Служби доступності: що вони є, і чому Google виконує зловживання

У всіх наших улюблених додатків є багато рухомих деталей. Ви можете не замислюватися над цим, прокручуючи часові шкали в Twitter або переглядаючи відео на YouTube, але кількість речей, що відбуваються за лаштунками, щоб змусити всі ці додатки працювати так, як належить, насправді досить неймовірно.

Деякі додатки, такі як LastPass, Tasker та Clipboard Actions, використовуються Служби доступності Android, щоб дозволити більш глибокі функції, які в іншому випадку не могли існувати, але Google нещодавно оголосив, що додатки, які використовують їх, без прямої вигоди для людей з обмеженими можливостями, можуть бути видалені з Play Store.

Служби доступності - цікавий інструмент, і щоб краще зрозуміти, що саме тут відбувається, нам потрібно детальніше ознайомитися.

Що таке послуги доступності?

Служби доступності знаходяться в Android та дозволяють телефонам та планшетам легше користуватися особами з обмеженими можливостями. Перейшовши на сторінку налаштувань доступності на пристрої Android, ви побачите масив елементів управління, які Google включив за замовчуванням. Деякі елементи тут містять у собі подобається натискання предметів на екрані, щоб ваш пристрій читав їх вам, мовний відгук, який читає вголос усі ваші дії, збільшуючи розмір елементів на дисплеї тощо.

Як очікується, загальна тема тут - зробити Android легшим та простішим у використанні для людей, яким потрібна додаткова допомога.

Окрім служб, вбудованих в Android за замовчуванням, розробники можуть скористатися службами доступності за допомогою власних додатків, щоб створити нові функції, які ними користуються. На сайті розробників Android Служби доступності описано так:

Служби доступності повинні використовуватися лише для надання допомоги користувачам з обмеженими можливостями в користуванні пристроями та програмами Android. Вони працюють у фоновому режимі та отримують зворотні виклики системою при запуску AccessibilityEvents. Такі події позначають певний перехід стану в інтерфейсі користувача, наприклад, фокус змінився, натиснута кнопка тощо. Така служба може додатково вимагати можливості запиту вмісту активного вікна. Розвиток служби доступності вимагає розширення цього класу та впровадження його абстрактних методів.

Чому деякі програми використовують їх

Хоча головна мета Служб доступності - дозволити розробникам створювати інструменти, орієнтовані на людей з обмеженими можливостями, протягом багатьох років ми бачили ряд додатків, які використовували цей ресурс для створення розширених функцій, які технічно можуть принести користь кожному.

Попередньо встановлені Служби доступності для Android орієнтовані на людей з обмеженими можливостями.

Службами доступності можна користуватися законно, але це, на жаль, не завжди відбувається.

Наприклад, LastPass App Fill виявляє накладку поверх будь-якого екрана чи іншого додатка, на якому ви знаходитесь, щоб ви могли легко додавати інформацію про ім’я користувача та пароль, не відкриваючи повну програму LastPass. Дії з буфера обміну також використовуються для Служб доступності, щоб ви могли легше керувати скопійованими посиланнями та вживати заходів, не будучи в повному додатку Дії буфера обміну.

Це метод, який розробники використовують вже досить давно, і хоча це технічно працює, він створює вразливості, які Google не любить бачити.

Міркування Google щодо нових обмежень

Окрім того, наскільки Служби доступності можуть бути використані при законному використанні, це можливо також зловмисне використання сервісу. Додатки, які використовують служби доступності, відкривають більші загрози безпеці, ніж ті, які не роблять, і це залишає пристрої ризиком для атак.

Незабаром після того, як Google оголосила про рішення обмежити програми, які можуть використовувати Служби доступності, було виявлено, що зміна, ймовірно, пов'язана з атакою "накладання тостів", яку виявила охоронна фірма TrendMicro. По суті, атака накладання тостів дозволяє шкідливим програмам відображати зображення та кнопки над тим, що дійсно повинно бути показано, щоб викрасти особисту інформацію або повністю заблокувати користувачів із свого пристрою.

Програми, які використовують цю атаку накладення тостів, з тих пір були видалені з Play Store, і виправлення з вересневим бюлетенем про безпеку вирішує цю вразливість, але це лише один приклад того, як додаток, що потрапляє на Служби доступності, може завдати серйозної шкоди.

Майбутнє - API

Програми, які використовують Служби доступності, щоб допомогти інвалідам законними способами, надалі існуватимуть, але для тих, хто не орієнтований на цю конкретну демографічну ситуацію, Google має рішення - API. На прикладі LastPass новий API автозаповнення з Android Oreo дозволяє LastPass пропонувати аналогічні функції, ніж його функція автоматичного заповнення без використання служб доступності.

API дозволяють отримати подібний (а часто і кращий) досвід, ніж те, що можуть створити хиткі розробки.

Це означає, що користувачам потрібно запускати новіші версії Android, щоб отримати доступ до всіх функцій деяких улюблених назв, але наприкінці дня ваша функціональність залишається, а також зменшує можливі ризики для безпеки.

Ми розуміємо роздратування, яке мають деякі користувачі щодо цієї зміни, але якщо дивитися на це з точки зору Google, це такий крок, який просто має сенс. Служби доступності ніколи не мали на меті використовувати для значної частини способів, коли певні розробники проникають у них, і це те, на що потрібно втрутитися Google.

Зрештою, як тільки програми оновлюються, щоб підтримувати численні API Google, ми отримаємо подібні функції з більшим захистом від атак. Що ще можна попросити?