Il y a beaucoup de pièces mobiles pour toutes nos applications préférées. Vous ne pensez peut-être pas à cela lorsque vous parcourez votre chronologie sur Twitter ou regardez des vidéos sur YouTube, mais le montant de choses qui se passent dans les coulisses pour que toutes ces applications fonctionnent comme elles sont censées le faire est en fait assez incroyable.
Certaines applications comme Dernier passage, Tasker, et Actions du presse-papiers exploiter les services d'accessibilité d'Android pour permettre des fonctionnalités plus profondes qui autrement ne pourraient pas exister, mais Google a récemment annoncé que les applications qui les utilisent sans bénéficier directement aux personnes handicapées pourraient être supprimées du Play Store.
Les services d'accessibilité sont un outil intéressant, et pour avoir une meilleure idée de ce qui se passe exactement ici, nous devons y regarder de plus près.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Que sont les services d'accessibilité?
Les services d'accessibilité se trouvent dans Android et permettent aux téléphones et tablettes d'être plus faciles à utiliser par les personnes handicapées. Lorsque vous accédez à la page des paramètres d'accessibilité sur votre appareil Android, vous verrez un éventail de commandes que Google a activées par défaut. Certains des éléments ici incluent le fait d'appuyer sur des éléments sur votre écran pour que votre appareil les lise à vous, des commentaires vocaux qui lisent à voix haute toutes vos actions, augmentant la taille des éléments à l'écran, etc.
Comme prévu, le thème général ici est de rendre Android plus facile et plus simple à utiliser pour les personnes qui ont besoin d'une assistance supplémentaire.
En plus des services intégrés par défaut à Android, les développeurs peuvent exploiter les services d'accessibilité avec leurs propres applications pour créer de nouvelles fonctionnalités qui en tirent parti. Sur le site des développeurs Android, Les services d'accessibilité sont décrits comme suit:
Les services d'accessibilité ne doivent être utilisés que pour aider les utilisateurs handicapés à utiliser les appareils et applications Android. Ils s'exécutent en arrière-plan et reçoivent des rappels par le système lorsque AccessibilityEvents est déclenché. De tels événements indiquent une transition d'état dans l'interface utilisateur, par exemple, le focus a changé, un bouton a été cliqué, etc. Un tel service peut éventuellement demander la capacité d'interroger le contenu de la fenêtre active. Le développement d'un service d'accessibilité nécessite d'étendre cette classe et d'implémenter ses méthodes abstraites.
Pourquoi certaines applications les utilisent
Bien que l'objectif principal des services d'accessibilité soit de permettre aux développeurs de créer des outils destinés aux personnes handicapées, nous vu un certain nombre d'applications au fil des ans qui ont exploité cette ressource pour créer des fonctionnalités étendues qui peuvent techniquement bénéficier toutes les personnes.
Les services d'accessibilité préinstallés d'Android sont tous destinés aux personnes handicapées, et pour une raison.
Les services d'accessibilité peuvent être utilisés légitimement, mais cela ne se produit malheureusement pas toujours.
Par exemple, App Fill de LastPass révèle une superposition sur n'importe quel écran ou autre application sur laquelle vous vous trouvez. vous pouvez facilement ajouter des informations de nom d'utilisateur et de mot de passe sans avoir à ouvrir le LastPass complet application. Actions du Presse-papiers exploite également les services d'accessibilité afin que vous puissiez gérer plus facilement les liens que vous avez copiés et agir sur eux sans avoir à être dans l'application complète Actions du Presse-papiers.
C'est une méthode que les développeurs utilisent depuis un certain temps maintenant, et bien qu'elle fonctionne techniquement, elle crée des vulnérabilités que Google n'aime pas voir.
Le raisonnement de Google pour les nouvelles limitations
Aussi géniaux que puissent être les services d'accessibilité lorsqu'ils sont utilisés légitimement, il est également possible que le service soit utilisé de manière malveillante. Les applications qui utilisent les services d'accessibilité présentent des menaces de sécurité plus importantes que celles qui ne le font pas, ce qui expose les appareils à des risques d'attaques.
Peu de temps après que Google a annoncé la décision de limiter les applications pouvant utiliser les services d'accessibilité, il a été découvert que le changement était probable connecté à une attaque "toast overlay" qui avait été découvert par une entreprise de sécurité TrendMicro. Essentiellement, l'attaque de superposition de toast permet aux applications malveillantes d'afficher des images et des boutons sur quoi devrait vraiment être montré afin de voler des informations personnelles ou de bloquer complètement les utilisateurs de leur dispositif.
Les applications utilisant cette attaque par superposition de toast ont depuis été supprimées du Play Store et un correctif avec le bulletin de sécurité de septembre résout la vulnérabilité, mais ce n'est qu'un exemple de la façon dont une application exploitant les services d'accessibilité peut causer de graves dommage.
L'avenir, ce sont les API
Les applications qui utilisent les services d'accessibilité pour aider les personnes handicapées de manière légitime continueront d'exister, mais pour celles qui ne sont pas ciblés sur ce groupe démographique spécifique, Google a une solution: les API. Dans l'exemple de LastPass, la nouvelle API de saisie automatique avec Android Oreo permet à LastPass d'offrir des fonctionnalités similaires à sa fonction de remplissage automatique sans avoir à utiliser les services d'accessibilité.
Cela signifie que les utilisateurs doivent exécuter des versions plus récentes d'Android pour accéder à toutes les fonctionnalités de certaines de leurs titres préférés, mais en fin de compte, votre fonctionnalité reste tout en réduisant la sécurité éventuelle des risques.
Nous comprenons l'ennui que certains utilisateurs éprouvent à l'égard de ce changement, mais quand on le regarde du point de vue de Google, c'est une décision qui a du sens. Les services d'accessibilité n'ont jamais été destinés à être utilisés pour une grande partie des façons dont certains développeurs les exploitent, et c'est quelque chose que Google doit réprimer.
À la fin de la journée, une fois que les applications seront mises à jour pour prendre en charge les nombreuses API de Google, nous obtiendrons des fonctionnalités similaires avec une meilleure protection contre les attaques. Que pourriez-vous demander de plus?