Mellékleteink: HUP | Gamekapocs
Keres
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. Nettó 20 óra fejlesztői tartalom, HWSW mobile!, november 29-30!

Sok kisegítő szolgáltatást használó app búcsúzik a Play Store-tól

Hlács Ferenc, 2017. november 14. 13:06

Nincs maradása az Accessibility Service-eket, azaz kisegítő szolgáltatásokat nem szigorúan rendeltetésük szerint használó appoknak a Play Store-ban, a Google biztonsági okok miatt több népszerű app szűrét is kiteheti alkalmazásboltjából. A lépés a fejlesztőknek és felhasználóknak is fájhat.

hirdetés

Egy sor népszerű alkalmazás kényszerülhet távozásra a Play Store-ból, miután a Google bejelentette, rövidebbre fogja a gyeplőt az Accessibility Service-ek használata kapcsán. Méghozzá sokkal rövidebbre, a fenti ernyő alatt összegyűjtött szolgáltatásokat ugyanis hamarosan csak és kizárólag szűken értelmezett eredeti céljukra lehet majd használni, azaz hogy a fogyatékossággal élők számára biztosítsanak gördülékenyebb felhasználói élményt.

A lépésről a Google emailben értesítette a fejlesztőket, amelyet először az XDA Developersnek sikerült elcsípnie. Eszerint azok az appok, amelyek nem illeszkednek a keresőóriás által a területen kijelölt iránymutatáshoz, nem sokára búcsút inthetnek a Play Store-nak. A szigorításban érintett, röviden a11y-ként is ismert kisegítő szolgáltatások vagy Accessibility Service-ek, akárcsak a más platformokon megismert hasonló szolgáltatások, a fogyatékossággal élők, például gyengénlátók számára hivatottak használhatóvá tenni az egyes alkalmazásokat - ugyanakkor az a11y-k kihasználására a fejlesztők már jó néhány éve újabb és újabb kreatív módszereket találnak, amelyekre számos népszerű app építkezik.

Ezek a szolgáltatások különböző eseményekre, eventekre figyelnek, amelyek észlelésekor valamilyen előre definiált műveletet hajtanak végre. Erre a megoldásra épít számos, főként a haladó felhasználók, poweruserek körében népszerű androidos app, mint az XDA által is említett Tasker, amely egyebek mellett az alkalmazások megnyitását figyeli, majd ehhez köthet különböző, a felhasználók által megadott funkciókat, de az ugyancsak kedvelt Greenify is, amely a kijelző lekapcsolásakor kényszeríti bezárásra a futó appokat. De ugyancsak az Accessibility Service-ekre épít az egyik legnépszerűbb jelszókezelő, a LogMeIn tulajdonában lévő LastPass is, amely a megnyíló oldalakat a bejelentkezési adatok megadására szolgáló mezők után kutatva nézi végig. Az XDA egészen odáig megy - és valószínűleg nem jár messze az igazságtól - hogy az a11y-ket használó alkalmazások túlnyomó többsége nem szigorúan véve a fogyatékkal élők segítésére, hanem valamilyen egyéb céllal használja a funkciót. Ennek megfelelően a tiltás komoly pusztítást végez majd az alkalmazásboltban.

googplayill

Igaz, a Google szigora mind a fejlesztőket, mind a miatta búcsúzó appok felhasználóit kellemetlenül érinti, a lépés valahol mégis érthető a vállalat részéről. A tárgyalt szolgáltatások ugyanis kevésbé nemes célokra is felhasználhatók, azok keyloggerek vagy phishing támadások létrehozására is bevethetők. Eddig a Google ezek ellen leginkább úgy küzdött, hogy az a11y-ket használó appoknál kötelezte a fejlesztőket, hogy egy, a telepítéskor megjelenített nyilatkozatban tájékoztassák a felhasználót, hogy az alkalmazás például potenciálisan begyűjtheti a begépelt jelszavakat.

Egyes esetekben ugyanakkor a támadóknak még a kötelezően bevezetett figyelmeztetéseket is sikerült megkerülni, mint például a szeptemberben demózott Toast Message Overlay Attack esetében, mikor az Androidban megismert Toast Message üzeneteket, azaz a kis, szürke alapon megjelenő, jellemzően állapotjelző értesítéseket használták fel, az a11y-k figyelmeztetéseinek elrejtésére. A Google persze aktívan küzd a hasonló támadások ellen, most azonban úgy tűnik, a cég egyszerűbbnek látja, ha egyszerűen kihúzza a szőnyeget a potenciálisan kártékony appok alól. Az új intézkedések értelmében tehát az Accessibility Service-eket nem a cég irányelveinek megfelelően használó appokból a fejlesztőknek 30 napjuk van eltávolítani a szolgáltatásokat, vagy a Google törli az appot alkalmazásboltjából - de az együttműködést megtagadóknak akár Play Store fiókját is törölheti a cég.

Szerencsére a szigorítás nem minden esetben jelenti rögtön az app halálát, a LastPass például az a11y-k helyett az Autofill keretrendszerre támaszkodhat - igaz azt csak az Android 8.0 és újabb verziók támogatják, amelyek egyelőre nem mondhatók túlságosan elterjedtnek. Ahogy az XDA is rávilágít, a megnyitott appok listáját is lehetőség van alternatív úton lekérdezni, a UsageStats API-val - a virtuális billentyűleütések figyelésére építő alkalmazásoktól azonban már biztosan búcsút kell majd venni.

A Google döntése tehát sokakat érzékenyen érint majd, ugyanakkor a platform biztonsága szempontjából érthető és fontos lépésről van szó, különösen figyelembe véve, hogy a területen az Android jócskán hagy kívánnivalót maga után, a Play Store védelmén átsurranó kártevőktől egészen a rendszeres biztonsági frissítések gyászos helyzetéig.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
React Native, Kotlin, Flutter, Flux, WebAssembly, Java, Android... + app security. November 29-30!