Tillgänglighetstjänster: vad de är och varför google går in på deras missbruk

Det finns många rörliga delar till alla våra favoritapplikationer. Du kanske inte tänker på detta när du bläddrar igenom din tidslinje på Twitter eller tittar på videor på YouTube, men mängden saker som händer bakom kulisserna för att få alla dessa appar att fungera som de ska är faktiskt ganska otroligt.

Vissa appar som LastPass, Tasker och Clipboard Actions utnyttjar Android: s tillgänglighetstjänster för att möjliggöra djupare funktioner som annars inte kunde existera, men Google meddelade nyligen att program som använder dem utan att gynna dem med funktionsnedsättning direkt kan tas bort från Play Store.

Tillgänglighetstjänster är ett intressant verktyg, och för att få en bättre uppfattning om vad som exakt händer här måste vi ta en närmare titt.

Vad är tillgänglighetstjänster?

Tillgänglighetstjänster finns i Android och gör att telefoner och surfplattor är lättare att använda för personer med funktionsnedsättning. När du går till sidan Inställningar för tillgänglighet på din Android-enhet ser du en rad kontroller som Google har aktiverat som standard. Några av artiklarna här inkluderar gillar att knacka på objekt på skärmen för att låta din enhet läsa dem för dig, muntlig feedback som läser högt alla dina handlingar, ökar storleken på objekt på skärmen, etc.

Som förväntat är det allmänna temat här att göra Android enklare och enklare att använda för personer som behöver lite extra hjälp.

Utöver de tjänster som är inbyggda i Android som standard kan utvecklare utnyttja tillgänglighetstjänster med sina egna appar för att skapa nya funktioner som drar nytta av dem. På Android-utvecklarens webbplats beskrivs tillgänglighetstjänster enligt följande:

Tillgänglighetstjänster bör endast användas för att hjälpa användare med funktionsnedsättningar att använda Android-enheter och appar. De körs i bakgrunden och får återuppringningar av systemet när AccessibilityEvents avfyras. Sådana händelser betecknar en viss tillståndsövergång i användargränssnittet, till exempel, fokus har ändrats, en knapp har klickats, etc. En sådan tjänst kan valfritt begära kapacitet för att fråga innehållet i det aktiva fönstret. Utveckling av en tillgänglighetstjänst kräver utvidgning av denna klass och implementering av dess abstrakta metoder.

Varför vissa appar använder dem

Även om huvudmålet med Accessibility Services är att låta utvecklare skapa verktyg riktade mot personer med funktionsnedsättning, har vi sett ett antal appar under åren som har utnyttjat denna resurs för att skapa utökade funktioner som tekniskt kan gynna alla.

Android: s förinstallerade tillgänglighetstjänster riktar sig alla till personer med funktionsnedsättning och av en anledning.

Tillgänglighetstjänster kan användas legitimt, men det tyvärr inte alltid händer.

Till exempel avslöjar LastPass App Fill ett överlägg ovanpå vilken skärm eller annan app du är på så att du enkelt kan lägga till användarnamn och lösenordinformation utan att behöva öppna hela LastPass-applikationen. Urklippsåtgärderna utnyttjar också tillgänglighetstjänster så att du enklare kan hantera länkar som du har kopierat och vidta åtgärder mot dem utan att behöva vara i hela Clipboard Actions-appen.

Detta är en metod som utvecklarna har använt länge nu, och även om det tekniskt fungerar skapar det för sårbarheter som Google inte gillar att se.

Googles resonemang för de nya begränsningarna

Så bra som tillgänglighetstjänster kan vara när de används på ett legitimt sätt är det också möjligt att tjänsten används skadligt. Appar som använder tillgänglighetstjänster öppnar upp större säkerhetshot än sådana som inte gör det, och det ger enheter risk för attacker.

Strax efter att Google tillkännagav beslutet att begränsa applikationer som kan använda Accessibility Services upptäcktes det att förändringen troligen var kopplad till en "toast overlay" -attack som hade upptäckts av säkerhetsföretaget TrendMicro. I huvudsak tillåter toastoverläggningsattacken skadliga appar att visa bilder och knappar över vad som verkligen ska visas för att stjäla personlig information eller helt låsa användare ur deras enhet.

Appar som använder denna toast-overlay-attack har sedan tagits bort från Play Store och en korrigeringsfil med säkerhetsbulletinen i september löser sårbarheten, men detta är bara ett exempel på hur en app som tappar till Accessibility Services kan orsaka allvarliga skador.

Framtiden är API: er

Appar som använder tillgänglighetstjänster för att hjälpa funktionshindrade på legitima sätt kommer att fortsätta att existera, men för de som inte är inriktade på den här specifika demografin har Google en lösning - API: er. I exemplet med LastPass tillåter det nya Autofill API med Android Oreo LastPass att erbjuda liknande funktioner som sin Auto Fill-funktion utan att behöva använda tillgänglighetstjänster.

API: er möjliggör liknande (och ofta bättre) upplevelser än vad hackiga dev-trick kan producera.

Detta betyder att användare måste köra nyare versioner av Android för att få tillgång till alla funktioner i några av deras favorit titlar, men i slutet av dagen kvarstår din funktionalitet samtidigt som du minskar möjliga säkerhetsrisker.

Vi förstår den irritation som vissa användare har för den här förändringen, men när de tittar på det från Googles perspektiv är det ett drag som bara är meningsfullt. Tillgänglighetstjänster var aldrig avsedda att användas för en stor del av de sätt som vissa enheter distribuerar till dem, och det är något som Google behöver slå ner på.

I slutet av dagen, när appar har uppdaterats för att stödja Googles många API: er, får vi liknande funktioner med större skydd mot attacker. Vad mer kan du begära?