Google ha appena lanciato una vera e propria bomba per gli sviluppatori di app con l'ultima versione del suo sistema operativo Android . L'azienda può ora impedire l'installazione delle app che tentano di utilizzare le funzioni di accessibilità del sistema.
La nuova funzionalità, disponibile nella versione 17.2 di Android, è incentrata sulla sicurezza, spiega l'azienda. Impedisce a determinati tipi di app di utilizzare il servizio di accessibilità se è attivata la Modalità Advanced (APM).
L'API di accessibilità consente agli sviluppatori di app di supportare gli utenti con disabilità che necessitano di un aiuto supplementare nell'utilizzo dei loro telefoni. Le app possono utilizzare questa API per accedere allo schermo in modi specifici, gestire gli input per conto dell'utente e utilizzare i servizi vocali, ad esempio.
Purtroppo, come accade con la maggior parte degli strumenti utili, c'è sempre qualcuno che trova il modo di abusarne e di rovinare l'esperienza a tutti gli altri. Gli sviluppatori di malware utilizzano questa API da anni per accedere al tuo conto bancario. Il servizio di accessibilità ha un potere notevole: qualsiasi app che disponga delle autorizzazioni necessarie può leggere ciò che appare sullo schermo.
Molti trojan Android non sono altro che wrapper delle API di accessibilità utilizzati a fini criminali. Rubano i codici 2FA, si spacciano per le vittime e svuotano i conti mentre queste dormono.
Due tecniche prevalgono su tutte. La prima consiste nell'uso di sovrapposizioni fasulle. L'API di accessibilità consente di inserire sovrapposizioni sullo schermo di un'altra app. Gli sviluppatori di trojan bancari e legati alle criptovalute possono sfruttarla per intercettare i tasti digitati (l'utente pensa semplicemente di accedere alla propria app bancaria, ma il malware registra tutto ciò che digita).
Il secondo è l'abuso delle autorizzazioni. Una volta che il trojan è entrato in possesso delle tue password, può autorizzare le proprie transazioni.
È aumentato il numero di framework di malware che sfruttano l'API di accessibilità. DroidLock la utilizza per sottrarre i dati personali dell'utente prima di chiedere un riscatto. Albiriox la utilizza per installarsi e consentire agli hacker di assumere il controllo remoto da qualsiasi parte del mondo.
Li abbiamo visti entrambi a dicembre, e proprio il mese scorso Stefan Dasic, Malwarebytes , ha individuato un programma malware che sfruttava un servizio di accessibilità e si spacciava per una falsa pagina di Google Security.
La soluzione estrema di Google
Google ha già cercato in passato di limitare l'uso improprio dell'API. Nel 2017 aveva avvertito gli sviluppatori che avrebbero dovuto giustificare il proprio utilizzo delle funzionalità di accessibilità, pena la rimozione dal Play Store. Gli sviluppatori si sono ribellati e Google ha fatto marcia indietro. Tuttavia, nel novembre 2021, ha iniziato a richiedere moduli di autorizzazione per l'utilizzo dell'API di accessibilità nelle app Android .
Ora l'azienda sta inasprendo ulteriormente le misure, applicando regole più rigide per le API di accessibilità. Le app non potranno più attivare liberamente i servizi di accessibilità tramite un semplice flag software. Al contrario, solo le app il cui scopo principale è l'accessibilità potranno utilizzarli.
Tra gli esempi citati da Google figurano i lettori di schermo, i dispositivi di input a interruttore, i comandi vocali e i display Braille. Con queste nuove regole, i gestori di password o le app di automazione non hanno più accesso all'API di accessibilità.
O almeno, non se l'utente ha attivato l'APM.
Lanciata nel maggio dello scorso anno, APM è la versione di Google della Modalità di blocco di Apple. Introduce controlli di sicurezza molto più rigorosi per chi la attiva, rendendo più difficile per il malware sfruttare tali vulnerabilità.
Il compromesso per questa maggiore sicurezza è una funzionalità più limitata. Ad esempio, è possibile installare solo app provenienti da fonti attendibili e il trasferimento di dati tramite USB è limitato. Anche l'accesso alle API di accessibilità è ora limitato.
Quindi, ora è possibile essere un gestore di password o uno strumento di accessibilità, ma non entrambi. Gli sviluppatori che fanno affidamento sull'accessibilità per implementare funzionalità di comodità dovranno trovare un'altra soluzione.
Google riconosce così che alcune API sono troppo pericolose per essere lasciate aperte, anche se ciò comporta qualche inconveniente per alcune app legittime. L'azienda punta sul fatto che la maggior parte degli utenti preferisce evitare di essere derubata piuttosto che rinunciare alla comodità offerta dall'uso dell'API di accessibilità da parte del proprio gestore di password.
Gli autori di malware si adatteranno, come sempre. Ma per ora, Google ha reso molto più difficile manomettere i telefoni con l'APM attivato.
Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.
