Google acaba de lanzar una bomba para los desarrolladores de aplicaciones con la última versión de su sistema operativo Android . La empresa ahora puede impedir que se instalen aplicaciones si estas intentan utilizar las funciones de accesibilidad del sistema.
La nueva función, disponible en la versión 17.2 de Android, está centrada en la seguridad, explica la empresa. Impide que determinados tipos de aplicaciones utilicen el servicio de accesibilidad si el Modo Advanced (APM) está activado.
La API de accesibilidad permite a los desarrolladores de aplicaciones ayudar a los usuarios con discapacidad que necesitan asistencia adicional para utilizar sus teléfonos. Las aplicaciones pueden utilizar esta API para acceder a la pantalla de formas específicas, controlar la introducción de datos por parte del usuario y utilizar servicios de voz, por ejemplo.
Por desgracia, como ocurre con la mayoría de las herramientas útiles, siempre hay alguien que encuentra la manera de hacer un mal uso de ellas y arruinárselas a todos los demás. Los desarrolladores de malware llevan años utilizando esta API para acceder a tu cuenta bancaria. El servicio de accesibilidad tiene un gran poder: cualquier aplicación con permisos para utilizarlo puede leer lo que aparece en tu pantalla.
Muchos troyanos Android no son más que envoltorios de la API de accesibilidad con fines delictivos. Roban códigos de autenticación de dos factores, se hacen pasar por las víctimas y vacían sus cuentas mientras estas duermen.
Hay dos técnicas que predominan. La primera son las superposiciones falsas. La API de accesibilidad permite colocar superposiciones sobre la pantalla de otra aplicación. Los desarrolladores de troyanos bancarios y de criptomonedas pueden aprovechar esto para capturar las pulsaciones del teclado (tú crees que simplemente estás iniciando sesión en tu aplicación bancaria, pero el malware está recopilando todo lo que escribes).
El segundo es el abuso de permisos. Una vez que el troyano tiene tus contraseñas, puede autorizar sus propias transacciones.
Ha aumentado el número de plataformas de malware que se aprovechan de la API de accesibilidad. DroidLock la utiliza para robar tus datos personales antes de exigir un rescate. Albiriox la utiliza para instalarse y proporcionar control remoto a los atacantes desde el otro lado del mundo.
Vimos ambos casos en diciembre, y el mes pasado Malwarebytes Stefan Dasic detectó un programa malicioso que se aprovechaba de los servicios de accesibilidad y se hacía pasar por una página falsa de Google Security.
La opción nuclear de Google
Google ya había intentado anteriormente frenar el uso indebido de la API. En 2017, advirtió a los desarrolladores de que debían justificar su uso de las funciones de accesibilidad o se arriesgaban a que sus aplicaciones fueran retiradas de Play Store. Los desarrolladores se rebelaron y Google cedió. Pero luego, en noviembre de 2021, comenzó a exigir formularios de autorización para el uso de la API de accesibilidad en las aplicaciones Android .
Ahora la empresa está endureciendo aún más las medidas y aplicando normas más estrictas en relación con la API de accesibilidad. Las aplicaciones ya no podrán activar libremente los servicios de accesibilidad mediante un simple indicador de software. En su lugar, solo se permitirá su uso a aquellas aplicaciones cuyo objetivo principal sea la accesibilidad.
Entre los ejemplos que ofrece Google se incluyen los lectores de pantalla, los dispositivos de entrada por interruptor, los controles por voz y las pantallas Braille. Con estas nuevas normas, los gestores de contraseñas o las aplicaciones de automatización ya no tienen acceso a la API de accesibilidad.
Al menos, no si el usuario tiene activado el APM.
Lanzado en mayo del año pasado, APM es la versión de Google del «Modo de bloqueo» de Apple. Introduce controles de seguridad mucho más estrictos para quienes lo activan, lo que dificulta que el malware pueda aprovecharse de ellos.
A cambio de esa mayor seguridad, la funcionalidad resulta más limitada. Por ejemplo, solo se pueden instalar aplicaciones procedentes de fuentes de confianza y la transferencia de datos por USB está restringida. El acceso a la API de accesibilidad también está restringido ahora.
Así pues, ahora puedes ser un gestor de contraseñas o una herramienta de accesibilidad, pero no ambas cosas. Los desarrolladores que utilicen la accesibilidad para funciones de comodidad tendrán que buscar otra solución.
Con esto, Google reconoce que algunas API son demasiado peligrosas como para dejarlas abiertas, aunque ello afecte a algunas aplicaciones legítimas. La empresa apuesta por que a la mayoría de los usuarios les preocupa más que no les roben que el hecho de que su gestor de contraseñas utilice la API de accesibilidad por comodidad.
Los creadores de malware se adaptarán, como siempre. Pero, por ahora, Google acaba de hacer que sea mucho más difícil manipular los teléfonos que tienen activada la función APM.
No nos limitamos a informar sobre la seguridad de los teléfonos: la proporcionamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos móviles descargando Malwarebytes para iOS y Malwarebytes para Android hoy mismo.
