Android 17 Beta 2,隐私这把锁又拧紧了

0 阅读6分钟

上次聊 Beta 1,重点是大屏适配和底层性能。

这次 Beta 2 的主角换了——隐私和跨设备体验

2 月 26 日,Google 推送了 Android 17 的第二个 Beta 版本。距离 3 月的平台稳定里程碑(API 冻结)只剩不到一个月,该定型的基本都定型了。

这次更新的信号很明确:Google 正在重新定义应用边界——你的 App 能碰什么数据、能连什么设备、能在哪些场景下弹窗,全都有了更细粒度的管控。

逐个拆解。

android17_beta2_cover.png

联系人不再随便读了

以前获取联系人信息,要么申请 READ_CONTACTS 拿到整个通讯录,要么自己写一套选择器 UI。两种方案都有问题——前者权限太大,后者开发成本太高。

Android 17 给了第三个选项:系统级 Contacts Picker

跟 Photo Picker 的思路一致——系统弹出一个标准的联系人选择界面,用户选谁就授权谁的数据,而且只给你请求的字段。临时授权,会话结束就失效。

关键特性:

  • 开发者指定需要的字段(姓名、电话、邮箱等),系统只返回这些字段
  • 用户逐条选择,不会一次性暴露整个通讯录
  • 授权是会话级的,不会持久化

这是 Android 隐私策略的延续:从「要么全给要么没有」转向「按需、最小化、临时授权」。如果你的 App 只是让用户选个联系人发邀请,再也不需要申请读取整个通讯录的权限了。

局域网也要授权了

这个改动可能会让不少 IoT 和智能家居类 App 头疼。

Android 17 新增了 ACCESS_LOCAL_NETWORK 运行时权限。以后你的 App 想要发现或连接局域网内的设备,用户必须明确授权。

以前这事不需要任何权限——连上同一个 WiFi,直接扫描就行。现在不行了。

影响范围:

  • mDNS 服务发现
  • 局域网设备控制(打印机、投屏、智能家居)
  • 本地服务器通信

如果你的 App 有局域网通信的场景,需要提前适配。好消息是这是运行时权限,不是后台限制——用户授权一次就行。

OTP 短信的三小时隔离

这个设计挺有意思。

Android 17 对 OTP 验证码短信加了一层保护:未被授权读取短信的应用,在收到 OTP 短信后的 3 小时内无法访问该消息

目标很明确——防止恶意应用在后台偷偷读取你的验证码。

而且这次的保护不只覆盖标准短信格式,各种变体格式的 OTP 消息都纳入了保护范围。3 小时后恢复正常访问,因为那时验证码基本已经失效了。

对正常 App 几乎没影响——大多数 App 本来就是通过 SMS Retriever API 或者 Autofill 来自动填充验证码的。但如果你的 App 有直接读取短信内容的逻辑,需要评估一下。

android17_beta2_privacy.png

NPU 也有准入门槛了

随着端侧 AI 的爆发,越来越多 App 想调用设备的神经网络处理器。

Android 17 的做法很直接:你想用 NPU,先声明 FEATURE_NEURAL_PROCESSING_UNIT

没有声明这个 Feature 的应用,直接被拦在 NPU 资源门外。

这不仅仅是权限管控。通过声明机制,系统可以:

  • 在应用市场层面做设备兼容性过滤(没有 NPU 的设备不展示)
  • 在系统层面做资源调度优化
  • 为未来的 NPU 能力分级做准备

如果你的 App 用到了 NNAPI 或者任何端侧推理能力,现在就加上这个声明。

android17_beta2_api.png

Bubbles:浮窗有了系统级方案

浮窗这事,一直是 Android 开发的灰色地带。

各家 ROM 实现不一样,权限管理混乱,用户体验参差不齐。Android 17 终于给出了系统级的浮窗方案——Bubbles

用户长按 Launcher 图标就可以创建应用气泡,气泡以浮窗形式停留在屏幕边缘。在大屏设备上还有专门的 Bubble Bar 来组织和管理这些气泡。

对开发者来说:

  • 不需要 SYSTEM_ALERT_WINDOW 权限
  • 系统统一管理浮窗的显示和交互
  • 大屏、小屏的行为一致

对于即时通讯、外卖配送、音乐播放器等需要悬浮展示的场景,这是一个官方的标准化路径。

EyeDropper:无权限取色

这个 API 虽然小众,但设计很优雅。

EyeDropper API 让应用可以调起系统级的取色器,用户点击屏幕上的任何位置获取颜色值。

关键在于——不需要屏幕截图权限

传统方案要实现取色,必须先截屏再分析像素,这就涉及到 MediaProjection 这种敏感权限。现在系统直接提供了安全的取色通道。

设计类、绘画类、主题定制类 App 可以直接用上。

Handoff:跨设备接力

这可能是 Android 17 中最有想象力的一个 API。

Handoff API 支持将应用状态无缝转移到伴侣设备上继续操作。

比如你在手机上看一篇文章看到一半,拿起平板就能从上次的位置继续看。如果目标设备没安装对应的 App,还能自动回退到 Web 版本。

系统层面还会在 Launcher 上提供接力建议,引导用户完成跨设备切换。

android17_beta2_timeline.png

这和苹果的 Handoff 思路一致,但 Android 的开放生态让它有更多可能——不局限于自家设备,任何实现了 Companion Device 协议的设备都能参与。

其他值得关注的更新

  • 高级测距 API:UWB DL-TDOA 支持室内导航,WiFi 近距离检测支持 proximity-based 的设备发现
  • 数据流量 API:可以获取运营商分配的最大流媒体数据速率,方便做自适应码率
  • ICU 78 + Unicode 17:扩展了脚本和 emoji 支持
  • 触控板改进:增强指针捕获兼容性,对 ChromeOS 和大屏设备更友好
  • Interactive Chooser:新增 getInitialRestingBounds 方法,可以控制分享面板的目标定位

时间线

里程碑时间
Beta 12026 年 2 月
Beta 2(当前)2026 年 2 月
Platform Stability2026 年 3 月
正式版2026 年 Q2
Q4 更新2026 年 Q4

下个月就是 API 冻结。如果你有需要适配的隐私权限变更,现在是最后的窗口期。

写在最后

从 Beta 1 到 Beta 2,Android 17 的路线越来越清晰:

把选择权还给用户,把规范性还给系统。

联系人要用户选、局域网要用户授权、OTP 短信有隔离保护、浮窗有系统方案、取色不需要截屏权限。每一项都在做同一件事——缩小应用的隐式权限边界,扩大用户的知情和控制范围。

作为开发者,短期可能需要多写几行适配代码。但长期来看,用户信任度的提升才是真正的红利。

Android 17 的哪个新特性最让你兴奋?评论区说说。