Changements de comportement: applications ciblant Android 16 ou version ultérieure

<application ...>
  <property android:name="android.window.PROPERTY_COMPAT_ALLOW_RESTRICTED_RESIZABILITY" android:value="true" />
</application>

Santé et remise en forme

Android 16 (niveau d'API 36) inclut les modifications suivantes concernant les données de santé et de remise en forme.

Autorisations de santé et de remise en forme

Pour les applications ciblant Android 16 (niveau d'API 36) ou version ultérieure, les autorisations BODY_SENSORS utilisent des autorisations plus précises sous android.permissions.health, que Santé Connect utilise également. Depuis Android 16, toute API qui nécessitait auparavant BODY_SENSORS ou BODY_SENSORS_BACKGROUND requiert à la place l'autorisation android.permissions.health correspondante. Cela concerne les types de données, les API et les types de services de premier plan suivants :

• HEART_RATE_BPM depuis les Services Santé sur Wear OS
• Sensor.TYPE_HEART_RATE depuis Android Sensor Manager
• heartRateAccuracy et heartRateBpm de ProtoLayout sur Wear OS
• FOREGROUND_SERVICE_TYPE_HEALTH où l'autorisation android.permission.health correspondante est requise à la place de BODY_SENSORS

Si votre application utilise ces API, elle doit demander les autorisations précises correspondantes :

• Pour la surveillance en cours d'utilisation de la fréquence cardiaque, de la SpO2 ou de la température cutanée : demandez l'autorisation précise sous android.permissions.health, par exemple READ_HEART_RATE au lieu de BODY_SENSORS.
• Pour l'accès aux capteurs en arrière-plan, demandez READ_HEALTH_DATA_IN_BACKGROUND au lieu de BODY_SENSORS_BACKGROUND.

Ces autorisations sont les mêmes que celles qui protègent l'accès à la lecture des données de Santé Connect, le dépôt de données Android pour les données de santé, de forme physique et de bien-être.

Dans les applications mobiles

Les applications mobiles qui migrent vers l'utilisation de READ_HEART_RATE et d'autres autorisations précises doivent également déclarer une activité pour afficher les règles de confidentialité de l'application. Cette exigence est la même que pour Santé Connect.

Connectivité

Android 16 (niveau d'API 36) inclut les modifications suivantes dans la pile Bluetooth pour améliorer la connectivité avec les appareils périphériques.

Nouvelles intentions pour gérer la perte de liaison et les modifications du chiffrement

作为改进了对键值对丢失的处理的一部分，Android 16 还引入了 2 个新 intent，以便应用更好地了解键值对丢失和加密更改。

以 Android 16 为目标平台的应用现在可以：

• 在检测到远程键盘连接丢失时接收 ACTION_KEY_MISSING intent，以便提供更具信息量的用户反馈并采取适当的措施。
• 每当链接的加密状态发生变化时，都会收到 ACTION_ENCRYPTION_CHANGE intent。这包括加密状态更改、加密算法更改和加密密钥大小更改。如果应用在稍后收到 ACTION_ENCRYPTION_CHANGE intent 时成功加密了链接，则必须将该绑定视为已恢复。

适应不同的 OEM 实现

虽然 Android 16 引入了这些新 intent，但其实现和广播可能会因不同的设备制造商 (OEM) 而异。为了确保您的应用在所有设备上都能提供一致且可靠的体验，开发者应设计其绑定丢失处理机制，以妥善适应这些潜在的变化。

我们建议您采用以下应用行为：

• 如果广播 ACTION_KEY_MISSING intent：

  系统会断开 ACL（异步无连接）链接，但会保留设备的配对信息（如此处所述）。

  您的应用应将此 intent 用作检测配对丢失的主要信号，并在发起设备忘记或重新配对之前引导用户确认远程设备是否在范围内。

  如果设备在收到 ACTION_KEY_MISSING 后断开连接，您的应用应谨慎重新连接，因为设备可能已不再与系统绑定。

• 如果未广播 ACTION_KEY_MISSING intent：

  ACL 链接将保持连接状态，系统会移除设备的配对信息，与 Android 15 中的行为相同。

  在这种情况下，您的应用应继续使用与之前的 Android 版本相同的现有配对丢失处理机制，以检测和管理配对丢失事件。

Nouvelle façon de supprimer l'association Bluetooth

Toutes les applications ciblant Android 16 peuvent désormais dissocier des appareils Bluetooth à l'aide d'une API publique dans CompanionDeviceManager. Si un appareil associé est géré en tant qu'association CDM, l'application peut déclencher la suppression de l'association Bluetooth à l'aide de la nouvelle API removeBond(int) sur l'appareil associé. L'application peut surveiller les changements d'état de l'association en écoutant l'événement de diffusion de l'appareil Bluetooth ACTION_BOND_STATE_CHANGED.

Sécurité

Android 16 (niveau d'API 36) inclut les modifications de sécurité suivantes.

Blocage de la version MediaStore

对于以 Android 16 或更高版本为目标平台的应用，MediaStore#getVersion() 现在将是每个应用的唯一标识。这会从版本字符串中移除标识属性，以防止滥用和用于指纹识别技术。应用不应对此版本的格式做出任何假设。在使用此 API 时，应用应已处理版本变更，并且在大多数情况下无需更改其当前行为，除非开发者尝试推断超出此 API 预期范围的其他信息。

Intents plus sûrs

La fonctionnalité Safer Intents est une initiative de sécurité en plusieurs phases conçue pour améliorer la sécurité du mécanisme de résolution des intents d'Android. L'objectif est de protéger les applications contre les actions malveillantes en ajoutant des vérifications lors du traitement des intents et en filtrant les intents qui ne répondent pas à des critères spécifiques.

Dans Android 15, la fonctionnalité était axée sur l'application d'envoi. Désormais, avec Android 16, le contrôle est transféré à l'application de réception, ce qui permet aux développeurs d'activer la résolution stricte des intents à l'aide du fichier manifeste de leur application.

Deux modifications importantes sont mises en œuvre :

1. Les intents explicites doivent correspondre au filtre d'intent du composant cible : si un intent cible explicitement un composant, il doit correspondre au filtre d'intent de ce composant.

2. Les intents sans action ne peuvent correspondre à aucun filtre d'intent : les intents pour lesquels aucune action n'est spécifiée ne doivent être résolus en aucun filtre d'intent.

Ces modifications ne s'appliquent que lorsque plusieurs applications sont impliquées et n'affectent pas la gestion des intents dans une seule application.

Impact

Les développeurs doivent l'activer explicitement dans le fichier manifeste de leur application pour qu'elle prenne effet. Par conséquent, l'impact de la fonctionnalité sera limité aux applications dont les développeurs :

• connaissent la fonctionnalité Intentions plus sûres et ses avantages.
• choisissent activement d'intégrer des pratiques de gestion des intentions plus strictes dans leurs applications.

Cette approche d'activation minimise le risque de casser les applications existantes qui peuvent s'appuyer sur le comportement actuel de résolution des intents moins sécurisé.

Bien que l'impact initial dans Android 16 puisse être limité, l'initiative Safer Intents prévoit un impact plus large dans les futures versions d'Android. L'objectif est de faire de la résolution stricte de l'intention le comportement par défaut.

La fonctionnalité Intents plus sûrs peut améliorer considérablement la sécurité de l'écosystème Android en rendant plus difficile l'exploitation des failles du mécanisme de résolution des intents par les applications malveillantes.

Toutefois, la transition vers la désactivation et l'application obligatoire doivent être gérées avec soin pour résoudre les éventuels problèmes de compatibilité avec les applications existantes.

Implémentation

Les développeurs doivent activer explicitement la correspondance d'intent plus stricte à l'aide de l'attribut intentMatchingFlags dans le fichier manifeste de leur application. Voici un exemple où la fonctionnalité est activée pour l'ensemble de l'application, mais désactivée/désactivable sur un récepteur :

<application android:intentMatchingFlags="enforceIntentFilter">
    <receiver android:name=".MyBroadcastReceiver" android:exported="true" android:intentMatchingFlags="none">
        <intent-filter>
            <action android:name="com.example.MY_CUSTOM_ACTION" />
        </intent-filter>
        <intent-filter>
            <action android:name="com.example.MY_ANOTHER_CUSTOM_ACTION" />
        </intent-filter>
    </receiver>
</application>

En savoir plus sur les indicateurs acceptés :

Tester et déboguer

Lorsque l'application de la règle est active, les applications doivent fonctionner correctement si l'appelant d'intent a correctement renseigné l'intent. Toutefois, les intents bloqués déclenchent des messages d'avertissement dans le journal, tels que "Intent does not match component's intent filter:" et "Access blocked:", avec le tag "PackageManager.". Cela indique un problème potentiel qui pourrait avoir un impact sur l'application et qui nécessite une attention particulière.

Filtre Logcat :

tag=:PackageManager & (message:"Intent does not match component's intent filter:" | message: "Access blocked:")

Filtrage des appels système du GPU

Pour renforcer la surface du GPU Mali, les IOCTL du GPU Mali qui ont été abandonnés ou qui sont destinés uniquement au développement du GPU ont été bloqués dans les versions de production. De plus, les IOCTL utilisés pour le profilage du GPU ont été limités au processus shell ou aux applications débogables. Pour en savoir plus sur la stratégie au niveau de la plate-forme, consultez la mise à jour du SAC.

Cette modification s'applique aux appareils Pixel qui utilisent le GPU Mali (Pixel 6 à 9). Arm a fourni une catégorisation officielle de ses IOCTL dans Documentation/ioctl-categories.rst de sa version r54p2. Cette liste continuera d'être mise à jour dans les futures versions des pilotes.

Cette modification n'a aucune incidence sur les API graphiques compatibles (y compris Vulkan et OpenGL) et ne devrait pas avoir d'impact sur les développeurs ni sur les applications existantes. Les outils de profilage du GPU tels que Streamline Performance Analyzer et Android GPU Inspector ne seront pas affectés.

Tests

Si vous voyez un refus SELinux semblable à celui-ci, il est probable que votre application ait été affectée par cette modification :

06-30 10:47:18.617 20360 20360 W roidJUnitRunner: type=1400 audit(0.0:85): avc:  denied  { ioctl }
for  path="/dev/mali0" dev="tmpfs" ino=1188 ioctlcmd=0x8023
scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:gpu_device:s0 tclass=chr_file
permissive=0 app=com.google.android.selinux.pts

Si votre application doit utiliser des IOCTL bloqués, veuillez signaler un bug et l'attribuer à android-partner-security@google.com.

Questions fréquentes

1. Cette modification de stratégie s'applique-t-elle à tous les OEM ? Cette modification sera facultative, mais disponible pour tous les OEM qui souhaitent utiliser cette méthode de renforcement. Vous trouverez les instructions pour implémenter la modification dans la documentation sur l'implémentation.

2. Est-il obligatoire d'apporter des modifications au codebase OEM pour implémenter cela, ou est-ce inclus par défaut dans une nouvelle version AOSP ? La modification au niveau de la plate-forme sera fournie par défaut avec une nouvelle version AOSP. Les fournisseurs peuvent choisir d'activer cette modification dans leur codebase s'ils le souhaitent.

3. Les SoC sont-ils responsables de la mise à jour de la liste IOCTL ? Par exemple, si mon appareil utilise un GPU ARM Mali, dois-je contacter ARM pour toute modification ? Les SoC individuels doivent mettre à jour leurs listes IOCTL par appareil lors de la publication des pilotes. Par exemple, ARM actualisera sa liste IOCTL publiée lors des mises à jour des pilotes. Toutefois, les OEM doivent s'assurer d'intégrer les mises à jour dans leur SEPolicy et d'ajouter les IOCTL personnalisés sélectionnés aux listes, si nécessaire.

4. Cette modification s'applique-t-elle automatiquement à tous les appareils Pixel disponibles sur le marché, ou une action de l'utilisateur est-elle requise pour activer une option afin d'appliquer cette modification ? Cette modification s'applique à tous les appareils Pixel disponibles sur le marché qui utilisent le GPU Mali (Pixel 6 à 9). Aucune action de l'utilisateur n'est requise pour appliquer cette modification.

5. L'utilisation de cette stratégie aura-t-elle un impact sur les performances du pilote du kernel ? Cette stratégie a été testée sur le GPU Mali à l'aide de GFXBench, et aucune modification mesurable des performances du GPU n'a été observée.

6. La liste IOCTL doit-elle correspondre aux versions actuelles de l'espace utilisateur et du pilote du kernel ? Oui, la liste des IOCTL autorisés doit être synchronisée avec les IOCTL compatibles avec les pilotes de l'espace utilisateur et du kernel. Si les IOCTL dans l'espace utilisateur ou le pilote du kernel sont mis à jour, la liste des IOCTL SEPolicy doit être mise à jour pour correspondre.

7. ARM a classé les IOCTL comme "restreints"/"instrumentation", mais nous souhaitons en utiliser certains en production et/ou en refuser d'autres. Il incombe à chaque OEM/SoC de décider comment catégoriser les IOCTL qu'ils utilisent, en fonction de la configuration de leurs bibliothèques Mali de l'espace utilisateur. La liste ARM peut vous aider à prendre ces décisions, mais le cas d'utilisation de chaque OEM/SoC peut être différent.

Confidentialité

Android 16 (niveau d'API 36) inclut les modifications de confidentialité suivantes.

Autorisation d'accès au réseau local

具有 INTERNET 权限的任何应用都可以访问局域网上的设备。 这使得应用可以轻松连接到本地设备，但也存在隐私影响，例如形成用户指纹，以及成为位置信息的代理。

本地网络保护项目旨在通过在新的运行时权限后限制对本地网络的访问，来保护用户的隐私。

发布计划

这项变更将在 25Q2 和 26Q2 这两个版本之间部署。 开发者必须遵循 25Q2 的相关指南并分享反馈，因为这些保护措施将在后续 Android 版本中强制执行。此外，他们还需要按照以下指南更新依赖于隐式本地网络访问权限的场景，并为用户拒绝和撤消新权限做好准备。

影响

在当前阶段，LNP 是一项选择启用功能，这意味着只有选择启用的应用会受到影响。选择启用阶段的目标是让应用开发者了解应用的哪些部分依赖于隐式本地网络访问权限，以便他们为下一个版本做好权限保护准备。

如果应用使用以下方式访问用户的本地网络，则会受到影响：

• 在本地网络地址（例如 mDNS 或 SSDP 服务发现协议）上直接或通过库使用原始套接字
• 使用可访问本地网络的框架级类（例如 NsdManager）

向本地网络地址发送流量和从本地网络地址接收流量需要本地网络访问权限。下表列出了一些常见情况：

这些限制是在网络堆栈深处实现的，因此适用于所有网络 API。这包括在原生代码或受管理代码中创建的套接字、Cronet 和 OkHttp 等网络库，以及基于这些库实现的任何 API。尝试解析本地网络上的服务（即带有 .local 后缀的服务）将需要本地网络权限。

上述规则的例外情况：

• 如果设备的 DNS 服务器位于本地网络上，则进出该服务器（位于端口 53）的流量不需要本地网络访问权限。
• 如果应用使用输出切换器作为其应用内选择器，则无需本地网络权限（更多指南将在 2025 年第 4 季度发布）。

开发者指南（选择启用）

如需选择启用本地网络限制，请执行以下操作：

1. 将设备刷写到 25Q2 Beta 3 或更高版本的 build。
2. 安装要测试的应用。

3. 在 adb 中切换 Appcompat 标志：

   adb shell am compat enable RESTRICT_LOCAL_NETWORK <package_name>
   

4. 重启设备

现在，您的应用对本地网络的访问受到限制，任何访问本地网络的尝试都会导致套接字错误。如果您使用的 API 在应用进程之外执行本地网络操作（例如：NsdManager），在选择启用阶段，这些 API 不会受到影响。

如需恢复访问权限，您必须向应用授予 NEARBY_WIFI_DEVICES 权限。

1. 确保应用在其清单中声明了 NEARBY_WIFI_DEVICES 权限。
2. 依次前往设置 > 应用 > [应用名称] > 权限 > 附近的设备 > 允许。

现在，应用对本地网络的访问权限应该已恢复，并且所有场景都应像选择启用应用之前一样正常运行。

本地网络保护功能开始强制执行后，应用的网络流量将受到以下影响。

使用以下命令切换关闭应用兼容性标志

adb shell am compat disable RESTRICT_LOCAL_NETWORK <package_name>

错误

每当调用套接字调用 send 或 send 变体向本地网络地址发送数据时，系统都会向该套接字返回因这些限制而产生的错误。

错误示例：

sendto failed: EPERM (Operation not permitted)

sendto failed: ECONNABORTED (Operation not permitted)

本地网络定义

此项目中的本地网络是指使用支持广播的网络接口（例如 Wi-Fi 或以太网）的 IP 网络，但不包括移动网络 (WWAN) 或 VPN 连接。

以下网络被视为本地网络：

IPv4：

• 169.254.0.0/16 // 链路本地
• 100.64.0.0/10 // CGNAT
• 10.0.0.0/8 // RFC1918
• 172.16.0.0/12 // RFC1918
• 192.168.0.0/16 // RFC1918

IPv6：

• 链路本地
• 直接连接的路线
• Thread 等桩网络
• 多个子网（待定）

此外，多播地址 (224.0.0.0/4、ff00::/8) 和 IPv4 广播地址 (255.255.255.255) 都归类为本地网络地址。

Photos appartenant à l'application

Lorsqu'une application ciblant le SDK 36 ou version ultérieure sur des appareils équipés d'Android 16 ou version ultérieure demande des autorisations de photo et de vidéo, les utilisateurs qui choisissent de limiter l'accès aux contenus multimédias sélectionnés verront les photos appartenant à l'application présélectionnées dans le sélecteur de photos. Les utilisateurs peuvent désélectionner n'importe lequel de ces éléments présélectionnés, ce qui révoque l'accès de l'application à ces photos et vidéos.