Ci sono molte parti in movimento per tutte le nostre applicazioni preferite. Potresti non pensarci quando scorri la tua cronologia su Twitter o guardi video su YouTube, ma l'importo di cose che accadono dietro le quinte per far funzionare tutte queste app come dovrebbero, in realtà è piuttosto incredibile.
Alcune app come LastPass, Tasker, e Azioni negli appunti attingere ai servizi di accessibilità di Android per consentire funzionalità più profonde che altrimenti non potrebbero esistere, ma Google ha recentemente annunciato che le applicazioni che li utilizzano senza beneficiare direttamente le persone con disabilità potrebbero essere rimosse dal Play Store.
I servizi di accessibilità sono uno strumento interessante e per avere un'idea migliore di ciò che sta accadendo esattamente qui, dobbiamo dare un'occhiata più da vicino.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
Cosa sono i servizi di accessibilità?
I servizi di accessibilità si trovano all'interno di Android e consentono ai telefoni e ai tablet di essere più facilmente utilizzabili da chi ha disabilità. Quando vai alla pagina delle impostazioni di accessibilità sul tuo dispositivo Android, vedrai una serie di controlli che Google ha abilitato per impostazione predefinita. Alcuni degli elementi qui includono il tocco di elementi sullo schermo per farli leggere dal dispositivo a te, feedback vocale che legge ad alta voce tutte le tue azioni, aumentando la dimensione degli elementi sul display, eccetera.
Come previsto, il tema generale qui è quello di rendere Android più facile e più semplice da usare per le persone che necessitano di assistenza extra.
Oltre ai servizi integrati in Android per impostazione predefinita, gli sviluppatori possono attingere ai servizi di accessibilità con le proprie app per creare nuove funzionalità che ne traggano vantaggio. Sul sito degli sviluppatori Android, I servizi di accessibilità sono descritti come segue:
I servizi di accessibilità devono essere utilizzati solo per assistere gli utenti con disabilità nell'utilizzo di dispositivi e app Android. Vengono eseguiti in background e ricevono callback dal sistema quando AccessibilityEvents viene attivato. Tali eventi indicano una transizione di stato nell'interfaccia utente, ad esempio, lo stato attivo è cambiato, è stato fatto clic su un pulsante, ecc. Un tale servizio può richiedere facoltativamente la capacità di interrogare il contenuto della finestra attiva. Lo sviluppo di un servizio di accessibilità richiede l'estensione di questa classe e l'implementazione dei suoi metodi astratti.
Perché alcune app li usano
Sebbene l'obiettivo principale dei servizi di accessibilità sia consentire agli sviluppatori di creare strumenti mirati a persone con disabilità, l'abbiamo fatto ha visto una serie di app nel corso degli anni che hanno attinto a questa risorsa per creare funzionalità estese che possono trarne vantaggio tecnico tutti.
I servizi di accessibilità preinstallati di Android sono tutti rivolti alle persone con disabilità e per un motivo.
I servizi di accessibilità possono essere utilizzati legittimamente, ma sfortunatamente non sempre accade.
Ad esempio, App Fill di LastPass rivela una sovrapposizione in cima a qualsiasi schermata o altra app in cui ti trovi puoi facilmente aggiungere informazioni su nome utente e password senza dover aprire il LastPass completo applicazione. Le azioni degli appunti attingono anche ai servizi di accessibilità in modo da poter gestire più facilmente i collegamenti che hai copiato e intraprendere azioni su di essi senza dover essere nell'app completa delle azioni degli appunti.
Questo è un metodo che gli sviluppatori utilizzano da un po 'di tempo e, sebbene tecnicamente funzioni, crea vulnerabilità che a Google non piace vedere.
Il ragionamento di Google per le nuove limitazioni
Per quanto ottimi possano essere i servizi di accessibilità se utilizzati in modo legittimo, è anche possibile che il servizio venga utilizzato in modo dannoso. Le app che utilizzano i servizi di accessibilità aprono maggiori minacce alla sicurezza rispetto a quelle che non lo fanno e questo lascia i dispositivi a rischio di attacchi.
Poco dopo che Google ha annunciato la decisione di limitare le applicazioni che possono utilizzare i servizi di accessibilità, si è scoperto che il cambiamento era probabile collegato a un attacco "toast overlay" quello era stato scoperto dalla società di sicurezza TrendMicro. In sostanza, l'attacco overlay toast consente alle app dannose di visualizzare immagini e pulsanti su cosa dovrebbe davvero essere mostrato al fine di rubare informazioni personali o bloccare completamente gli utenti dal loro file dispositivo.
Le app che utilizzano questo attacco overlay toast sono state rimosse dal Play Store e una patch con il bollettino sulla sicurezza di settembre risolve la vulnerabilità, ma questo è solo un esempio di come un'app che attinge ai servizi di accessibilità può causare gravi danno.
Il futuro sono le API
Le app che utilizzano i servizi di accessibilità per aiutare i disabili in modi legittimi continueranno ad esistere, ma per quelle che lo fanno non sono mirati a questo specifico gruppo demografico, Google ha una soluzione: le API. Nell'esempio di LastPass, la nuova API di riempimento automatico con Android Oreo consente a LastPass di offrire funzionalità simili alla sua funzione di riempimento automatico senza dover utilizzare i servizi di accessibilità.
Ciò significa che gli utenti devono eseguire versioni più recenti di Android per accedere a tutte le funzionalità di alcuni di loro titoli preferiti, ma alla fine della giornata, la tua funzionalità rimane pur riducendo la possibile sicurezza rischi.
Comprendiamo il fastidio che alcuni utenti provano nei confronti di questo cambiamento, ma se lo guardiamo dal punto di vista di Google, è una mossa che ha senso. I servizi di accessibilità non sono mai stati concepiti per essere utilizzati per gran parte dei modi in cui determinati sviluppatori li sfruttano, ed è qualcosa su cui Google deve reprimere.
Alla fine della giornata, una volta che le app verranno aggiornate per supportare le numerose API di Google, avremo funzionalità simili con una maggiore protezione dagli attacchi. Cosa si potrebbe chiedere di più?