A Google acaba de lançar uma bomba para os programadores de aplicações com a versão mais recente do seu sistema operativo Android . A empresa pode agora impedir a instalação de aplicações caso estas tentem utilizar as funcionalidades de acessibilidade do sistema.
A nova funcionalidade, disponível na versão 17.2 do Android, centra-se na segurança, explica a empresa. Impede que determinados tipos de aplicações utilizem o serviço de acessibilidade se o Modo Advanced (APM) estiver ativado.
A API de acessibilidade permite que os programadores de aplicações ofereçam apoio aos utilizadores com deficiência que necessitem de ajuda adicional para utilizar os seus telemóveis. As aplicações podem utilizar esta API para aceder ao ecrã de formas específicas, controlar as entradas em nome do utilizador e utilizar serviços de voz, por exemplo.
Infelizmente, tal como acontece com a maioria das ferramentas úteis, há sempre alguém que encontra uma forma de a utilizar indevidamente e de prejudicar todos os outros. Os criadores de malware têm vindo a utilizar esta API há anos como forma de aceder à sua conta bancária. O serviço de acessibilidade tem um grande poder: qualquer aplicação com permissões para o utilizar pode ler o que está no seu ecrã.
Muitos trojans Android são pouco mais do que wrappers da API de acessibilidade com intenções criminosas. Roubam códigos de autenticação de dois fatores, fazem-se passar pelas vítimas e esvaziam as contas enquanto estas dormem.
Há duas técnicas que se destacam. A primeira são as sobreposições falsas. A API de acessibilidade permite colocar sobreposições sobre o ecrã de outra aplicação. Os criadores de trojans bancários e de criptomoedas podem usar isto para capturar as teclas que premem (pensa que está apenas a iniciar sessão na sua aplicação bancária, mas o malware está a recolher tudo o que digita).
O segundo é o abuso de permissões. Assim que o trojan obtiver as suas palavras-passe, poderá autorizar as suas próprias transações.
O número de estruturas de malware que tiram partido da API de acessibilidade tem vindo a aumentar. O DroidLock utiliza-a para roubar os seus dados pessoais antes de exigir um resgate. O Albiriox utiliza-a para se instalar e conceder controlo remoto a atacantes do outro lado do mundo.
Vimos ambos em dezembro e, ainda no mês passado, Stefan Dasic, Malwarebytes , detectou um programa de malware que abusava do serviço de acessibilidade e se fazia passar por uma página falsa do Google Security.
A opção radical do Google
O Google já tentou anteriormente coibir o uso indevido da API. Em 2017, alertou os programadores para que justificassem a utilização das funcionalidades de acessibilidade, sob pena de serem removidos da Play Store. Os programadores revoltaram-se e o Google cedeu. Mas depois, em novembro de 2021, começou a exigir formulários de autorização para a utilização da API de acessibilidade em aplicações Android .
Agora, a empresa está a tornar-se ainda mais rigorosa, aplicando regras mais estritas às APIs de acessibilidade. As aplicações já não podem ativar livremente os serviços de acessibilidade através de um simples indicador de software. Em vez disso, apenas as aplicações cujo objetivo principal seja a acessibilidade poderão utilizá-los.
Os exemplos do Google incluem leitores de ecrã, dispositivos de comando por botões, controlos de voz e visores Braille. Com estas novas regras, os gestores de palavras-passe ou as aplicações de automação já não têm acesso à API de acessibilidade.
Pelo menos, não se o utilizador tiver o APM ativado.
Lançado em maio do ano passado, o APM é a versão do Google do Modo de Bloqueio da Apple. Introduz controlos de segurança muito mais rigorosos para quem o ativar, tornando mais difícil que o malware os explore.
A contrapartida dessa segurança adicional é uma funcionalidade mais limitada. Por exemplo, só é possível instalar aplicações provenientes de fontes fiáveis e a transferência de dados via USB está restringida. O acesso à API de acessibilidade também está agora restringido.
Portanto, agora pode ser um gestor de palavras-passe ou uma ferramenta de acessibilidade, mas não ambos. Os programadores que dependem da acessibilidade para funcionalidades de conveniência terão de encontrar outra solução.
O Google reconhece que algumas APIs são demasiado perigosas para permanecerem abertas, mesmo que isso prejudique algumas aplicações legítimas. A empresa aposta que a maioria dos utilizadores se preocupa mais em não ser roubada do que em que o seu gestor de palavras-passe utilize a API de acessibilidade por uma questão de comodidade.
Os criadores de malware vão adaptar-se, como sempre. Mas, por enquanto, a Google tornou os telemóveis com o APM ativado muito mais difíceis de manipular.
Não nos limitamos a informar sobre a segurança dos telemóveis - fornecemo-la
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos móveis descarregando hoje mesmo Malwarebytes para iOS e Malwarebytes para Android.
