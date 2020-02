À partir d’Android P, Google a commencé à fermer lentement la porte à l’utilisation d’API non publiques. Le processus a commencé avec des appels de méthode qui avaient peu ou pas d’utilisation connue des développeurs d’applications, mais les choses ont changé lorsque Android Q a élargi la liste des interfaces restreintes pour couvrir une plus grande sélection. Maintenant, avec Android 11, la répression se poursuit alors que l’équipe Android ajoute encore plus d’API non publiques à la liste restreinte.

L’utilisation d’API privées est parfois nécessaire pour accomplir certaines tâches avec le système d’exploitation qui n’étaient pas disponibles via le SDK. Ce n’est pas idéal, mais c’est parfois le seul moyen d’obtenir le comportement souhaité, en particulier dans les applications qui proposent de nouvelles fonctionnalités intéressantes. Bien sûr, le problème est que les appels de méthode non publics peuvent être supprimés ou changer de fonction sans préavis, ce qui pourrait entraîner le blocage d’applications ou des comportements inattendus.

La plupart des développeurs respectent le SDK officiel lors de la création d’applications, ce qui signifie généralement qu’ils ne rencontreront pas de nombreux problèmes avec les nouvelles restrictions. Cependant, la plupart des développeurs utilisent également des bibliothèques provenant d’autres sources, et il peut ne pas être immédiatement évident si elles incluent des appels à des méthodes restreintes.

Dans les deux cas, les développeurs ont plusieurs façons de vérifier que leurs applications n’utilisent pas d’API restreintes. La méthode la plus simple consiste à simplement surveiller les avertissements de peluches dans Android Studio, mais pour une analyse plus exhaustive, il vaut la peine d’exécuter l’outil veridex sur un APK pour voir tous les appels de méthode explicites. Malheureusement, aucune des deux options n’identifiera les API privées appelées via JNI ou par réflexion. Pour attraper la plupart d’entre eux, les développeurs devraient soit activer le mode strict et capturer les événements envoyés par le système lorsqu’un appel restreint est effectué, soit simplement créer une version de débogage d’une application et surveiller les messages dans le journal système.

Les méthodes d’Android sont divisées en une liste noire pour tout ce qui est désormais entièrement interdit, une liste grise pour les méthodes qui sont autorisées jusqu’à certains niveaux d’API mais seront probablement traitées comme des éléments de liste noire dans les versions ultérieures du système d’exploitation, et une liste blanche pour tout ce qui est un partie officiellement documentée du cadre, même s’il ne fait pas partie du SDK. Vous pouvez parcourir la liste grise d’Android 11 ici pour voir la liste des méthodes qui sont désormais restreintes, et voici les ajouts à la liste blanche d’Android 11 pour tout ce qui est sûr à utiliser.

Si les développeurs rencontrent des API qui n’ont pas d’homologues publics, il existe un processus pour demander des ajouts au SDK.

Bien que ce processus fasse malheureusement plus de travail pour les développeurs d’applications et supprime parfois les fonctionnalités sur lesquelles certaines de nos applications préférées s’appuient, il est destiné à améliorer la sécurité et à prévenir les plantages et les bugs involontaires.