Alterações de privacidade no Android 10

O Android 10 (nível 29 da API) introduz uma série de alterações de recursos e comportamentos para proteger melhor a privacidade dos usuários. Essas mudanças aumentam a transparência e o controle que os usuários têm sobre os próprios dados e os recursos que eles fornecem aos apps. Esses recursos podem fazer com que comportamentos ou dados específicos de que seu app depende se comportem de maneira diferente em comparação com versões mais antigas da plataforma. Os impactos no seu app devem ser mínimos se ele seguir as práticas recomendadas atuais para lidar com dados do usuário.

Esta página lista um resumo de cada alteração.

Principais mudanças

Esta seção inclui as principais mudanças no Android 10 relacionadas à privacidade.

Acesso ao armazenamento externo com escopo definido para arquivos e mídia do app

Por padrão, os apps destinados ao Android 10 e versões mais recentes recebem acesso com escopo ao armazenamento externo ou armazenamento com escopo. Esses apps podem ver os seguintes tipos de arquivo em um dispositivo de armazenamento externo sem precisar solicitar permissões de usuário relacionadas ao armazenamento:

Para saber mais sobre o armazenamento com escopo e como compartilhar, acessar e modificar arquivos salvos em dispositivos de armazenamento externo, consulte os guias sobre como gerenciar arquivos no armazenamento externo e acessar e modificar arquivos de mídia.

O acesso ao local do dispositivo em segundo plano requer permissão

Para oferecer compatibilidade com o maior controle que os usuários têm sobre o acesso de um app às informações de localização, o Android 10 introduz a permissão ACCESS_BACKGROUND_LOCATION.

Ao contrário das permissões ACCESS_FINE_LOCATION e ACCESS_COARSE_LOCATION, a permissão ACCESS_BACKGROUND_LOCATION só afeta o acesso de um app à localização quando ele é executado em segundo plano. A menos que uma das seguintes condições seja atendida, considera-se que o app está acessando a localização em segundo plano:

  • Uma atividade pertencente ao app está visível.
  • O app está executando um serviço em primeiro plano que declarou um tipo de serviço em primeiro plano de location.

    Para declarar o tipo de serviço em primeiro plano para um serviço no seu app, defina a targetSdkVersion ou compileSdkVersion do app como 29 ou mais recente. Saiba mais sobre como os serviços em primeiro plano podem continuar ações iniciadas pelo usuário que exigem acesso ao local.

Se o app cria e monitora cercas geográficas e é destinado ao Android 10 (nível 29 da API) ou versões mais recentes, é necessário declarar a permissão ACCESS_BACKGROUND_LOCATION.

Acesso concedido automaticamente ao direcionar para o Android 9 ou versões anteriores

Se o app for executado no Android 10 ou versões mais recentes, mas for direcionado ao Android 9 (nível 28 da API) ou versões anteriores, o comportamento a seguir será aplicado:

  • Se o app declarar um elemento <uses-permission> para ACCESS_FINE_LOCATION ou ACCESS_COARSE_LOCATION, o sistema vai adicionar automaticamente um elemento <uses-permission> para ACCESS_BACKGROUND_LOCATION durante a instalação.
  • Se o app solicitar ACCESS_FINE_LOCATION ou ACCESS_COARSE_LOCATION, o sistema vai adicionar ACCESS_BACKGROUND_LOCATION automaticamente à solicitação.

Acesso quando o dispositivo faz upgrade para o Android 10

Se um usuário conceder ao app acesso à localização do dispositivo ( ACCESS_COARSE_LOCATION ou ACCESS_FINE_LOCATION), e fizer upgrade do dispositivo do Android 9 para o Android 10, o sistema vai atualizar automaticamente o conjunto de permissões baseadas em localização concedidas ao app. O conjunto de permissões que o app recebe após o upgrade depende da versão do SDK de destino e das permissões definidas, conforme mostrado na tabela a seguir:

Tabela 1. Mudanças no estado de permissão de localização após o upgrade do dispositivo para o Android 10

Versão da plataforma de destino Permissão concedida
aproximada ou fina?
Permissão em segundo plano
definida no manifesto?
Estado de permissão padrão atualizado
Android 10 Sim Sim Acesso em primeiro e segundo plano
Android 10 Sim Não Apenas acesso em primeiro plano
Android 10 Não (Ignorado pelo sistema) Sem acesso
Android 9 ou anterior Sim Adicionado automaticamente pelo sistema no momento do upgrade do dispositivo Acesso em primeiro e segundo plano
Android 9 ou anterior Não (Ignorado pelo sistema) Sem acesso

O usuário pode mudar esse nível de acesso mesmo depois que o sistema atualiza automaticamente o acesso do app à localização do dispositivo. Por exemplo, o usuário pode reduzir o acesso do app apenas ao primeiro plano ou revogar o acesso por completo. Antes de tentar acessar a localização do dispositivo, principalmente em um serviço em primeiro plano, seu app precisa verificar se o usuário ainda permite que o app receba essas informações de localização.

O acesso foi revogado ao atualizar o nível desejado da API em dispositivos Android 10.

Considere o caso em que seu app já está instalado em um dispositivo com o Android 10. Se você atualizar o app para direcioná-lo ao Android 10 nessa situação, o dispositivo revoga a permissão ACCESS_BACKGROUND_LOCATION.

Para mais informações sobre como recuperar a localização do dispositivo enquanto o app está em segundo plano, consulte o guia sobre como receber atualizações periódicas da localização.

Restrições para o início de atividades em segundo plano

A partir do Android 10, o sistema impõe restrições ao início de atividades em segundo plano. Essa mudança de comportamento ajuda a minimizar as interrupções e mantém o usuário mais no controle do que é mostrado na tela. Desde que seu app inicie atividades como resultado direto da interação do usuário, é provável que ele não seja afetado por essas restrições.

Para saber mais sobre a alternativa recomendada para iniciar atividades em segundo plano, consulte o guia sobre como alertar os usuários sobre eventos urgentes no seu app.

Identificadores e dados

Esta seção lista as alterações específicas ao trabalho com identificadores e dados do dispositivo.

Remoção da afinidade de contatos

A partir do Android 10, a plataforma não monitora as informações de afinidade de contatos. Como resultado, se o app realizar uma pesquisa nos contatos do usuário, os resultados não serão ordenados por frequência de interação.

O guia sobre ContactsProvider contém uma notificação descrevendo os campos e métodos específicos que estão obsoletos em todos os dispositivos a partir do Android 10.

Randomização de endereço MAC

Em dispositivos com o Android 10 ou versões mais recentes, o sistema transmite endereços MAC aleatórios por padrão.

Se o app processar um caso de uso empresarial, a plataforma fornecerá APIs para várias operações relacionadas a endereços MAC:

  • Conseguir um endereço MAC aleatório:os apps do proprietário do perfil e do proprietário do dispositivo podem recuperar o endereço MAC aleatório atribuído a uma rede específica chamando getRandomizedMacAddress().
  • Conseguir o endereço MAC real de fábrica:os apps do proprietário do dispositivo podem recuperar o endereço MAC real do hardware de um dispositivo chamando getWifiMacAddress(). Esse método é útil para rastrear grupos de dispositivos.

Restrição do acesso ao sistema de arquivos /proc/net

Em dispositivos com o Android 10 ou versões mais recentes, os apps não podem acessar /proc/net, que inclui informações sobre o estado da rede de um dispositivo. Os apps que precisam de acesso a essas informações, como as VPNs, precisam usar a classe NetworkStatsManager ou ConnectivityManager.

Restrição de identificadores de dispositivo não reconfiguráveis

A partir do Android 10, os apps precisam ter a permissão privilegiada READ_PRIVILEGED_PHONE_STATE para acessar os identificadores não reconfiguráveis do dispositivo, que incluem o IMEI e o número de série.

Os métodos afetados incluem:

Se o app não tiver permissão e ainda assim você tentar solicitar informações sobre identificadores não reconfiguráveis, a resposta da plataforma mudará de acordo com a versão do SDK à qual ele está destinado:

  • Se o app for destinado ao Android 10 ou versões mais recentes, ocorrerá uma SecurityException.
  • Se o app for destinado ao Android 9 (API de nível 28) ou versões anteriores, o método retornará null ou dados de marcadores caso o app tenha a permissão READ_PHONE_STATE. Caso contrário, ocorre uma SecurityException.

Muitos casos de uso não precisam de identificadores de dispositivo não reconfiguráveis. Por exemplo, se seu app usa identificadores de dispositivo não reconfiguráveis para fins de rastreamento de anúncios ou de análise de usuários, use um ID de publicidade do Android para esses casos de uso específicos. Para saber mais, consulte as práticas recomendadas para identificadores exclusivos.

Acesso limitado aos dados da área de transferência

A menos que seu app seja o Editor de método de entrada (IME) padrão ou que ele seja o app em foco no momento, ele não poderá acessar dados da área de transferência no Android 10 ou versões mais recentes.

Proteção do número de série do dispositivo USB

Se o app for direcionado ao Android 10 ou versões mais recentes, ele não poderá ler o número de série até que o usuário conceda permissão ao app para acessar o dispositivo ou acessório USB.

Para saber mais sobre como trabalhar com dispositivos USB, consulte o guia sobre como configurar hosts USB.

Câmera e conectividade

Esta seção lista as alterações específicas aos metadados da câmera e às APIs de conectividade.

Restrição do acesso aos detalhes e metadados da câmera

O Android 10 altera a amplitude das informações que o método getCameraCharacteristics() retorna por padrão. Especificamente, o app precisa ter permissão da CAMERA para acessar metadados possivelmente específicos do dispositivo que estão incluídos no valor de retorno deste método.

Para saber mais sobre essas mudanças, consulte a seção sobre os campos da câmera que requerem permissão.

Restrição para ativar e desativar o Wi-Fi

Os apps direcionados ao Android 10 ou versões mais recentes não podem ativar ou desativar o Wi-Fi. O método WifiManager.setWifiEnabled() sempre retorna false.

Se você precisar solicitar que os usuários ativem e desativem o Wi-Fi, use um painel de configurações.

Restrições ao acesso direto a redes Wi-Fi configuradas

Para proteger a privacidade do usuário, a configuração manual da lista de redes Wi-Fi é restrita aos apps do sistema e aos controladores de política de dispositivo (DPCs). Um determinado DPC pode ser o proprietário do dispositivo ou do perfil.

Se o app for direcionado ao Android 10 ou versões mais recentes e não for um app do sistema ou um DPC, os métodos a seguir não retornarão dados úteis:

Se o app precisar se conectar a redes Wi-Fi, use os seguintes métodos alternativos:

  • Para acionar uma conexão local instantânea a uma rede Wi-Fi, use WifiNetworkSpecifier em um objeto NetworkRequest padrão.
  • Para adicionar redes Wi-Fi que possam ser consideradas para fornecer ao usuário acesso à Internet, trabalhe com objetos WifiNetworkSuggestion. É possível adicionar e remover redes que aparecem na caixa de diálogo de seleção de rede de conexão automática chamando addNetworkSuggestions() e removeNetworkSuggestions(), respectivamente. Esses métodos não exigem nenhuma permissão de localização.

Algumas APIs de telefonia, Bluetooth e Wi-Fi requerem permissão de localização EXATA

Se o app for direcionado ao Android 10 ou versões mais recentes, ele precisará ter a permissão ACCESS_FINE_LOCATION para usar vários métodos nas APIs Wi-Fi, Wi-Fi Aware ou Bluetooth. As seções a seguir listam as classes e os métodos afetados.

Telefonia

Wi-Fi

Bluetooth

Permissões

Esta seção descreve as atualizações no modelo de permissões do Android.

Acesso restrito ao conteúdo da tela

Para proteger o conteúdo da tela dos usuários, o Android 10 impede o acesso silencioso ao conteúdo da tela do dispositivo alterando o escopo das permissões READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT e CAPTURE_SECURE_VIDEO_OUTPUT. A partir do Android 10, essas permissões são apenas para acesso por assinatura.

Os apps que precisam acessar o conteúdo da tela do dispositivo precisam usar a API MediaProjection, que exibe uma solicitação de consentimento do usuário.

Verificação de permissão voltada ao usuário em apps legados

Se o app for destinado ao Android 5.1 (nível 22 da API) ou versões anteriores, os usuários vão encontrar uma tela de permissões ao usar o app em um dispositivo que executa o Android 10 ou versões mais recentes pela primeira vez, como mostrado na Figura 1. Essa tela oferece aos usuários a oportunidade de revogar o acesso a permissões que o sistema concedeu ao app no momento da instalação.

Captura de tela da caixa de diálogo
Figura 1. Caixa de diálogo voltada ao usuário que permite a revisão de permissões legadas

Reconhecimento de atividade física

O Android 10 apresenta a permissão de ambiente de execução android.permission.ACTIVITY_RECOGNITION para apps que precisam detectar a contagem de passos do usuário ou classificar as atividades físicas dele, como caminhadas, passeios de bicicleta ou em um veículo. Isso foi projetado para permitir que os usuários vejam nas configurações. como os dados do sensor do dispositivo são usados

Algumas bibliotecas do Google Play Services, como a API Activity Recognition e a API Google Fit, não fornecem resultados, a menos que o usuário conceda ao app essa permissão.

Os únicos sensores integrados no dispositivo que exigem que você declare essa permissão são os sensores do contador de passos e do detector de passos.

Se o app for direcionado ao Android 9 (nível 28 da API) ou versões anteriores, o sistema vai conceder automaticamente a permissão android.permission.ACTIVITY_RECOGNITION, conforme necessário, se ele atender a cada uma das condições abaixo:

  • O arquivo de manifesto inclui a permissão com.google.android.gms.permission.ACTIVITY_RECOGNITION.
  • O arquivo de manifesto não inclui a permissão android.permission.ACTIVITY_RECOGNITION.

Se o sistema conceder automaticamente a permissão android.permission.ACTIVITY_RECOGNITION, o app vai manter a permissão depois que você atualizar o app para o Android 10. No entanto, o usuário pode revogar essa permissão a qualquer momento nas configurações do sistema.

Grupos de permissões removidos da IU

A partir do Android 10, os apps não podem pesquisar como as permissões são agrupadas na interface.