Служби доступності: хто вони такі і чому Google бореться з їх неправомірним використанням
У всіх наших улюблених додатках є багато рухомих частин. Ви можете не думати про це, коли прокручуєте свою часову шкалу в Твіттері або дивіться відео на YouTube, але кількість речей, що відбуваються за лаштунками, щоб змусити всі ці додатки працювати так, як вони повинні, насправді досить неймовірно.
Деякі програми, такі як LastPass, Tasker і Дії з буфером обміну, підключаються до служб спеціальних можливостей Android, щоб надати більш глибокі функції, які інакше не могли б існувати, але Google нещодавно оголосив, що програми, які використовують їх без прямої вигоди для людей з обмеженими можливостями, можуть бути видалені з Play Store.
Сервіси доступності - це цікавий інструмент, і щоб краще зрозуміти, що саме тут відбувається, нам потрібно ближче познайомитися.
Що таке служби доступності?
Служби спеціальних можливостей знаходяться в Android і дозволяють людям з обмеженими можливостями легше використовувати телефони і планшети. Коли ви перейдете на сторінку налаштувань спеціальних можливостей на своєму пристрої Android, ви побачите масив елементів управління, які Google включив за замовчуванням. Деякі з елементів тут включають в себе такі, як постукування по елементах на екрані, щоб ваш пристрій зчитував їх вам, мовляв зворотній зв'язок, який зачитує вголос всі ваші дії, збільшення розміру елементів на дисплеї і т. д.
Як і очікувалося, загальна тема тут - зробити Android простішим і простішим у використанні для людей, яким потрібна додаткова допомога.
На додаток до служб, вбудованих в Android за замовчуванням, розробники можуть використовувати Accessibility Services зі своїми власними додатками, щоб створювати нові функції, що використовують їх переваги. На сайті розробників Android служби доступності описані наступним чином:
Служби спеціальних можливостей слід використовувати тільки для допомоги користувачам з обмеженими можливостями у використанні пристроїв і програм Android. Вони запускаються у фоновому режимі і отримують зворотні виклики системою при запуску AccessibilityEvents. Такі події позначають певний перехід стану в користувацькому інтерфейсі, наприклад, зміну фокусу, натискання кнопки тощо. Такий сервіс може опціонально запитувати про можливість запиту вмісту активного вікна. Розробка служби доступності вимагає розширення цього класу і реалізації його абстрактних методів.
Чому деякі програми використовують їх
Хоча головна мета Accessibility Services - дозволити розробникам створювати інструменти, призначені для людей з обмеженими можливостями, за останні роки ми побачили ряд додатків, які використовували цей ресурс для створення розширених функцій, які технічно можуть принести користь всім.
:
Встановлені Служби спеціальних можливостей Android призначені для людей з обмеженими можливостями, і з якоїсь причини.
Служби спеціальних можливостей можуть використовуватися на законних підставах, але це, на жаль, не завжди відбувається.
Наприклад, заповнення програми LastPass показує накладання поверх будь-якого екрану або іншої програми, в якій ви перебуваєте, так що ви можете легко додати інформацію про ім'я користувача і пароль без необхідності відкривати повну програму LastPass. Дії кишені також підключаються до Accessibility Services, щоб вам було простіше керувати скопійованими посиланнями і виконувати над ними дії, не входячи до повної програми Дії буфера обміну інформацією.
Цей метод вже давно використовується розробниками, і хоча він технічно працює, він створює вразливості, які Google не любить бачити.
Google обґрунтовує нові обмеження
При всій допустимості використання Accessibility Services служба також може використовуватися зловмисно. Програми, які використовують Accessibility Services, відкривають більше загроз безпеці, ніж ті, які цього не роблять, і це піддає пристрою ризику атак.
Незабаром після того, як Google оголосив про рішення обмежити додатки, які можуть використовувати Accessibility Services, було виявлено, що зміна, ймовірно, була пов'язана з атакою «toast overlay», яка була виявлена фірмою безпеки TrendMicro. По суті, атака з використанням тостів дозволяє зловмисним програмам відображати зображення і кнопки поверх того, що дійсно повинно відображатися, щоб вкрасти особисту інформацію або повністю заблокувати користувачів на їх пристрої.
Відтоді програми, що використовують цю накладену тост-атаку, були видалені з Play Store, і патч з вересневим бюлетенем з безпеки усуває цю вразливість, але це тільки один приклад того, як додаток, підключений до Accessibility Services, може завдати серйозної шкоди.
Майбутнє за API
Програми, які використовують Accessibility Services, щоб допомогти інвалідам законними способами, будуть продовжувати існувати, але для тих, хто не орієнтований на цю конкретну демографію, у Google є рішення - API. У прикладі LastPass новий API автозаповнення з Android Oreo дозволяє LastPass пропонувати функціональність, аналогічну його функції автозаповнення, без необхідності використання Accessibility Services.
:
API допускають схожий (і часто кращий) досвід, ніж можуть дати хакерські хитрощі розробників.
Це означає, що користувачам необхідно використовувати більш нові версії Android, щоб отримати доступ до всіх функцій деяких з їхніх улюблених ігор, але врешті-решт ваші функціональні можливості зберігаються, а також знижуються можливі загрози безпеці.
Ми розуміємо роздратування, яке відчувають деякі користувачі у зв'язку з цією зміною, але, дивлячись на це з точки зору Google, це крок, який має сенс. Accessibility Services ніколи не призначалися для використання в більшості випадків, коли до них підключаються певні розробники, і це те, що Google необхідно усунути.
Зрештою, як тільки програми будуть оновлені для підтримки численних API Google, ми отримаємо аналогічні функції з більшим захистом від атак. Про що ще ти можеш попросити?
Android Oreo
Основний
- Огляд Android Oreo!
- Все нове в Android Oreo
- Як отримати Android Oreo на свій Pixel або Nexus
- Oreo змусить вас знову полюбити повідомлення
- Мій телефон отримає Android Oreo?
- Приєднуйтесь до обговорення