Ke všem našim oblíbeným aplikacím je spousta pohyblivých částí. Při procházení časovou osou na Twitteru nebo sledování videí na YouTube na to možná nemyslíte, ale na částku věcí děje v zákulisí, aby všechny tyto aplikace fungovaly tak, jak mají, je ve skutečnosti docela neuvěřitelné.
Určité aplikace jako LastPass, Tasker, a Akce schránky proniknout do Android Accessibility Services a umožnit tak hlubší funkce, které by jinak nemohly existovat, ale Google nedávno oznámil, že aplikace, které je používají bez přímého prospěchu osobám se zdravotním postižením, mohou být z Obchodu Play odstraněny.
Služby přístupnosti jsou zajímavým nástrojem a pro lepší představu o tom, co se zde přesně odehrává, je třeba se blíže podívat.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Co jsou služby přístupnosti?
Služby usnadnění přístupu se nacházejí v systému Android a umožňují snadnější používání telefonů a tabletů pro osoby se zdravotním postižením. Když na svém zařízení Android přejdete na stránku nastavení usnadnění, uvidíte řadu ovládacích prvků, které Google ve výchozím nastavení povolil. Některé z položek zde zahrnují například klepání na položky na obrazovce, aby je zařízení přečetlo vám, mluvená zpětná vazba, která nahlas přečte všechny vaše akce, zvětšuje velikost položek na displeji, atd.
Jak se dalo očekávat, obecným tématem je zde usnadnit a zjednodušit používání Androidu lidem, kteří potřebují nějakou další pomoc.
Kromě služeb, které jsou ve výchozím nastavení integrovány do systému Android, mohou vývojáři klepnout na služby usnadnění přístupu s vlastními aplikacemi a vytvořit nové funkce, které je využijí. Na webu Android Developers„Služby usnadnění přístupu jsou popsány následovně:
Služby usnadnění by se měly používat pouze na pomoc uživatelům se zdravotním postižením při používání zařízení a aplikací Android. Běží na pozadí a přijímají zpětná volání systémem, když se aktivuje AccessibilityEvents. Takové události označují určitý přechod stavu v uživatelském rozhraní, například se změnilo fokus, kliklo se na tlačítko atd. Taková služba může volitelně požadovat schopnost dotazování obsahu aktivního okna. Vývoj služby přístupnosti vyžaduje rozšíření této třídy a implementaci jejích abstraktních metod.
Proč je některé aplikace používají
Ačkoli hlavním cílem Accessibility Services je umožnit vývojářům vytvářet nástroje zaměřené na jednotlivce se zdravotním postižením, máme viděl řadu aplikací v průběhu let, které využily tento zdroj k vytvoření rozšířených funkcí, které mohou technicky těžit každý.
Předinstalované služby usnadnění přístupu Android jsou zaměřeny na lidi se zdravotním postižením, a to z nějakého důvodu.
Služby přístupnosti lze používat legitimně, ale to se bohužel ne vždy stane.
Například LastPass's App Fill odhalí překrytí v horní části jakékoli obrazovky nebo jiné aplikace, na které se nacházíte můžete snadno přidat informace o uživatelském jménu a hesle, aniž byste museli otevírat celý LastPass aplikace. Akce schránky také využívají služby usnadnění přístupu, takže můžete snadněji spravovat odkazy, které jste zkopírovali, a provádět na nich akce, aniž byste museli být v celé aplikaci Akce schránky.
Jedná se o metodu, kterou vývojáři používají již nějakou dobu, a přestože to technicky funguje, vytváří chyby zabezpečení, které Google nerad vidí.
Úvahy společnosti Google o nových omezeních
Služba legitimnosti může být tak velká, jaká může být, když je používána legitimně, ale je také možné, aby byla tato služba použita škodlivě. Aplikace, které používají služby usnadnění přístupu, otevírají větší bezpečnostní hrozby než ty, které tak nečiní, a zařízení tak budou vystavena riziku útoků.
Krátce poté, co Google oznámil rozhodnutí omezit aplikace, které mohou používat služby usnadnění přístupu, bylo zjištěno, že změna je pravděpodobná připojen k útoku „toast overlay“ to bylo objevena bezpečnostní firmou TrendMicro. Útok overlay overlay v podstatě umožňuje škodlivým aplikacím zobrazovat obrázky a tlačítka nad čím by měl být skutečně zobrazen za účelem krádeže osobních údajů nebo úplného uzamčení uživatelů z jejich přístroj.
Aplikace využívající tento útok překrytí toastem byly od té doby odstraněny z obchodu Play a oprava se září Security Bulletin tuto chybu zabezpečení řeší, ale toto je jen jeden příklad toho, jak může aplikace využívající službu Accessibility Services způsobit vážné problémy poškození.
Budoucností jsou API
Aplikace, které používají služby usnadnění přístupu k pomoci postiženým legitimním způsobem, budou i nadále existovat, ale pro ty, kteří nejsou zaměřeny na tuto konkrétní demografickou skupinu, Google má řešení - API. V příkladu LastPass, nového rozhraní API pro automatické vyplňování s Android Oreo umožňuje LastPass nabízet podobné funkce jako jeho funkce automatického vyplňování, aniž by bylo nutné používat služby přístupnosti.
To znamená, že uživatelé musí používat novější verze systému Android, aby mohli využívat všechny funkce některých z nich oblíbené tituly, ale na konci dne vaše funkce zůstanou a zároveň sníží možné zabezpečení rizika.
Rozumíme zlosti, kterou mají někteří uživatelé vůči této změně, ale když se na to díváme z pohledu Google, je to tah, který dává smysl. Služby přístupnosti nikdy neměly být použity pro velkou část způsobů, kterými do nich někteří vývojáři pronikají, a je to něco, na co Google musí zakročit.
Na konci dne, jakmile se aplikace aktualizují, aby podporovaly řadu API od Googlu, získáme podobné funkce s větší ochranou před útoky. Co víc si přát?