非SDK接口自动化检测工具--veridex

前言

在Android P版本,Google对非SDK接口增加了管控。

SDK接口指的是Android官方开发文档中声明的方法,即​​文档地址​​ 中所能查询到的API,除了这些,其他的API都是非SDK接口

​​官网：针对非 SDK 接口的限制​​

非SDK接口分类

随着每个 Android 版本的发布，会有更多非 SDK 接口受到限制。

为最大程度地降低非 SDK 使用限制对开发工作流的影响，我们将非 SDK 接口分成了几个名单，这些名单界定了非 SDK 接口使用限制的严格程度（取决于应用的目标 API 级别）。下表介绍了这些名单：

• ​​greylist​​ ：不支持，可以正常使用；
• ​​blacklist​​ ：无论什么版本的手机系统，使用这些api，系统将会抛出异常；
• ​​greylist-max-o​​ ：受限制的灰名单，APP运行在 版本<=8.0的系统里 可以正常访问，targetSDK>8.0且运行在>8.0的手机会抛出异常；
• ​​greylist-max-p​​ ：受限制的灰名单，APP运行在 版本<=9.0的系统里 可以正常访问，targetSDK>9.0且运行在>9.0的手机会抛出异常；
• ​​greylist-max-q​​ ：受限制的灰名单，受限制的灰名单。APP运行在 版本<=10.0的系统里 可以正常访问，targetSDK>10.0且运行在>10.0的手机会抛出异常；

使用 veridex 工具进行测试

Google提供了一个静态检测工具veridex​​下载地址 ​​

您还可以在 APK 上运行静态分析工具 veridex。veridex 工具会扫描 APK 的整个代码库（包括所有第三方库），并报告发现的所有使用非 SDK 接口的行为。

veridex 工具存在以下局限性：

• 它无法检测到通过 JNI 实现的调用。
• 它只能检测到一部分通过反射实现的调用。
• 它对非活动代码路径的分析仅限于 API 级别的检查。
• 它只能在支持 SSE4.2 和 POPCNT 指令的机器上运行。

以上内容均来自官网的文档翻译。

实测结果:

看到输出的结果​​unsupported​​​ 、​​blocked​​​ 、​​max-target-x​​​。是文档过期了，还是我的 ​​veridex​​ 工具版本太旧了，网上找了几个其他版本输出的都是这个结果。

继续在官网找了找其他说明，在一篇​​https://developer.android.com/about/versions/10/non-sdk-q​​​文章中看到了​​max-target-x​​相关的说明。

​​blacklist​​​ == ​​blocked​​ ：无论什么版本的手机系统，使用这些api，系统将会抛出异常;

​​greylist​​​ == ​​unsupported​​ ：不支持，但可以正常使用；

​​greylist-max-x​​​ == ​​max-target-x​​ ：APP运行在 版本<=x的系统里 可以正常访问，targetSDK>x且运行在>x的手机会抛出异常；

找​​max-gerget-0​​的case分析一下：

#37: Reflection max-target-o Landroid/content/pm/ActivityInfo;->isFixedOrientation use(s):
       Lcom/xxx/xxx/xxx/j;->b(Landroid/app/Activity;)Z
#84: Reflection max-target-o Landroid/view/View;->sAcceptZeroSizeDragShadow use(s):
       Lcom/xxx/xxx/xxx/a/c;->M(Landroid/widget/TextView;)V

• ​​ActivityInfo#isFixedOrientation​​
• ​​View#sAcceptZeroSizeDragShadow​​

以上两个方法或者变量可以在​​targetSDK<=27​​的时候使用，但如果升级targetSDK就会抛出异常。

最好寻找相关替代的api进行使用，否则在使用的时候进行异常捕获。

文章到这里就全部讲述完啦，若有其他需要交流的可以留言哦~！~！