2. Hírek
  3. Alkalmazások

Szigorúbb korlátozások jönnek az APK-ból telepített alkalmazásokra

Az Android 13 béta alapértelmezetten megvágja az APK-ból telepített alkalmazások hozzáférését a kisegítő lehetőségek API-hoz a felhasználók biztonsága érdekében.

Hirdetés

A kisegítő lehetőségek API olvashatja a kijelzőn megjelenő tartalmat és parancsot is vihet be, ami kifejezetten hasznos segítség lehet a készülék irányításához abban az esetben, ha a felhasználó például mozgásszervi nehézségekkel él. Az API-hoz való hozzáféréshez szükséges, hogy az alkalmazásokba implementálva legyen az AccessibilityService, egy háttérben folyamatosan futó kisegítő szolgáltatás, ami információt kap a rendszertől bizonyos dolgokról (AccessibilityEvent), ilyen lehet, ha rányomtak egy gombra, megállt a görgetés és fókuszba került a szöveg. Erre az alkalmazás reagál, a TalkBack például képes felolvasni a kijelzőn olvasható szöveget, ezzel segítve a látássérült felhasználót, a Kapcsolóalapú hozzáférés pedig parancsot vihet be.

Értesítés arról, hogy a rendszer letiltotta az app bizonyos hozzáféréseit a felhasználó érdekében.
Értesítés arról, hogy az Android 13 rendszer letiltotta az app bizonyos hozzáféréseit a felhasználó érdekében. (forrás: Blog.Esper) [+]

Alapértelmezetten a kisegítő lehetőségek nem aktívak, ezt a felhasználónak manuálisan kell a beállítások közt bekapcsolnia. A rendszer ilyenkor figyelmeztet is, hogy az alkalmazások teljes hozzáférést nyernek a készülékhez, láthatják a kijelző tartalmát és interakcióra is képesek. Az API nyújtotta lehetőségeket azonban rosszindulatú, akár támadó jelleggel is kihasználhatták alkalmazások, erre több példa is volt az elmúlt években. A legismertebb talán FluBot, ami tavaly a FedEx futárszolgálat nevét és arculatát használva küldött üzenetet a felhasználóknak egy linkkel, melyen keresztül ha a gyanútlan felhasználó letöltötte a FedEx küllemét imitáló alkalmazást, a FluBot elkezdett személyes és banki adatokat gyűjteni a telefonon keresztül.

SMS-ben érkezett a link, ha valaki rákattintott és telepítette a csomagküldő szolgáltatást imitáló rosszindulatú programot, annak a banki adatai bánhatták.
SMS-ben érkezett a link, ha valaki rákattintott és telepítette a csomagküldő szolgáltatást imitáló rosszindulatú programot, annak a banki adatai bánhatták. (forrás: Kiberblog) [+]

A Google erre reagálva először a Play Áruházban szigorított: tavaly vezették be, hogy az Android 12-es rendszerre készülő, a kisegítő lehetőségek API-t használó alkalmazások fejlesztőinek be kell nyújtani a Google felé, miért és mihez kell az, ezt a Play-nek el kell fogadnia. Ezen felül a programnak kötelessége jelezni a felhasználó felé, annak pedig vissza kell jeleznie, hogy megértette. Ez némileg kijátszható, ha a program magára kisegítő eszközként (AccessibilityTool), tehát tényleges segítségnyújtó alkalmazásként hivatkozik. Android 12 alatt a rendszer figyelmeztető értesítést küld a felhasználónak, amennyiben egy APK-ból telepített program, mely nem kisegítő eszköz, a háttérben 24 órával a telepítése és hozzáférések engedélyezése után is futtat valamilyen kisegítő szolgáltatást.

Értesítés Android 12 alatt arról, hogy a háttérben fut egy szolgáltatás, aminek sok mindenhez van hozzáférése.
Értesítés Android 12 alatt arról, hogy a háttérben fut egy szolgáltatás, aminek sok mindenhez van hozzáférése. (forrás: Blog.Esper) [+]

Az Android 13 (vagyis egyelőre a béta) szűkebbre zárja az ajtót, ugyanis az APK-ból telepített programoktól a rendszer megtagadja a hozzáférést a kisegítő lehetőségek API-hoz. Erről a felhasználó egy felugró ablakban értesítést is kap, mely szerint biztonsága érdekében az opció nem elérhető. A külső alkalmazásboltokra és az onnan letöltött programokra, például az Amazon Appstore-ból vagy F-Droidból telepített dolgokra nem vonatkozik a szigorítás, mivel azok is munkamenet-alapú csomagtelepítéssel kerülnek a készülékre, az APK-ból telepített programok pedig nem. A Google ezt azzal indokolja, hogy a harmadik fél alkalmazásboltjai is biztonságosabb forrásnak számítanak, mint az innen-onnan (böngésző, mail kliens, üzenetküldő) összeszedett APK-k. A videóban három nem munkamenet-alapú és a jobb szélen egy munkamenet-alapú csomagtelepítés példája ugyanarra az APK-ra:

 

GMS alatt a Google Play biztonságos forrásnak számít.
GMS alatt a Google Play biztonságos forrásnak számít. (forrás: Blog.Esper)

Azok a felhasználók, akik mindenképpen szeretnének elérést adni az APK-ból telepített programnak, megtehetik. Az Android 13 bétában az alkalmazás információs oldalán a további beállítások alatt van opció rá, hogy a letiltott hozzáférést engedélyezzék. Erről a rendszer nem szól egy szót sem, és a letiltott hozzáférések között egyelőre csak a kisegítő lehetőségek API-t lehet engedélyezni az alkalmazások számára.

Utólag lehet engedélyezni a hozzáférést, ha valaki nagyon akarja.Utólag lehet engedélyezni a hozzáférést, ha valaki nagyon akarja. Utólag lehet engedélyezni a hozzáférést, ha valaki nagyon akarja. (forrás: Blog.Esper) [+]

A Google részletesen az I/O konferencián beszél majd az Android 13-ról részletesen május 11-12-én.

Azóta történt

Előzmények

Hirdetés