Zautomatyzowane zadania, personalizowane launchery czy nakładki imitujące interfejs innych systemów – to wszystko sprawia, iż Android jest tak elastyczny. Jednak sercem wielu tych modyfikacji jest API o nazwie „Ułatwienia dostępu” (Accessibility Services), które od lat stanowi obosieczny miecz. Bo z jednej strony ma pomagać osobom z niepełnosprawnościami, ale z drugiej są furtką dla złośliwego oprogramowania.
Google w najnowszej wersji Android 17 Beta 2 postanowił powiedzieć „dość”. Wprowadzono restrykcję, która dla wielu użytkowników będzie oznaczała trudny wybór: albo maksymalne bezpieczeństwo danych, albo ulubione aplikacje do personalizacji. jeżeli korzystacie z trybu zaawansowanej ochrony, przygotujcie się na to, iż Wasz telefon stanie się znacznie mniej „plastyczny”.
Android 17 Beta 2 przynosi koniec wolności
Wprowadzony pierwotnie w Androidzie 16 Advanced Protection Mode (Tryb Zaawansowanej Ochrony) to rozwiązanie dla osób szczególnie dbających o prywatność lub narażonych na ataki, jednak w najnowszej becie Androida 17 Google znacząco zaostrzył jego działanie. Od teraz, jeżeli aktywujesz ten tryb, system zacznie rygorystycznie weryfikować aplikacje proszące o dostęp do API Ułatwień dostępu.
Mechanizm jest prosty i bezlitosny: jeżeli aplikacja nie jest oficjalnie sklasyfikowana jako narzędzie wspomagające (np. czytnik ekranu dla niewidomych), system po prostu zablokuje jej możliwość korzystania z tych uprawnień. Co więcej, jeżeli dana aplikacja miała już przyznane uprawnienia przed włączeniem trybu ochrony, Android 17 Beta 2 automatycznie je cofnie. Nie ma tu mowy o przypadku – Google świadomie łata lukę, która przez lata pozwalała aplikacjom na podglądanie tego, co dzieje się na ekranie, śledzenie interakcji użytkownika, a choćby automatyczne wykonywanie gestów.
W praktyce przetestowano to na popularnej aplikacji dynamicSpot, która naśladuje funkcjonalność Dynamic Island z iPhone’ów. Program ten potrzebuje ułatwień dostępu, by móc wyświetlać pływające okienka nad innymi procesami. Na stabilnym Androidzie 16 wszystko działało bez problemu, jednak na Androidzie 17 Beta 2 z włączoną Zaawansowaną Ochroną, nadanie tych uprawnień stało się niemożliwe. Jedynym wyjściem, by aplikacja znów zadziałała, jest całkowite wyłączenie systemowych zabezpieczeń.
Wybór należy do Ciebie — bezpieczny schron czy funkcjonalny plac zabaw?
Decyzja Google budzi mieszane uczucia, ale z perspektywy bezpieczeństwa jest jak najbardziej logiczna. API Ułatwień dostępu to potężne narzędzie – aplikacja, która je kontroluje, może teoretycznie odczytywać wpisywane hasła, kody do bankowości czy treść prywatnych wiadomości. Dla przeciętnego użytkownika, który instaluje dziesiątki narzędzi do optymalizacji czy zmiany wyglądu ikon, jest to ogromne ryzyko, o którym rzadko się pamięta.
Google daje nam teraz jasny komunikat:
- Chcesz być chroniony przed złośliwym kodem i atakami? Włącz Advanced Protection Mode, ale zapomnij o części zaawansowanych narzędzi do automatyzacji czy dziwnych launcherach.
- Wolisz pełną swobodę i personalizację? Nie włączaj tego trybu, ale miej świadomość, iż Twoje dane mogą być łatwiejszym celem.
Dobrą wiadomością jest to, iż prawdziwe narzędzia asystujące, jak TalkBack czy inne systemy sterowania głosem, pozostaną nienaruszone. Gigant opublikował choćby listę wytycznych, dzięki którym deweloperzy mogą poprawnie deklarować swoje usługi, jednak dla wielu twórców narzędzi typu „customization” może to być bariera nie do przejścia.
Dla entuzjastów modyfikacji systemu może to być irytujące, ale w świecie coraz bardziej wyrafinowanych cyberataków, uszczelnienie API Ułatwień dostępu wydaje się koniecznością. Fakt, iż restrykcje te pojawiły się już w fazie beta, nie pozostawia wątpliwości – trafią one do stabilnego wydania systemu, które zobaczymy w najbliższych miesiącach.
Źródło: Android Authority
