Google только что преподнесла разработчикам приложений настоящий сюрприз, выпустив новую версию Android операционной системы Android . Теперь компания может блокировать установку приложений, если они пытаются использовать системные функции доступности.
Как поясняет компания, новая функция, реализованная в версии Android 17.2, направлена на обеспечение безопасности. Она блокирует доступ определённых типов приложений к службе доступности, если включен режим Advanced (APM).
API доступности позволяет разработчикам приложений обеспечивать поддержку пользователям с ограниченными возможностями, которым требуется дополнительная помощь при использовании смартфонов. Приложения могут использовать этот API, например, для доступа к экрану с помощью специальных методов, управления вводом данных от имени пользователя и использования голосовых сервисов.
К сожалению, как и в случае с большинством полезных инструментов, всегда найдутся те, кто найдёт способ злоупотребить им и испортить жизнь всем остальным. Разработчики вредоносных программ уже много лет используют этот API для получения доступа к вашим банковским счетам. Служба доступности обладает широкими возможностями: любое приложение, имеющее разрешение на её использование, может считывать информацию с вашего экрана.
Многие Android трояны Android представляют собой не что иное, как оболочки API доступности, созданные с преступными целями. Они похищают коды двухфакторной аутентификации, выдают себя за жертв и опустошают счета, пока те спят.
Здесь преобладают два приема. Первый — это поддельные накладки. API доступности позволяет размещать накладки поверх экрана другого приложения. Разработчики банковских и криптовалютных троянов могут использовать это для перехвата нажатий клавиш (вы думаете, что просто входите в банковское приложение, но вредоносное ПО собирает все, что вы вводите).
Второй причиной является злоупотребление правами доступа. Как только троян получит ваши пароли, он сможет авторизовать свои собственные транзакции.
Число платформ для создания вредоносного ПО, использующих API доступности, увеличилось. DroidLock использует его для кражи ваших личных данных, а затем выдвигает требование о выкупе. Albiriox использует его для самоустановки и предоставления удаленного доступа злоумышленникам, находящимся на другом конце света.
Мы наблюдали оба случая в декабре, а буквально в прошлом месяце Malwarebytes Стефан Дасич обнаружил вредоносную программу, злоупотребляющую службой доступности и маскирующуюся под поддельную страницу Google Security.
«Ядерный вариант» от Google
Google уже пытался ранее ограничить неправомерное использование API. В 2017 году компания предупредила разработчиков, что они должны обосновать использование функций доступности, иначе их приложения могут быть удалены из Play Store. Разработчики подняли бунт, и Google пошел на уступки. Однако в ноябре 2021 года компания вновь начала требовать формы разрешения на использование API доступности для приложений, Android .
Теперь компания ужесточает требования, вводя более строгие правила в отношении API доступности. Приложения больше не смогут свободно включать службы доступности с помощью простого программного флага. Вместо этого использовать их смогут только те приложения, основной целью которых является обеспечение доступности.
В качестве примеров Google приводит программы чтения с экрана, устройства ввода с помощью переключателей, голосовое управление и брайлевские дисплеи. В соответствии с этими новыми правилами программы для управления паролями и приложения для автоматизации больше не получают доступ к API доступности.
По крайней мере, если у пользователя включена функция APM.
Запущенная в мае прошлого года функция APM представляет собой версию Google аналога режима «Lockdown Mode» от Apple. Она обеспечивает гораздо более строгий контроль безопасности для пользователей, включивших эту функцию, что затрудняет злоумышленникам возможность воспользоваться их уязвимостями.
Ценой этой дополнительной безопасности становится более ограниченная функциональность. Например, устанавливаются только приложения из проверенных источников, а передача данных по USB ограничена. Доступ к API доступности теперь также ограничен.
Итак, теперь вы можете быть либо менеджером паролей, либо инструментом для обеспечения доступности, но не тем и другим одновременно. Разработчикам, которые используют функции доступности для реализации удобных возможностей, придётся найти другой способ.
Таким образом Google признает, что некоторые API слишком опасны, чтобы оставлять их открытыми, даже если от этого пострадают некоторые легальные приложения. Компания делает ставку на то, что большинству пользователей важнее не стать жертвой мошенников, чем возможность использовать API доступности в своем менеджере паролей для удобства.
Создатели вредоносных программ, как всегда, найдут способ адаптироваться. Но пока что Google значительно усложнил взлом телефонов с включенной функцией APM.
Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.
