谷歌本周宣布推出第一个 Android 14 开发者预览版,并分享了平台更新将带来的一些安全和隐私改进的细节。
Android 14 预计将于秋季某个时候登陆设备,它带来了新功能和 API,以及可能影响应用程序的行为变化。开发人员预览版的目的是帮助应用程序开发人员了解这些更改并测试他们的应用程序是否存在兼容性问题。
平台更新将带来的安全增强功能之一与运行时接收器有关,并建立在 Android 13 中引入的更改的基础上,当时谷歌指示开发人员指定其应用程序注册的广播接收器是否应该对设备上的其他应用程序可见。
在 Android 13 之前,任何应用程序都可以向不受签名权限保护的动态注册接收器发送不受保护的广播。
为了帮助保护应用程序免受安全漏洞的影响,“针对 Android 14 并使用上下文注册接收器的应用程序和服务需要指定一个标志,以指示接收器是否应该导出到设备上的所有其他应用程序,”谷歌说。
Android 14还试图通过限制应用程序在内部发送未指定包的意图来保护应用程序免受可能拦截意图的恶意软件的侵害。
此外,应用程序现在可以仅向导出的组件发送隐式意图,并且“必须使用显式意图传递给未导出的组件,或者将组件标记为已导出”,这家互联网巨头解释道。
为防止恶意使用动态代码加载 (DCL),为 Android 14 构建的应用程序必须将动态加载的文件标记为只读。根据谷歌的说法,开发人员应该避免动态加载代码,因为这会使应用程序面临代码注入或代码篡改的风险。
由于部分恶意软件版本使用的 API 级别为 22(以避免 Android 6.0 引入的运行时权限模型),因此 Android 14 也会阻止安装针对 API 级别低于 23 的应用程序。但是,targetSdkVersion 低于 23 的应用程序将保持安装状态。
Android 14 还附带了Credential Manager,这是一种新的 Jetpack API,支持多种登录方法,包括联合登录解决方案和密钥,以及经典的用户名和密码对。
Credential Manager 目前处于 alpha 阶段,允许用户创建密钥并将其保存在 Google 密码管理器中,以便在 Android 和 Chrome 中跨设备进行无密码身份验证。