I Android 13 slår Google ner på skadlig programvara som använder tillgänglighets-API: er. Kolla in vad det betyder för dig och vad du kan göra här.
Skadlig programvara har varit ett problem på Android under lång tid, och en av de mest framträdande attackvektorerna är genom tillgänglighetstjänsterna på en användares telefon. Tillgänglighets-API: er är kraftfulla verktyg avsedda för utvecklare för att hjälpa användare med funktionshinder, eftersom de kan läsa skärmen, inmata indata och mer. Tyvärr gör det dem också mogna för missbruk, med skadlig programvara som FluBot som lurar användare att aktivera dessa API: er för skadliga appar som i sin tur inte kan avinstalleras. Detta håller på att förändras Android 13, eftersom Google kommer att förhindra att appar som laddats in från en appbutik utanför beviljas dessa behörigheter.
Som inledningsvis rapporterats av Esper, kommer Google att förhindra att appar som laddas på sidan utanför en appbutik får åtkomst till tillgänglighets-API: er. Tillgänglighets-API: er är nödvändiga för användare med funktionshinder, men de har också otroligt mycket kontroll över enheten. Det är därför det krävs av användaren att manuellt aktivera tjänsten per app, men vissa användare kan luras att aktivera den om de inte vet vad de gör. Som ett resultat kommer denna ändring från Google att hindra användare från att helt aktivera den för appar som laddas ner via din webbläsare eller en textmeddelandeapp.
Google har kämpat länge med hur man ska hantera appar som använder sig av tillgänglighetstjänster. 2017, Google hotad att ta bort appar från Google Play Butik som använde tillgänglighets-API: er för allt som inte var för att hjälpa funktionshindrade användare. Medan företaget så småningom backade, uppdaterade Google sina policyer 2021. Nu, utvecklare som vill använda sig av tillgänglighetstjänster i en app av andra skäl än att hjälpa funktionshindrade användare som är inriktade på Android 12 eller senare måste få godkännande från Google Play efter att ha fyllt i en behörighetsdeklaration form.
Nu förändras saker och ting igen i Android 13. Alla appar som laddas på sidan utanför en appbutik kommer inte att kunna ha sina tillgänglighetstjänster aktiverade. När du trycker på alternativet för att aktivera det kommer din telefon att visa ett popup-fönster som säger "För din säkerhet är den här inställningen för närvarande inte tillgänglig". Även om detta till en början kan verka alarmerande för andra appbutiker, bekräftade Google Esper att denna förändring inte skulle påverka förinstallerade eller sidoladdade appbutiker, och det var bara för att begränsa appar som laddas ner från mindre legitima källor.
Kort sagt, du har inga problem med att aktivera tillgänglighetstjänsten för en sidladdad app som installerades via sessionsbaserad paketinstallations-API. Denna installationsmetod används vanligtvis av appbutiker från tredje part. När det gäller appar som använder installations-API: et för icke-sessionspaket, kommer dessa att vara begränsade. Det är en enklare metod för utvecklare att implementera eftersom installationen bara kan lämnas över till systempaketinstallationsprogram, och det är så här sms-appar, e-postklienter och webbläsare hanterar APK installation. Om du vill lära dig mer om de tekniska detaljerna för denna implementering, se till att kolla in Espers fullständiga skrivning.
Källa: Esper