Permissão de rede local

Os dispositivos em uma rede local (LAN) podem ser acessados por qualquer app que tenha a permissão INTERNET. Isso facilita a conexão dos apps com dispositivos locais, mas também tem implicações de privacidade, como a formação de uma impressão digital do usuário e a atuação como um proxy de localização.

O projeto de proteções de rede local visa proteger a privacidade do usuário restringindo o acesso à rede local com uma nova permissão de execução.

Impacto

No Android 16, essa permissão é um recurso de ativação. Isso significa que apenas os apps que ativarem a opção serão afetados. O objetivo da ativação é que os desenvolvedores de apps entendam quais partes do app dependem do acesso implícito à rede local para se prepararem para proteger as permissões em uma versão futura do Android.

Os apps serão afetados se acessarem a rede local do usuário usando:

• Uso direto ou de biblioteca de sockets brutos em endereços de rede local, por exemplo, Multicast DNS (mDNS) ou Simple Service Discovery Protocol (SSDP).
• Uso de classes no nível da estrutura que acessam a rede local, por exemplo, NsdManager.

Detalhes do impacto

O tráfego de e para um endereço de rede local exige permissão de acesso à rede local. A tabela a seguir lista alguns casos comuns:

Essas restrições são implementadas na pilha de rede e, portanto, se aplicam a todas as APIs de rede. Isso inclui sockets criados na plataforma ou em código gerenciado, bibliotecas de rede como Cronet e OkHttp e todas as APIs implementadas sobre elas. Tentar resolver serviços na rede local que têm um sufixo .local requer permissão de rede local.

Exceções às regras anteriores:

• Se o servidor DNS de um dispositivo estiver em uma rede local, o tráfego de / para ele (na porta 53) não exigirá permissão de acesso à rede local.
• Os aplicativos que usam o seletor de saída como seletor no app não vão precisar de permissões de rede local. Mais orientações serão fornecidas em uma versão futura.

Orientação

Para ativar as restrições de rede local, faça o seguinte:

1. Atualizar o dispositivo para um build com o Android 16 Beta 3 ou mais recente
2. Instalar o app a ser testado

3. Alternar a configuração do Appcompat usando adb

   adb shell am compat enable RESTRICT_LOCAL_NETWORK <package_name>
   

4. Reinicie o dispositivo.

Agora, o acesso do app à rede local está restrito, e qualquer tentativa de acessar a rede local vai gerar erros de soquete. Se você estiver usando APIs que realizam operações de rede local fora do processo do app, como NsdManager, elas não serão afetadas durante a ativação.

Para restaurar o acesso, conceda ao app permissão para NEARBY_WIFI_DEVICES.

• Verifique se o app declara a permissão NEARBY_WIFI_DEVICES no manifest.
• Acesse Configurações > Apps > [Nome do aplicativo] > Permissões > Dispositivos por perto > Permitir.

Agora, o acesso do app à rede local deve ser restaurado, e todos os seus cenários vão funcionar como antes de ativar o app. Veja como o tráfego de rede do app será afetado.

Use o comando a seguir para desativar a configuração do Appcompat

adb shell am compat disable RESTRICT_LOCAL_NETWORK <package_name>

Erros

Se um pedido de acesso à rede local falhar devido à ausência de permissão:

• As conexões TCP geralmente resultam em um erro de tempo limite.
• Os erros de UDP e as negações gerais de permissão geralmente resultam em um código de erro EPERM.

Bugs

Envie bugs e feedback sobre:

• Discrepâncias no acesso à LAN (você acha que um determinado acesso não deve ser considerado "rede local")
• Bugs em que o acesso à LAN deveria estar bloqueado, mas não está
• Bugs em que o acesso à LAN não deveria ser bloqueado, mas é

Os seguintes itens não serão afetados por essa mudança:

• Acesso à Internet
• Rede móvel