Android 17 平台包含一些可能会影响您的应用的行为变更。以下行为变更将影响在 Android 17 上运行的所有应用,无论采用哪种 targetSdkVersion 都不例外。您应该测试您的应用,然后根据需要酌情修改,以便支持这些变更。
此外,请务必查看仅影响以 Android 17 为目标平台的应用的行为变更列表。
核心功能
Android 17(API 级别 37)包含以下变更,这些变更会修改或扩展 Android 系统的各种核心功能。
应用内存限制
Android 17 引入了基于设备总 RAM 的应用内存限制,旨在为您的应用和 Android 用户打造更稳定、更具确定性的环境。在 Android 17 中,限制设置得较为保守,目的是建立系统基准,在极端内存泄漏和其他异常情况触发系统范围的不稳定性(导致界面卡顿、耗电过快和应用被终止)之前,先针对这些情况。虽然我们预计对绝大多数 应用会话的影响很小,但我们建议遵循以下内存最佳实践, 包括建立内存基准。
您可以通过在 ApplicationExitInfo 中调用
getDescription 来确定应用会话是否受到影响;如果您的应用受到
影响,退出原因将为 REASON_OTHER 并且
说明将包含字符串 "MemoryLimiter:AnonSwap" 以及
其他信息。您还可以使用 基于触发器的分析(使用
TRIGGER_TYPE_ANOMALY)来获取在达到
内存限制时收集的堆转储。
为了帮助您查找内存泄漏,Android Studio Panda 直接在 Android Studio 性能分析器中添加了 LeakCanary 集成,作为 IDE 中特定任务,并与您的源代码完全集成。
隐私权
Android 17 包含以下变更,旨在提升用户隐私保护。
动态短信密码保护
从 Android 17 开始,Android 正在扩大对包含一次性密码 (OTP) 的短信的保护范围。
在之前的 Android 版本中,此保护机制主要侧重于 SMS Retriever 格式。对于大多数应用,包含短信检索器哈希的消息的传送延迟了 3 小时。不过,某些应用(例如默认 SMS 处理程序)不受此延迟限制,拥有哈希的应用也不受此限制。
从 Android 17 开始,此保护机制也适用于 WebOTP 格式的消息。如果应用有权读取短信,但不是 WebOTP 消息的预期收件人(由网域验证确定),则在收到消息后的 3 小时内,该应用无法访问该消息。此变更旨在提高用户安全性,确保只有与消息中提及的网域相关联的应用才能以程序化方式读取验证码。
在这 3 小时的延迟期间,系统会保留 SMS_RECEIVED_ACTION 广播并过滤短信提供商数据库查询。延迟结束后,这些应用即可获取相应短信。此项变更适用于所有应用,与其目标 API 级别无关。
某些应用(例如默认的短信助理应用、已连接的设备配套应用等)不受此延迟限制。所有依赖于读取短信消息来提取动态密码的应用都应改用 SMS Retriever 或 SMS User Consent API,以确保功能能够继续正常运行。
安全
Android 17 包含以下设备和应用安全方面的改进。
usesClearTraffic 弃用计划
我们计划在未来的版本中弃用 usesCleartextTraffic 元素。需要建立未加密 (HTTP) 连接的应用应迁移为使用网络安全配置文件,该文件可让您指定应用需要与哪些网域建立明文连接。
请注意,网络安全配置文件仅在 API 级别 24 及更高版本中受支持。如果您的应用的最低 API 级别低于 24,您应执行以下两项操作:
- 将
usesCleartextTraffic属性设置为true - 使用网络配置文件
如果应用的最低 API 级别为 24 或更高,您可以使用网络配置文件,而无需设置 usesCleartextTraffic。
限制隐式 URI 授权
目前,如果应用使用具有操作
ACTION_SEND、
SEND_MULTIPLE、
或
ACTION_IMAGE_CAPTURE的 URI 启动 intent,系统会自动向目标应用授予读取和
写入 URI 权限。我们计划在
Android 18 中更改此行为。因此,我们建议应用显式授予相关 URI 权限,而不是依赖系统来授予这些权限。
每个应用的密钥库限制
应用应避免在 Android 密钥库中创建过多的密钥,因为它是设备上所有应用的共享资源。从 Android 17 开始,系统会强制限制应用可拥有的密钥数量。对于以 Android 17(API 级别 37)或更高版本为目标平台的非系统应用,密钥数量上限为 50,000 个;对于所有其他应用,密钥数量上限为 200,000 个。无论系统应用以哪个 API 级别为目标,其密钥数量上限均为 20 万。
如果应用尝试创建超出限制的密钥,则创建会失败并显示 KeyStoreException。异常的消息字符串包含有关密钥限制的信息。如果应用针对异常调用 getNumericErrorCode(),则返回值取决于应用的目标 API 级别:
- 如果应用以 Android 17(API 级别 37)或更高版本为目标平台,
getNumericErrorCode()会返回新的ERROR_TOO_MANY_KEYS值。 - 所有其他应用:
getNumericErrorCode()返回ERROR_INCORRECT_USAGE。
阻止跨资料环回流量
从 Android 17 开始,默认情况下不再允许跨个人资料环回流量。同一个人资料内的环回流量不受影响。 此项变更适用于在 Android 17 或更高版本上运行的所有应用,无论应用以哪个 API 级别为目标平台。
用户体验和系统界面
Android 17 包含以下变更,旨在打造更一致、更直观的用户体验。
在旋转后恢复默认 IME 可见性
从 Android 17 开始,当设备的配置发生变化(例如,通过旋转)且应用本身未处理此变化时,系统不会恢复之前的 IME 可见性。
如果应用经历了它无法处理的配置更改,并且应用需要在更改后显示键盘,您必须明确请求此行为。您可以通过以下方式之一提出此要求:
- 将
android:windowSoftInputMode属性设置为stateAlwaysVisible。 - 在 activity 的
onCreate()方法中以编程方式请求显示软键盘,或添加onConfigurationChanged()方法。
人工输入
Android 17 包含以下变更,这些变更会影响应用与键盘和触控板等人工输入设备的互动方式。
在指针捕获期间,触控板默认传递相对事件
从 Android 17 开始,如果应用使用 View.requestPointerCapture() 请求捕获指针,并且用户使用触控板,系统会识别用户触摸操作产生的指针移动和滚动手势,并以与捕获的鼠标产生的指针和滚轮移动相同的方式将这些信息报告给应用。在大多数情况下,这使得支持捕获鼠标的应用无需为触控板添加特殊的处理逻辑。如需了解详情,请参阅 View.POINTER_CAPTURE_MODE_RELATIVE 的文档。
之前,系统不会尝试识别触控板的手势,而是以类似于触摸屏触摸的格式将原始的绝对手指位置传递给应用。如果应用仍需要此绝对数据,则应改为使用 View.POINTER_CAPTURE_MODE_ABSOLUTE 调用新的 View.requestPointerCapture(int) 方法。
媒体
Android 17 针对媒体行为做了以下更改。
后台音频安全加固
从 Android 17 开始,音频框架会对后台音频互动(包括音频播放、音频焦点请求和音量更改 API)强制执行限制,以确保这些更改是由用户有意发起的。
如果应用尝试在应用未处于有效生命周期时调用音频 API,则音频播放和音量更改 API 会以静默方式失败,而不会抛出异常或提供失败消息。音频焦点 API 会失败,并返回结果代码 AUDIOFOCUS_REQUEST_FAILED。
如需了解详情(包括缓解措施),请参阅后台音频安全加固。
连接
Android 17 包含以下变更,以增强设备连接性。
针对蓝牙绑定丢失的自主重新配对
Android 17 引入了自主重新配对功能,这是一项系统级增强功能,旨在自动解决蓝牙配对信息丢失问题。
以前,如果配对信息丢失,用户必须手动前往“设置”取消配对,然后重新配对外围设备。此功能以 Android 16 的安全改进为基础,允许系统在后台重新建立配对信息,而无需用户手动前往“设置”取消配对并重新配对外围设备。
虽然大多数应用不需要更改代码,但开发者应注意蓝牙堆栈中的以下行为变更:
- 新的配对上下文:
ACTION_PAIRING_REQUEST现在包含EXTRA_PAIRING_CONTEXTextra,允许应用区分 标准配对请求和自主系统发起的重新配对尝试。 - 有条件的密钥更新:只有在重新配对成功且新连接达到或超过之前配对信息的安全级别时,才会替换现有安全密钥。
- 修改后的 intent 时间:现在,只有在自主重新配对尝试失败时,才会广播
ACTION_KEY_MISSINGintent。如果系统在后台成功恢复配对信息,则可以减少应用中不必要的错误处理。 - 用户通知:系统通过新的界面通知和对话框管理重新配对。系统会提示用户确认重新配对尝试,以确保用户了解重新连接。
外围设备制造商和配套应用开发者应验证硬件和应用是否能妥善处理配对信息转换。如需测试此行为,请使用以下任一方法模拟远程配对信息丢失:
- 从外围设备中手动移除配对信息
- 在“设置”>“已连接的设备”中手动取消配对设备