I Android 13 slår Google ned på skadelig programvare som bruker tilgjengelighets-APIer. Sjekk ut hva det betyr for deg og hva du kan gjøre her.
Skadelig programvare har vært et problem på Android i lang tid, og en av de mest fremtredende angrepsvektorene er gjennom tilgjengelighetstjenestene på en brukers telefon. Tilgjengelighets-APIer er kraftige verktøy beregnet på utviklere for å hjelpe brukere med funksjonshemminger, ettersom de kan lese skjermen, injisere input og mer. Dessverre gjør det dem også modne for misbruk, med skadelig programvare som FluBot som lurer brukere til å aktivere disse APIene for ondsinnede apper som igjen ikke kan avinstalleres. Dette endrer seg Android 13, ettersom Google vil forhindre at apper som er sidelastet utenfor en appbutikk, får disse tillatelsene.
Som først rapportert av Esper, vil Google hindre apper som er sidelastet fra utenfor en appbutikk fra å få tilgang til tilgjengelighets-APIer. Tilgjengelighets-APIer er nødvendige for brukere med funksjonshemminger, men de har også utrolig mye kontroll over enheten. Det er derfor det kreves av brukeren å aktivere tjenesten manuelt per app, men noen brukere kan bli lurt til å aktivere den hvis de ikke vet hva de gjør. Som et resultat vil denne endringen fra Google hindre brukere helt i å aktivere den for apper som lastes ned via nettleseren din eller en tekstmeldingsapp.
Google har lenge slitt med hvordan de skal håndtere apper som benytter seg av tilgjengelighetstjenester. I 2017, Google truet å fjerne apper fra Google Play-butikken som brukte tilgjengelighets-API-er for alt som ikke var for å hjelpe funksjonshemmede brukere. Mens selskapet til slutt trakk seg tilbake, oppdaterte Google retningslinjene i 2021. Nå, utviklere som ønsker å bruke tilgjengelighetstjenester i en app av andre grunner enn å hjelpe funksjonshemmede brukere som målretter mot Android 12 eller nyere må få godkjenning fra Google Play etter å ha fullført en tillatelseserklæring form.
Nå endrer ting seg imidlertid igjen i Android 13. Enhver app som lastes inn fra utsiden av en appbutikk, vil ikke kunne ha tilgjengelighetstjenestene aktivert. Når du trykker på alternativet for å aktivere det, vil telefonen vise en popup som sier "For din sikkerhet er denne innstillingen for øyeblikket utilgjengelig". Til å begynne med kan dette virke alarmerende for andre appbutikker, bekreftet Google Esper at denne endringen ikke ville påvirke forhåndslastede eller sidelastede appbutikker, og det var bare for å begrense apper lastet ned fra mindre legitime kilder.
Kort sagt, du vil ikke ha noe problem med å aktivere tilgjengelighetstjenesten for en sidelastet app som ble installert via sesjonsbasert pakkeinstallasjons-API. Denne installasjonsmetoden brukes vanligvis av tredjeparts appbutikker. Når det gjelder apper som bruker ikke-øktpakkeinstallasjons-API, vil disse være begrenset. Det er en enklere metode for utviklere å implementere siden installasjonen bare kan overleveres til systempakkeinstallasjonsprogram, og dette er hvordan tekstapper, e-postklienter og nettlesere håndterer APK installasjon. Hvis du vil lære mer om de tekniske detaljene for denne implementeringen, må du sjekke ut Espersin komplette skriving.
Kilde: Esper