Google hat mit der neuesten Version seines Android Betriebssystems Android eine echte Bombe für App-Entwickler platzen lassen. Das Unternehmen kann nun die Installation von Apps verhindern, wenn diese versuchen, die Barrierefreiheitsfunktionen des Systems zu nutzen.
Bei der neuen Funktion, die in Android 17.2 verfügbar ist, dreht sich alles um Sicherheit, erklärt das Unternehmen. Sie verhindert, dass bestimmte Arten von Apps den Barrierefreiheitsdienst nutzen, wenn Advanced (APM) aktiviert ist.
Die Barrierefreiheits-API ermöglicht es App-Entwicklern, Nutzer mit Behinderungen zu unterstützen, die bei der Bedienung ihres Smartphones zusätzliche Hilfe benötigen. Apps können diese API nutzen, um auf verschiedene Weise auf den Bildschirm zuzugreifen, die Eingaben für den Nutzer zu steuern und beispielsweise Sprachdienste zu nutzen.
Leider findet, wie bei den meisten nützlichen Tools, immer jemand einen Weg, sie zu missbrauchen und sie für alle anderen unbrauchbar zu machen. Malware-Entwickler nutzen diese API seit Jahren, um sich Zugang zu Ihrem Bankkonto zu verschaffen. Der Barrierefreiheitsdienst verfügt über weitreichende Befugnisse: Jede App, die die Berechtigung hat, ihn zu nutzen, kann lesen, was auf Ihrem Bildschirm angezeigt wird.
Viele Android sind kaum mehr als mit kriminellen Absichten versehene Wrapper für die Barrierefreiheits-API. Sie stehlen 2FA-Codes, geben sich als die Opfer aus und leeren deren Konten, während diese schlafen.
Zwei Methoden sind besonders verbreitet. Die erste sind gefälschte Overlays. Über die Barrierefreiheits-API lassen sich Overlays über den Bildschirm einer anderen App legen. Entwickler von Banking- und Kryptowährungs-Trojanern können dies nutzen, um Ihre Tastatureingaben aufzuzeichnen (Sie glauben, Sie melden sich nur bei Ihrer Banking-App an, doch die Malware erfasst alles, was Sie eingeben).
Der zweite Punkt ist der Missbrauch von Berechtigungen. Sobald der Trojaner Ihre Passwörter hat, kann er eigene Transaktionen autorisieren.
Die Zahl der Malware-Frameworks, die die Barrierefreiheits-API ausnutzen, hat zugenommen. DroidLock nutzt sie, um Ihre persönlichen Daten zu stehlen, bevor es Lösegeld fordert. Albiriox nutzt sie, um sich selbst zu installieren und Angreifern auf der anderen Seite der Welt Fernzugriff zu gewähren.
Beides haben wir bereits im Dezember beobachtet, und erst letzten Monat entdeckte Stefan Dasic, Malwarebytes , ein Malware-Programm, das den Barrierefreiheitsdienst missbrauchte und sich als gefälschte Google-Sicherheitsseite ausgab.
Googles letzte Rettung
Google hat bereits früher versucht, den Missbrauch der API einzudämmen. Im Jahr 2017 warnte das Unternehmen Entwickler, dass sie die Nutzung von Barrierefreiheitsfunktionen begründen müssten, da ihnen sonst die Entfernung aus dem Play Store drohe. Die Entwickler lehnten sich dagegen auf, und Google lenkte ein. Doch dann, im November 2021, begann das Unternehmen, für Apps Android Einwilligungserklärungen für die Nutzung der Barrierefreiheits-API zu verlangen.
Nun verschärft das Unternehmen die Maßnahmen noch weiter und führt strengere Regeln für die Barrierefreiheits-API ein. Apps können Barrierefreiheitsdienste nicht mehr einfach durch Setzen eines Software-Flags aktivieren. Stattdessen dürfen nur noch Apps, deren Hauptzweck die Barrierefreiheit ist, diese Dienste nutzen.
Zu den von Google genannten Beispielen gehören Bildschirmleseprogramme, Schaltgeräte, Sprachsteuerungen und Braillezeilen. Mit diesen neuen Regeln haben Passwortmanager oder Automatisierungs-Apps keinen Zugriff mehr auf die Barrierefreiheits-API.
Zumindest nicht, wenn der Benutzer APM aktiviert hat.
APM wurde im Mai letzten Jahres eingeführt und ist Googles Antwort auf Apples „Lockdown-Modus“. Es führt für Nutzer, die diese Funktion aktivieren, deutlich strengere Sicherheitskontrollen ein, wodurch es für Malware schwieriger wird, sie auszunutzen.
Der Preis für diese zusätzliche Sicherheit ist eine eingeschränkte Funktionalität. So lassen sich beispielsweise nur Apps aus vertrauenswürdigen Quellen installieren, und die Datenübertragung über USB ist eingeschränkt. Auch der Zugriff auf die Barrierefreiheits-API ist nun eingeschränkt.
Man kann also entweder ein Passwort-Manager oder ein Barrierefreiheits-Tool sein, aber nicht beides. Entwickler, die Barrierefreiheitsfunktionen für Komfortfunktionen nutzen, müssen sich eine andere Lösung suchen.
Damit räumt Google ein, dass manche APIs zu gefährlich sind, um sie offen zu lassen, auch wenn dadurch einige legitime Apps beeinträchtigt werden. Das Unternehmen setzt darauf, dass es den meisten Nutzern wichtiger ist, nicht bestohlen zu werden, als dass ihr Passwort-Manager der Einfachheit halber die Barrierefreiheits-API nutzt.
Malware-Entwickler werden sich wie immer anpassen. Aber vorerst hat Google es deutlich erschwert, Handys mit aktiviertem APM zu manipulieren.
Wir berichten nicht nur über Telefonsicherheit - wir bieten sie auch
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Halten Sie Bedrohungen von Ihren mobilen Geräten fern, indem Sie noch heute Malwarebytes für iOS und Malwarebytes für Android herunterladen.
