องมือเลือกรูปภาพ ผู้ใช้สามารถยกเลิกการเลือกรายการที่เลือกไว้ล่วงหน้ารายการใดก็ได้ ซึ่งจะเป็นการเพิกถอนสิทธิ์เข้าถึงรูปภาพและวิดีโอเหล่านั้นของแอป