Indholdsfortegnelse:
- Hvad er tilgængelighedstjenester?
- Hvorfor nogle apps bruger dem
- Googles begrundelse for de nye begrænsninger
- Fremtiden er API'er
Der er mange bevægelige dele til alle vores foretrukne applikationer. Du kan måske ikke tænke over dette, når du ruller gennem din tidslinje på Twitter eller ser videoer på YouTube, men mængden af ting, der foregår bag kulisserne for at få alle disse apps til at fungere som de skal, er faktisk temmelig utroligt.
Visse apps som LastPass, Tasker og Clipboard-handlinger tapper ind i Androids tilgængelighedstjenester for at give mulighed for dybere funktioner, der ellers ikke kunne eksistere, men Google annoncerede for nylig, at applikationer, der bruger dem uden direkte at gavne dem med handicap, kunne fjernes fra Play Store.
Tilgængelighedstjenester er et interessant værktøj, og for at få en bedre idé om, hvad der præcist foregår her, er vi nødt til at se nærmere på.
Hvad er tilgængelighedstjenester?
Tilgængelighedstjenester findes i Android og tillader, at telefoner og tablets er lettere at bruge af handicappede. Når du går til siden Indstillinger for tilgængelighed på din Android-enhed, ser du en række kontroller, som Google har aktiveret som standard. Nogle af elementerne her inkluderer lide at trykke på elementer på din skærm for at få din enhed til at læse dem op for dig, talt feedback, der læser højt alle dine handlinger, øge størrelsen på emner på skærmen osv.
Som forventet er det generelle tema her at gøre Android lettere og enklere at bruge for folk, der har brug for lidt ekstra hjælp.
Ud over de tjenester, der som standard er indbygget i Android, kan udviklere benytte sig af tilgængelighedstjenester med deres egne apps for at oprette nye funktioner, der drager fordel af dem. På Android-udviklers websted er tilgængelighedstjenester beskrevet som følger:
Tilgængelighedstjenester bør kun bruges til at hjælpe brugere med handicap i at bruge Android-enheder og apps. De kører i baggrunden og modtager tilbagekald af systemet, når AccessibilityEvents affyres. Sådanne begivenheder betegner en vis statusovergang i brugergrænsefladen, for eksempel har fokus ændret sig, der er klikket på en knap osv. En sådan tjeneste kan eventuelt anmode om kapacitet til at spørge om indholdet i det aktive vindue. Udvikling af en tilgængelighedstjeneste kræver udvidelse af denne klasse og implementering af dens abstrakte metoder.
Hvorfor nogle apps bruger dem
Selvom hovedmålet med Accessibility Services er at give udviklere mulighed for at oprette værktøjer, der er målrettet mod personer med handicap, har vi set et antal apps i årenes løb, der har brugt denne ressource til at skabe udvidede funktioner, der teknisk kan drage fordel for alle.
Tilgængelighedstjenester kan bruges legitimt, men det sker desværre ikke altid.
For eksempel afslører LastPass's App Fill et overlay øverst på hvilken skærm eller anden app, du er på, så du nemt kan tilføje brugernavn og adgangskodeoplysninger uden at skulle åbne det fulde LastPass-program. Udklipsholderhandlinger hænger også ind i tilgængelighedstjenester, så du lettere kan administrere links, du har kopieret, og gribe ind på dem uden at skulle være i den fulde udklipsholder-app.
Dette er en metode, som udviklere har brugt i ganske lang tid nu, og selvom den teknisk fungerer, skaber den for sårbarheder, som Google ikke kan lide at se.
Googles begrundelse for de nye begrænsninger
Så god som tilgængelighedstjenester kan være, når de bruges legitimt, er det også muligt for tjenesten at blive brugt ondsindet. Apps, der bruger tilgængelighedstjenester, åbner for større sikkerhedstrusler end dem, der ikke gør det, og dette efterlader enheder i fare for angreb.
Kort efter Google annoncerede beslutningen om at begrænse applikationer, der kan bruge Accessibility Services, blev det opdaget, at ændringen sandsynligvis var forbundet med et "toast overlay" -angreb, der var blevet opdaget af sikkerhedsfirmaet TrendMicro. I det væsentlige tillader toastoverlejringsangrebet, at ondsindede apps kan vise billeder og knapper over, hvad der virkelig skal vises for at stjæle personlige oplysninger eller helt låse brugere ud af deres enhed.
Apps, der bruger dette toastoverlay-angreb, er siden blevet fjernet fra Play Store, og en programrettelse med sikkerhedsbulletin fra september løser sårbarheden, men dette er kun et eksempel på, hvordan en app, der tapper til Accessibility Services, kan forårsage alvorlig skade.
Fremtiden er API'er
Apps, der bruger Accessibility Services til at hjælpe handicappede på legitime måder, vil fortsat eksistere, men for dem, der ikke er målrettet mod denne specifikke demografiske, har Google en løsning - API'er. I eksemplet med LastPass tillader den nye Autofill API med Android Oreo LastPass at tilbyde lignende funktionalitet som dens Auto Fill-funktion uden at skulle bruge Accessibility Services.
Dette betyder, at brugere skal køre nyere versioner af Android for at få adgang til alle funktionerne i nogle af deres foretrukne titler, men i slutningen af dagen forbliver din funktionalitet, samtidig med at du reducerer mulige sikkerhedsrisici.
Vi forstår den irritation, som nogle brugere har over denne ændring, men når man ser på den fra Googles perspektiv, er det en bevægelse, der bare giver mening. Tilgængelighedstjenester var aldrig beregnet til at blive brugt på en stor del af måderne, som visse devs tapper på dem, og det er noget, som Google har brug for at slå ned på.
I slutningen af dagen, når apps bliver opdateret for at understøtte Googles mange API'er, får vi lignende funktioner med større beskyttelse mod angreb. Hvad mere kan du bede om?
