Android Accessibility API Security

Google está probando una nueva función de seguridad como parte del modo de protección avanzada (AAPM) de Android que impide que ciertos tipos de aplicaciones usen la API de servicios de accesibilidad.

El cambio, incorporado en Android 17 Beta 2, fue reportado por primera vez de Android Authority la semana pasada.

AAPM fue introducido de Google en Android 16, lanzado el año pasado. ¿Cuándo habilitado , hace que el dispositivo entre en un estado de seguridad reforzado para protegerse contra los ciberataques sofisticados. Al igual que el modo de bloqueo de Apple, la función opcional prioriza la seguridad a costa de reducir la funcionalidad y la facilidad de uso para minimizar la superficie de ataque.

adsense

Algunos de los configuraciones principales incluyen bloquear la instalación de aplicaciones desde fuentes desconocidas, restringir la señalización de datos USB y exigir el escaneo de Google Play Protect.

«Los desarrolladores pueden integrar esta función mediante el Administrador de protección avanzada API para detectar el estado del modo, lo que permite a las aplicaciones adoptar automáticamente una postura de seguridad reforzada o restringir las funciones de alto riesgo cuando un usuario se ha registrado», dijo Google apuntado en su documentación que describe las funciones de Android 17.

La última restricción añadida a la configuración de seguridad con un solo toque tiene como objetivo evitar que las aplicaciones que no están clasificadas como herramientas de accesibilidad puedan aprovechar las ventajas del sistema operativo API de servicios de accesibilidad . Herramientas de accesibilidad verificadas, identificadas por el Indicador IsAccessibilityTool="true» , están exentos de esta regla.

Según Google, solo los lectores de pantalla, los sistemas de entrada basados en conmutadores, las herramientas de entrada basadas en voz y los programas de acceso basados en Braille se designan como herramientas de accesibilidad. El software antivirus, las herramientas de automatización, los asistentes, las aplicaciones de monitoreo, los limpiadores, los gestores de contraseñas y los lanzadores no entran en esta categoría.

Si bien AccessibilityService tiene sus casos de uso legítimos, como ayudar a los usuarios con discapacidades a usar dispositivos y aplicaciones Android, la API ha sido abusado extensamente por parte de malos actores en los últimos años para robar datos confidenciales de dispositivos Android comprometidos.

enlaces

Con el último cambio, los privilegios de cualquier aplicación que no sea de accesibilidad y que ya tenga el permiso se revocarán automáticamente cuando AAPM esté activa. Los usuarios tampoco podrán conceder permisos a las aplicaciones para acceder a la API a menos que la configuración esté desactivada.

Android 17 también incluye un nuevo selector de contactos que permite a los desarrolladores de aplicaciones especificar solo los campos a los que quieren acceder desde la lista de contactos de un usuario (por ejemplo, números de teléfono o direcciones de correo electrónico) o permitir a los usuarios seleccionar ciertos contactos con una aplicación de terceros.

«Esto otorga a la aplicación acceso de lectura solo a los datos seleccionados, lo que garantiza un control granular y, al mismo tiempo, proporciona una experiencia de usuario uniforme con funciones integradas de búsqueda, cambio de perfil y selección múltiple sin tener que crear o mantener la interfaz de usuario», afirma Google.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.