非SDK接口自动化检测工具--veridex

icon-ed.jpg

前言

在Android P版本,Google对非SDK接口增加了管控。

SDK接口指的是Android官方开发文档中声明的方法,即文档地址 中所能查询到的API,除了这些,其他的API都是非SDK接口

官网：针对非 SDK 接口的限制

非SDK接口分类

随着每个 Android 版本的发布，会有更多非 SDK 接口受到限制。

为最大程度地降低非 SDK 使用限制对开发工作流的影响，我们将非 SDK 接口分成了几个名单，这些名单界定了非 SDK 接口使用限制的严格程度（取决于应用的目标 API 级别）。下表介绍了这些名单：

• greylist ：不支持，可以正常使用；
• blacklist ：无论什么版本的手机系统，使用这些api，系统将会抛出异常；
• greylist-max-o ：受限制的灰名单，APP运行在 版本<=8.0的系统里 可以正常访问，targetSDK>8.0且运行在>8.0的手机会抛出异常；
• greylist-max-p ：受限制的灰名单，APP运行在 版本<=9.0的系统里 可以正常访问，targetSDK>9.0且运行在>9.0的手机会抛出异常；
• greylist-max-q ：受限制的灰名单，受限制的灰名单。APP运行在 版本<=10.0的系统里 可以正常访问，targetSDK>10.0且运行在>10.0的手机会抛出异常；

使用 veridex 工具进行测试

Google提供了一个静态检测工具veridex下载地址 需科学上网

您还可以在 APK 上运行静态分析工具 veridex。veridex 工具会扫描 APK 的整个代码库（包括所有第三方库），并报告发现的所有使用非 SDK 接口的行为。

veridex 工具存在以下局限性：

• 它无法检测到通过 JNI 实现的调用。
• 它只能检测到一部分通过反射实现的调用。
• 它对非活动代码路径的分析仅限于 API 级别的检查。
• 它只能在支持 SSE4.2 和 POPCNT 指令的机器上运行。

以上内容均来自官网的文档翻译。

实测结果:

result.png

看到输出的结果unsupported 、blocked 、max-target-x。是文档过期了，还是我的 veridex 工具版本太旧了，网上找了几个其他版本输出的都是这个结果。

继续在官网找了找其他说明，在一篇https://developer.android.com/about/versions/10/non-sdk-q文章中看到了max-target-x相关的说明。

case.png

blacklist == blocked ：无论什么版本的手机系统，使用这些api，系统将会抛出异常;

greylist == unsupported ：不支持，但可以正常使用；

greylist-max-x == max-target-x ：APP运行在 版本<=x的系统里 可以正常访问，targetSDK>x且运行在>x的手机会抛出异常；

找max-gerget-0的case分析一下：

#37: Reflection max-target-o Landroid/content/pm/ActivityInfo;->isFixedOrientation use(s):
       Lcom/xxx/xxx/xxx/j;->b(Landroid/app/Activity;)Z
#84: Reflection max-target-o Landroid/view/View;->sAcceptZeroSizeDragShadow use(s):
       Lcom/xxx/xxx/xxx/a/c;->M(Landroid/widget/TextView;)V

• ActivityInfo#isFixedOrientation
• View#sAcceptZeroSizeDragShadow

以上两个方法或者变量可以在targetSDK<=27的时候使用，但如果升级targetSDK就会抛出异常。

ides-tip.png

最好寻找相关替代的api进行使用，否则在使用的时候进行异常捕获。

文章到这里就全部讲述完啦，若有其他需要交流的可以留言哦~！~！