Serveis d’accessibilitat: què són i per què google s’està produint un mal ús

Hi ha moltes parts mòbils a totes les nostres aplicacions preferides. Pot ser que no us ho penseu al desplaçar-vos per la vostra línia de temps a Twitter o a veure vídeos a YouTube, però la quantitat de coses que passen per darrere de les escèniques per fer que totes aquestes aplicacions funcionin de la manera que se suposa és realment increïble.

Algunes aplicacions com LastPass, Tasker i el portapapers accionen els serveis d’accessibilitat d’Android per permetre funcions més profundes que d’una altra manera no podrien existir, però recentment Google va anunciar que les aplicacions que les utilitzen sense beneficiar directament les persones amb discapacitat es podrien eliminar de la Play Store.

Els serveis d’accessibilitat són una eina interessant i, per tenir una millor idea del que s’esdevé exactament aquí, hem de fer una ullada més a fons.

Què són els serveis d’accessibilitat?

Els serveis d’accessibilitat es troben dins d’Android i permeten als telèfons i tauletes un ús més fàcil per part dels discapacitats. Quan aneu a la pàgina de configuració d’accessibilitat del dispositiu Android, veureu una sèrie de controls que Google ha activat de manera predeterminada. Alguns dels elements aquí inclouen els gustos de tocar els articles a la pantalla perquè el dispositiu els llegeixi, els comentaris que es llegeixin en veu alta totes les vostres accions, augmentant la mida dels elements de la pantalla, etc.

Com era d'esperar, el tema general és fer que Android sigui més fàcil i senzill d'utilitzar-lo per a les persones que necessiten una ajuda addicional.

A més dels serveis integrats de manera predeterminada a Android, els desenvolupadors poden accedir a Serveis d'Accessibilitat amb les seves pròpies aplicacions per crear noves funcions que se n'aprofitin. Al lloc de desenvolupadors d'Android, els Serveis d'Accessibilitat es descriuen de la manera següent:

Els serveis d’accessibilitat només s’han d’utilitzar per ajudar els usuaris amb discapacitat a utilitzar dispositius i aplicacions Android. S'executen en segon pla i reben devolucions del sistema quan es disparen AccessibilityEvents. Aquests esdeveniments denoten una transició d'estat a la interfície d'usuari, per exemple, s'ha canviat l'enfocament, s'ha fet clic en un botó, etc. Aquest servei pot demanar opcionalment la capacitat per consultar el contingut de la finestra activa. El desenvolupament d’un servei d’accessibilitat requereix ampliar aquesta classe i implementar els seus mètodes abstractes.

Per què algunes aplicacions les fan servir?

Tot i que l’objectiu principal dels serveis d’accessibilitat és permetre als desenvolupadors crear eines dirigides a persones amb discapacitat, al llarg dels anys hem vist diverses aplicacions que han aprofitat aquest recurs per crear funcions ampliades que poden beneficiar tècnicament tothom.

Els serveis d’accessibilitat preinstal·lats d’Android s’adrecen a persones amb discapacitat i per un motiu.

Els serveis d’accessibilitat es poden utilitzar legítimament, però això malauradament no sempre succeeix.

Per exemple, l’emplenament d’aplicacions de LastPass revela una superposició a la part superior de la pantalla o de qualsevol altra aplicació on estigueu fent, així que podeu afegir informació d’usuari i contrasenya fàcilment sense haver d’obrir l’aplicació completa LastPass. El porta-retalls Accions també aplica serveis d'Accessibilitat per poder gestionar més fàcilment els enllaços que heu copiat i prendre mesures sobre ells sense haver d'estar a l'aplicació completa del Clipboard Accions.

Aquest és un mètode que els desenvolupadors porten utilitzant des de fa temps i, mentre que funciona tècnicament, es crea per a vulnerabilitats que a Google no li agrada veure.

Raonament de Google per les noves limitacions

Tan gran com es pot utilitzar legítimament els serveis d’accessibilitat, també es pot utilitzar malament el servei. Les aplicacions que utilitzen Serveis d’accessibilitat obren amenaces de seguretat més grans que les que no ho fan, i això deixa que els dispositius estiguin en risc d’atacs.

Poc després que Google anunciés la decisió de limitar les aplicacions que puguin utilitzar els Serveis d'Accessibilitat, es va descobrir que el canvi estava relacionat probablement amb un atac de "superposició de torrades" que havia descobert la companyia de seguretat TrendMicro. Essencialment, l’atac de superposició de brindis permet a les aplicacions malicioses mostrar imatges i botons sobre allò que realment s’hauria de mostrar per robar informació personal o bloquejar completament els usuaris del seu dispositiu.

Les aplicacions que utilitzen aquest atac de superposició de brindis s’han eliminat des de Play Store i un pegat amb el butlletí de seguretat de setembre resol la vulnerabilitat, però aquest és només un exemple de com una aplicació que toca als serveis d’accessibilitat pot causar danys greus.

El futur són les API

Les aplicacions que utilitzen Serveis d’accessibilitat per ajudar els discapacitats de maneres legítimes continuaran existint, però per a aquells que no estiguin orientats a aquesta demografia específica, Google té una solució: API. En l’exemple de LastPass, la nova API de llenguatge automàtic amb Android Oreo permet a LastPass oferir una funcionalitat similar a la seva funció d’emplenament automàtic sense haver d’utilitzar els serveis d’accessibilitat.

Les API permeten experiències similars (i sovint millors) que les que es poden produir trucs pirates.

Això significa que els usuaris han d’executar versions més noves d’Android per accedir a totes les funcions d’alguns dels seus títols preferits, però, al final, la vostra funcionalitat es manté i reduint possibles riscos de seguretat.

Entenem la molèstia que tenen alguns usuaris envers aquest canvi, però quan ho miren des de la perspectiva de Google, és una mesura que només té sentit. Els serveis d’accessibilitat mai no van ser destinats a utilitzar-se per a una gran part de les maneres en què alguns servidors els toquen i és una cosa que Google necessita per desgastar.

Al final del dia, una vegada que les aplicacions s’actualitzin per donar suport a les nombroses API de Google, obtindrem funcions similars amb una major protecció contra atacs. Què més podríeu demanar?