O Google acaba de lançar uma bomba para os desenvolvedores de aplicativos com a versão mais recente do seu sistema operacional Android . Agora, a empresa pode impedir a instalação de aplicativos caso eles tentem usar os recursos de acessibilidade do sistema.
A nova funcionalidade, disponível na versão 17.2 do Android, tem como foco a segurança, explica a empresa. Ela impede que certos tipos de aplicativos utilizem o serviço de acessibilidade caso o Modo Advanced (APM) esteja ativado.
A API de acessibilidade permite que os desenvolvedores de aplicativos ofereçam suporte a usuários com deficiência que precisam de ajuda adicional para usar seus telefones. Os aplicativos podem usar essa API para acessar a tela de maneiras específicas, controlar as entradas do usuário e utilizar serviços de voz, por exemplo.
Infelizmente, como acontece com a maioria das ferramentas úteis, sempre há quem encontre uma maneira de usá-la indevidamente e prejudicar a todos os demais. Os desenvolvedores de malware vêm usando essa API há anos como um meio de acessar sua conta bancária. O serviço de acessibilidade tem um grande poder: qualquer aplicativo com permissão para usá-lo pode ler o que está na sua tela.
Muitos trojans Android são pouco mais do que wrappers da API de acessibilidade criados com intenções criminosas. Eles roubam códigos de autenticação de duas etapas, se fazem passar pelas vítimas e esvaziam as contas enquanto as vítimas dormem.
Há duas táticas que se destacam. A primeira são as sobreposições falsas. A API de acessibilidade permite sobrepor janelas sobre a tela de outro aplicativo. Os desenvolvedores de trojans bancários e de criptomoedas podem usar isso para capturar suas teclas digitadas (você pensa que está apenas fazendo login no seu aplicativo bancário, mas o malware está coletando tudo o que você digita).
O segundo é o abuso de permissões. Assim que o cavalo de Tróia obtiver suas senhas, ele poderá autorizar suas próprias transações.
O número de estruturas de malware que se aproveitam da API de acessibilidade tem aumentado. O DroidLock a utiliza para roubar seus dados pessoais antes de exigir um resgate. O Albiriox a utiliza para se instalar e conceder controle remoto a invasores do outro lado do mundo.
Vimos ambos em dezembro, e ainda no mês passado, Malwarebytes , Stefan Dasic, detectou um programa de malware que se aproveitava de um serviço de acessibilidade e se fazia passar por uma página falsa do Google Security.
A opção radical do Google
O Google já tentou, anteriormente, coibir o uso indevido da API. Em 2017, alertou os desenvolvedores para que justificassem o uso dos recursos de acessibilidade, sob pena de terem seus aplicativos removidos da Play Store. Os desenvolvedores se revoltaram, e o Google recuou. Mas então, em novembro de 2021, passou a exigir formulários de autorização para o uso da API de acessibilidade em aplicativos Android .
Agora, a empresa está se tornando ainda mais rigorosa, aplicando regras mais rígidas para a API de acessibilidade. Os aplicativos não podem mais ativar livremente os serviços de acessibilidade usando um simples sinalizador de software. Em vez disso, somente os aplicativos cujo objetivo principal seja a acessibilidade terão permissão para usá-la.
Os exemplos do Google incluem leitores de tela, dispositivos de entrada por botões, controles de voz e visores Braille. Com essas novas regras, gerenciadores de senhas ou aplicativos de automação não têm mais acesso à API de acessibilidade.
Pelo menos, não se o usuário tiver o APM ativado.
Lançado em maio do ano passado, o APM é a versão do Google do Modo de Bloqueio da Apple. Ele introduz controles de segurança muito mais rigorosos para quem o ativar, tornando mais difícil para o malware explorar essas vulnerabilidades.
A contrapartida dessa segurança adicional é uma funcionalidade mais limitada. Por exemplo, só será possível instalar aplicativos de fontes confiáveis, e a transferência de dados via USB está restrita. O acesso à API de acessibilidade também está restrito agora.
Portanto, agora você pode ser um gerenciador de senhas ou uma ferramenta de acessibilidade, mas não ambos. Os desenvolvedores que dependem da acessibilidade para oferecer recursos de conveniência precisarão encontrar outra solução.
Isso mostra que o Google reconhece que algumas APIs são perigosas demais para permanecerem abertas, mesmo que alguns aplicativos legítimos sejam prejudicados. A empresa aposta que a maioria dos usuários se preocupa mais em não ser roubada do que em ter seu gerenciador de senhas usando a API de acessibilidade por uma questão de conveniência.
Os criadores de malware vão se adaptar, como sempre. Mas, por enquanto, o Google tornou muito mais difícil interferir nos celulares com o APM ativado.
Não nos limitamos a informar sobre segurança telefônica - nós a fornecemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos móveis fazendo o download Malwarebytes para iOS e Malwarebytes para Android hoje mesmo.
