Sommario:
- Cosa sono i servizi di accessibilità?
- Perché alcune app li usano
- Il ragionamento di Google per le nuove limitazioni
- Il futuro sono le API
Ci sono molte parti mobili in tutte le nostre applicazioni preferite. Potresti non pensarci quando scorri la tua cronologia su Twitter o guardi video su YouTube, ma la quantità di cose che accadono dietro le quinte per far funzionare tutte queste app nel modo in cui dovrebbero essere in realtà è piuttosto incredibile.
Alcune app come LastPass, Tasker e Clipboard Actions entrano nei servizi di accessibilità di Android per consentire funzionalità più profonde che altrimenti non potrebbero esistere, ma Google ha recentemente annunciato che le applicazioni che le utilizzano senza beneficiare direttamente di quelle con disabilità potrebbero essere rimosse dal Play Store.
I servizi di accessibilità sono uno strumento interessante e per avere un'idea più precisa di ciò che sta accadendo qui, dobbiamo dare un'occhiata più da vicino.
Cosa sono i servizi di accessibilità?
I servizi di accessibilità si trovano in Android e consentono a telefoni e tablet di essere più facili da usare da parte di persone con disabilità. Quando vai alla pagina delle impostazioni di Accessibilità sul tuo dispositivo Android, vedrai una serie di controlli che Google ha abilitato per impostazione predefinita. Alcuni degli elementi qui includono Mi piace toccare gli elementi sullo schermo per fare in modo che il tuo dispositivo li legga da te, feedback vocale che legge ad alta voce tutte le tue azioni, aumentando le dimensioni degli elementi sul display, ecc.
Come previsto, il tema generale qui è di rendere Android più facile e semplice da usare per le persone che necessitano di ulteriore assistenza.
Oltre ai servizi integrati in Android per impostazione predefinita, gli sviluppatori possono accedere ai servizi di accessibilità con le proprie app per creare nuove funzionalità che ne traggono vantaggio. Sul sito degli sviluppatori Android, i servizi di accessibilità sono descritti come segue:
I servizi di accessibilità dovrebbero essere utilizzati solo per assistere gli utenti con disabilità nell'utilizzo di dispositivi e app Android. Eseguono in background e ricevono richiamate dal sistema quando vengono attivati AccessibilityEvents. Tali eventi indicano una transizione di stato nell'interfaccia utente, ad esempio lo stato attivo è stato modificato, è stato fatto clic su un pulsante, ecc. Tale servizio può facoltativamente richiedere la capacità di interrogare il contenuto della finestra attiva. Lo sviluppo di un servizio di accessibilità richiede l'estensione di questa classe e l'implementazione dei suoi metodi astratti.
Perché alcune app li usano
Sebbene l'obiettivo principale dei servizi di accessibilità sia quello di consentire agli sviluppatori di creare strumenti rivolti alle persone con disabilità, nel corso degli anni abbiamo visto un numero di app che hanno attinto a questa risorsa per creare funzionalità estese che possono offrire vantaggi tecnici a tutti.
I servizi di accessibilità possono essere utilizzati legittimamente, ma ciò, sfortunatamente, non sempre accade.
Ad esempio, il Riempimento app di LastPass rivela una sovrapposizione su qualsiasi schermata o altra app in cui ti trovi in modo da poter aggiungere facilmente informazioni su nome utente e password senza dover aprire l'applicazione LastPass completa. Le azioni degli Appunti toccano anche i Servizi di accessibilità in modo da poter gestire più facilmente i collegamenti che hai copiato e agire su di essi senza dover essere nell'app completa di Appunti degli Appunti.
Questo è un metodo che gli sviluppatori utilizzano da un po 'di tempo e, sebbene funzioni tecnicamente, crea per le vulnerabilità che a Google non piace vedere.
Il ragionamento di Google per le nuove limitazioni
Per quanto i servizi di accessibilità possano essere utilizzati in modo legittimo, è anche possibile che il servizio venga utilizzato in modo dannoso. Le app che utilizzano i servizi di accessibilità aprono maggiori minacce alla sicurezza rispetto a quelle che non lo fanno e ciò rende i dispositivi a rischio di attacchi.
Poco dopo che Google ha annunciato la decisione di limitare le applicazioni che possono utilizzare i servizi di accessibilità, è stato scoperto che la modifica era probabilmente connessa a un attacco "toast overlay" scoperto dalla società di sicurezza TrendMicro. In sostanza, l'attacco overlay toast consente alle app dannose di visualizzare immagini e pulsanti su ciò che dovrebbe essere effettivamente mostrato al fine di rubare informazioni personali o bloccare completamente gli utenti dal loro dispositivo.
Le app che utilizzano questo attacco di sovrapposizione di toast sono state rimosse dal Play Store e una patch con il Bollettino sulla sicurezza di settembre risolve la vulnerabilità, ma questo è solo un esempio di come un'app che tocca i Servizi di accessibilità può causare gravi danni.
Il futuro sono le API
Le app che utilizzano i servizi di accessibilità per aiutare i disabili in modi legittimi continueranno a esistere, ma per quelli che non sono destinati a questo specifico gruppo demografico, Google ha una soluzione: le API. Nell'esempio di LastPass, la nuova API di compilazione automatica con Android Oreo consente a LastPass di offrire funzionalità simili alla sua funzione di riempimento automatico senza dover utilizzare i servizi di accessibilità.
Ciò significa che gli utenti devono eseguire versioni più recenti di Android per accedere a tutte le funzionalità di alcuni dei loro titoli preferiti, ma alla fine della giornata, la funzionalità rimane invariata, riducendo al contempo i possibili rischi per la sicurezza.
Comprendiamo il fastidio che alcuni utenti hanno verso questo cambiamento, ma quando lo guardiamo dal punto di vista di Google, è una mossa che ha senso. I servizi di accessibilità non sono mai stati pensati per essere utilizzati in gran parte dei modi in cui alcuni sviluppatori si attingono da loro, ed è qualcosa su cui Google ha bisogno di reprimere.
Alla fine della giornata, una volta aggiornate le app per supportare le numerose API di Google, avremo funzionalità simili con una maggiore protezione dagli attacchi. Cosa si può chiedere di più?
