Služby dostupnosti: čo sú a prečo spoločnosť Google zakazuje zneužívanie

Vo všetkých našich obľúbených aplikáciách je veľa pohyblivých častí. Možno o tom nebudete premýšľať pri posúvaní časovej osi na Twitteri alebo pozeraní videí na YouTube, ale množstvo vecí, ktoré sa dejú v zákulisí, aby všetky tieto aplikácie fungovali tak, ako majú, je skutočne neuveriteľné.

Niektoré aplikácie, ako napríklad LastPass, Tasker a Clipboard Actions, sa využívajú v prístupových službách Androidu, aby umožnili hlbšie funkcie, ktoré by inak nemohli existovať, ale spoločnosť Google nedávno oznámila, že aplikácie, ktoré ich používajú bez priameho prospechu pre osoby so zdravotným postihnutím, môžu byť z Obchodu Play odstránené.

Služby dostupnosti sú zaujímavým nástrojom a ak chcete získať lepšiu predstavu o tom, čo sa tu presne deje, musíme sa bližšie pozrieť.

Čo sú prístupové služby?

Služby dostupnosti sa nachádzajú v systéme Android a umožňujú osobám so zdravotným postihnutím ľahšie používať telefóny a tablety. Keď na zariadení s Androidom prejdete na stránku Nastavenia prístupnosti, zobrazí sa vám množstvo ovládacích prvkov, ktoré spoločnosť Google v predvolenom nastavení povolila. Medzi niektoré z položiek patrí napríklad poklepanie položiek na obrazovku, aby vás vaše zariadenie prečítalo, hovorená spätná väzba, ktorá nahlas prečíta všetky vaše akcie, zväčšenie veľkosti položiek na displeji atď.

Podľa očakávania je všeobecnou témou uľahčenie a zjednodušenie používania systému Android pre ľudí, ktorí potrebujú ďalšiu pomoc.

Okrem služieb, ktoré sú v predvolenom nastavení zabudované do systému Android, môžu vývojári využiť svoje prístupové služby s vlastnými aplikáciami a vytvárať nové funkcie, ktoré ich využívajú. Na stránke Android Developers sú prístupové služby opísané nasledovne:

Služby dostupnosti by sa mali používať iba na pomoc používateľom so zdravotným postihnutím pri používaní zariadení a aplikácií Android. Sú spustené na pozadí a dostanú spätné volania po spustení systému AccessibilityEvents. Takéto udalosti označujú určitý prechod stavu v používateľskom rozhraní, napríklad sa zmenilo zameranie, kliklo na tlačidlo atď. Takáto služba môže voliteľne požadovať schopnosť dotazovania na obsah aktívneho okna. Vývoj služby dostupnosti vyžaduje rozšírenie tejto triedy a implementáciu jej abstraktných metód.

Prečo ich niektoré aplikácie používajú

Aj keď hlavným cieľom služieb dostupnosti je umožniť vývojárom vytvárať nástroje zamerané na jednotlivcov so zdravotným postihnutím, v priebehu rokov sme videli niekoľko aplikácií, ktoré využili tento zdroj na vytvorenie rozšírených funkcií, ktoré môžu byť pre všetkých technicky prínosom.

Predinštalované služby prístupu pre Android sú zamerané na ľudí so zdravotným postihnutím az nejakého dôvodu.

Služby prístupu sa môžu využívať legitímne, ale to sa, bohužiaľ, vždy nestane.

Napríklad vyplnenie aplikácie LastPass's App Fill odkrýva prekrytie v hornej časti akejkoľvek obrazovky alebo inej aplikácie, na ktorej práve pracujete, takže môžete ľahko pridať informácie o používateľskom mene a hesle bez toho, aby ste museli otvárať celú aplikáciu LastPass. Akcie schránky sa tiež pripájajú k službám uľahčenia prístupu, takže môžete ľahšie spravovať odkazy, ktoré ste skopírovali, a robiť s nimi akcie bez toho, aby ste museli byť v plnej aplikácii Schránky.

Toto je metóda, ktorú vývojári používajú už nejaký čas, a hoci to technicky funguje, vytvára zraniteľné miesta, ktoré spoločnosť Google nechce vidieť.

Dôvody spoločnosti Google týkajúce sa nových obmedzení

Pokiaľ je služba prístupu prístupná, keď sa používa legitímne, je tiež možné, aby sa služba používala škodlivo. Aplikácie, ktoré používajú prístupové služby, otvárajú väčšie bezpečnostné hrozby ako tie, ktoré ich nepoužívajú, a preto sú zariadenia vystavené riziku útokov.

Krátko po tom, čo spoločnosť Google oznámila rozhodnutie obmedziť aplikácie, ktoré môžu využívať prístupové služby, sa zistilo, že zmena pravdepodobne súvisí s útokom „overast overlay“, ktorý objavila bezpečnostná spoločnosť TrendMicro. Útok overlay overlay v podstate umožňuje škodlivým aplikáciám zobrazovať obrázky a tlačidlá nad tým, čo by sa malo skutočne zobraziť, aby sa ukradli osobné údaje alebo úplne uzamkli používatelia z ich zariadenia.

Aplikácie, ktoré používajú tento útok na prekrytie toastov, boli medzitým odstránené z Obchodu Play a oprava zraniteľnosti vyrieši záplata s septembrovým bulletinom zabezpečenia, ale toto je len jeden príklad toho, ako môže aplikácia, ktorá sa dotkne služby Accessibility Services, spôsobiť vážne škody.

Budúcnosť sú API

Aplikácie, ktoré používajú prístupové služby na pomoc osobám so zdravotným postihnutím legitímnym spôsobom, budú naďalej existovať, ale pre tie, ktoré nie sú zamerané na túto konkrétnu demografickú skupinu, má spoločnosť Google riešenie - API. V príklade LastPass nové rozhranie automatického dopĺňania s Androidom Oreo umožňuje službe LastPass ponúkať podobné funkcie ako funkcia automatického dopĺňania bez toho, aby museli používať prístupové služby.

Rozhrania API umožňujú podobné (a často aj lepšie) skúsenosti, ako môžu hackerské triky vyprodukovať.

Znamená to, že používatelia musia mať spustené novšie verzie systému Android, aby mohli pristupovať ku všetkým funkciám niektorých svojich obľúbených titulov, ale na konci dňa vaša funkčnosť zostáva a zároveň obmedzuje možné bezpečnostné riziká.

Chápeme nepríjemnosti, ktoré majú niektorí používatelia k tejto zmene, ale keď sa na to pozeráme z pohľadu spoločnosti Google, je to krok, ktorý má zmysel. Služby uľahčenia prístupu nikdy neboli zamýšľané na to, aby sa používali na veľkú časť spôsobov, ako do nich niektorí vývojári prichádzajú, a je to niečo, čo musí spoločnosť Google zakročiť.

Na konci dňa, keď sa aplikácie aktualizujú, aby podporovali početné rozhrania API spoločnosti Google, získame podobné funkcie s väčšou ochranou pred útokmi. Čo viac si môžete vyžiadať?