Google heeft zojuist een bom laten vallen onder app-ontwikkelaars met de nieuwste versie van zijn Android besturingssysteem Android . Het bedrijf kan nu voorkomen dat apps worden geïnstalleerd als ze gebruik willen maken van de toegankelijkheidsfuncties van het systeem.
De nieuwe functie, die beschikbaar is in Android 17.2, is volledig gericht op beveiliging, zo legt het bedrijf uit. Deze functie voorkomt dat bepaalde soorten apps gebruikmaken van de toegankelijkheidsdienst als de Advanced (APM) is ingeschakeld.
Met de toegankelijkheids-API kunnen app-ontwikkelaars ondersteuning bieden aan gebruikers met een beperking die extra hulp nodig hebben bij het gebruik van hun telefoon. Apps kunnen deze API bijvoorbeeld gebruiken om op unieke manieren toegang te krijgen tot het scherm, de invoer voor de gebruiker te regelen en spraakdiensten te gebruiken.
Helaas is het, zoals met de meeste handige hulpmiddelen, zo dat er altijd wel iemand is die er misbruik van maakt en het voor iedereen verpest. Malwareontwikkelaars maken al jaren gebruik van deze API om toegang te krijgen tot je bankrekening. De toegankelijkheidsdienst heeft veel macht: elke app die toestemming heeft om deze te gebruiken, kan lezen wat er op je scherm staat.
Veel Android zijn niet veel meer dan wrappers voor de toegankelijkheids-API met criminele bedoelingen. Ze stelen 2FA-codes, doen zich voor als slachtoffers en halen geld van rekeningen terwijl de slachtoffers slapen.
Er zijn twee veelgebruikte trucs. De eerste is het gebruik van nep-overlays. Met de toegankelijkheids-API kun je overlays over het scherm van een andere app heen plaatsen. Ontwikkelaars van bank- en cryptovaluta-trojanen kunnen dit gebruiken om je toetsaanslagen te registreren (je denkt dat je gewoon inlogt op je bankapp, maar de malware registreert alles wat je typt).
Het tweede punt is misbruik van toegangsrechten. Zodra de trojan je wachtwoorden in handen heeft, kan hij zelf transacties uitvoeren.
Het aantal malware-frameworks dat misbruik maakt van de toegankelijkheids-API is toegenomen. DroidLock gebruikt deze API om je persoonlijke gegevens te stelen en vervolgens losgeld te eisen. Albiriox gebruikt deze API om zichzelf te installeren en aanvallers aan de andere kant van de wereld de controle op afstand te geven.
We hebben beide gevallen in december gezien, en vorige maand nog ontdekte Stefan Dasic, Malwarebytes , een malwareprogramma dat misbruik maakte van de toegankelijkheidsdienst en zich voordeed als een valse Google-beveiligingspagina.
De ultieme maatregel van Google
Google heeft al eerder geprobeerd misbruik van de API tegen te gaan. In 2017 waarschuwde het ontwikkelaars dat ze hun gebruik van toegankelijkheidsfuncties moesten rechtvaardigen, op straffe van verwijdering uit de Play Store. De ontwikkelaars kwamen in opstand en Google zwichtte. Maar in november 2021 begon het toestemmingsformulieren te eisen voor het gebruik van de toegankelijkheids-API voor apps Android .
Het bedrijf voert de regels nu nog verder aan en hanteert strengere regels voor de toegankelijkheids-API. Apps kunnen toegankelijkheidsdiensten niet langer vrijelijk inschakelen via een eenvoudige software-instelling. In plaats daarvan mogen alleen apps waarvan toegankelijkheid het hoofddoel is, hiervan gebruikmaken.
Google noemt onder meer schermlezers, schakelaars, spraakbesturing en brailleleesregels als voorbeelden. Door deze nieuwe regels hebben wachtwoordbeheerders of automatiseringsapps geen toegang meer tot de toegankelijkheids-API.
Tenminste, niet als de gebruiker APM heeft ingeschakeld.
APM, dat in mei vorig jaar werd gelanceerd, is de Google-variant van de Lockdown-modus van Apple. Het biedt aanzienlijk strengere beveiligingsmaatregelen voor gebruikers die deze functie inschakelen, waardoor het voor malware moeilijker wordt om misbruik van hen te maken.
De keerzijde van die extra beveiliging is dat de functionaliteit beperkter is. Zo kunnen bijvoorbeeld alleen apps van vertrouwde bronnen worden geïnstalleerd en is gegevensoverdracht via USB beperkt. Ook de toegang tot de Accessibility API is nu beperkt.
Je kunt dus kiezen of je een wachtwoordbeheerder of een hulpmiddel voor toegankelijkheid wilt zijn, maar niet beide. Ontwikkelaars die toegankelijkheidsfuncties gebruiken voor gebruiksgemak, zullen een andere oplossing moeten vinden.
Hiermee geeft Google toe dat sommige API’s te gevaarlijk zijn om open te laten, ook al gaat dit ten koste van sommige legitieme apps. Het bedrijf gaat ervan uit dat de meeste gebruikers liever niet bestolen worden dan dat hun wachtwoordbeheerder voor het gemak gebruikmaakt van de toegankelijkheids-API.
Malware-ontwikkelaars zullen zich, zoals altijd, aanpassen. Maar voorlopig heeft Google het een stuk moeilijker gemaakt om telefoons met ingeschakelde APM te manipuleren.
We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.
