Usluge pristupačnosti: što su oni i zašto Google guši njihovu zlouporabu

Postoji puno pokretnih dijelova za sve naše omiljene aplikacije. Možda ne razmišljate o tome dok se krećete kroz vremensku traku na Twitteru ili gledate videozapise na YouTubeu, ali količina stvari koja se događa iza kulisa kako bi sve ove aplikacije funkcionirale onako kako bi trebale biti su zapravo nevjerojatne.

Određene aplikacije poput LastPass, Tasker i Clipboard Actions dodiruju Androidove usluge pristupačnosti kako bi se omogućile dublje značajke koje inače ne bi mogle postojati, ali Google je nedavno objavio da se aplikacije koje koriste bez neposredne koristi osobama s invaliditetom mogu ukloniti iz Trgovine Play.

Usluge pristupačnosti zanimljiv su alat, a da bismo bolje shvatili što se točno ovdje događa, potrebno nam je detaljnije pogledati.

Što su usluge pristupačnosti?

Usluge pristupačnosti nalaze se unutar Androida i omogućavaju da se telefoni i tableti osobama s invaliditetom lakše koriste. Kad na svom Android uređaju otvorite stranicu postavki pristupačnosti, vidjet ćete niz kontrola koje je Google zadao prema zadanim postavkama. Neke od stavki ovdje uključuju sviđa dodirivanju stavki na zaslonu da bi ih vaš uređaj pročitao, izgovorene povratne informacije koje čitaju naglas sve vaše radnje, povećavajući veličinu predmeta na zaslonu itd.

Kao što se očekivalo, ovdje je opća tema olakšati i jednostavniji Android za ljude kojima je potrebna dodatna pomoć.

Uz usluge koje su prema Androidu ugrađene u Android, programeri se mogu uključiti u usluge pristupačnosti s vlastitim aplikacijama kako bi stvorili nove značajke koje ih koriste. Na web lokaciji Android Developers usluge pristupačnosti opisane su kako slijedi:

Usluge pristupačnosti trebaju se koristiti samo za pomoć korisnicima s invaliditetom u korištenju Android uređaja i aplikacija. Oni pokreću u pozadini i primaju povratne pozive od strane sustava kada se pokrene AccessibilityEvents. Takvi događaji označavaju neki prijelaz stanja u korisničkom sučelju, na primjer, fokus se promijenio, gumb je pritisnut itd. Takva usluga opcionalno može zatražiti mogućnost ispitivanja sadržaja aktivnog prozora. Razvoj usluge pristupačnosti zahtijeva proširenje te klase i primjenu njezinih apstraktnih metoda.

Zašto ih neke aplikacije koriste

Iako je glavni cilj usluge pristupačnosti omogućiti programerima da izrade alate namijenjene osobama s invaliditetom, tijekom godina vidjeli smo brojne aplikacije koje su ušle u ovaj resurs kako bi stvorile proširene značajke koje tehnički mogu koristiti svima.

Androidove unaprijed instalirane usluge pristupačnosti usmjerene su na osobe s invaliditetom i to s razlogom.

Usluge pristupačnosti mogu se zakonito koristiti, ali to se, nažalost, ne događa uvijek.

Na primjer, LastPass App Fill otkriva prekrivanje na vrhu bilo kojeg zaslona ili druge aplikacije na kojoj se nalazite, tako da lako možete dodati podatke o korisničkom imenu i zaporci bez potrebe za otvaranjem cjelovite aplikacije LastPass. Radnje u međuspremniku također dolaze u usluge pristupačnosti kako biste lakše upravljali kopiranim vezama i poduzimali radnje na njima bez potrebe da budete u potpunoj aplikaciji međuspremnik.

To je metoda koju programeri koriste već duže vrijeme, a iako tehnički radi, stvara ranjivosti koje Google ne voli vidjeti.

Googleovo obrazloženje za nova ograničenja

Koliko god usluge Pristupačnost mogle biti korištene zakonito, moguće je i uslugu zlonamjerno koristiti. Aplikacije koje koriste usluge pristupačnosti otvaraju veće sigurnosne prijetnje od onih koje to ne čine, a to dovodi uređaje u opasnost od napada.

Ubrzo nakon što je Google objavio odluku o ograničavanju aplikacija koje mogu koristiti Pristupne usluge, otkriveno je da je promjena vjerojatno povezana s napadom "prekrivanja tosta" koji je otkrila zaštitarska tvrtka TrendMicro. U osnovi, napad prekrivanja tosta omogućuje zlonamjernim aplikacijama da prikažu slike i gumbe preko onoga što bi se stvarno trebalo prikazati kako bi ukrali osobne podatke ili potpuno zaključali korisnike sa svog uređaja.

Aplikacije koje koriste ovaj napad prekrivanja tosta uklonjene su iz Play Store-a, a zakrpa s Sigurnosnim biltenom u rujnu rješava ranjivost, ali ovo je samo jedan primjer kako aplikacija koja dodirne usluge pristupačnosti može nanijeti ozbiljnu štetu.

Budućnost su API-ji

Aplikacije koje koriste usluge pristupačnosti za pomoć onemogućenima na zakonite načine i dalje će postojati, ali za one koje nisu ciljane na ovu specifičnu demografsku kategoriju Google ima rješenje - API-je. U primjeru LastPass-a, novi program za automatsko popunjavanje s Androidom Oreo omogućava LastPassu da nudi slične funkcije kao i njegova značajka automatskog popunjavanja bez upotrebe usluga pristupačnosti.

API-ji omogućavaju slična (a često i bolja) iskustva od onih što mogu stvoriti trikovi lažnih dev-a.

To znači da korisnici trebaju imati nove verzije Androida kako bi pristupili svim značajkama nekih svojih omiljenih naslova, ali na kraju dana, vaša funkcionalnost ostaje, a ujedno smanjuje moguće sigurnosne rizike.

Razumijemo neugodnost koju neki korisnici imaju prema ovoj promjeni, ali ako je promatramo iz Googleove perspektive, to je potez koji samo ima smisla. Usluge pristupačnosti nikada nisu bile namijenjene velikom dijelu načina na koji se određeni vragovi ubacuju u njih i Google je to nešto što treba riješiti.

Na kraju dana, nakon što se aplikacije ažuriraju kako bi podržale Googleove brojne API-je, dobit ćemo slične značajke s većom zaštitom od napada. Što biste još mogli tražiti?