اندروید ۱۳ دسترسی بدافزارها به APIهای Accessibility را غیرممکن می‌کند

اندروید برای مدت زیادی همیشه با مشکل بدافزارها مواجه بوده است و یکی از روش‌های مهم هکرها، حمله ازطریق سرویس‌های دسترسی‌پذیری گوشی‌های هوشمند است. API‌های دسترسی‌پذیری ابزارهای قدرتمندی هستند که برای توسعه‌دهندگان در نظر گرفته شده‌‌اند تا با استفاده از آن‌ها به کاربران معلول کمک کنند. این ابزارها امکاناتی مثل خواندن محتوای روی صفحه و واردکردن ورودی‌ها را دردسترس این دسته از کاربران قرار می‌دهد.

درمقابل، مجرمان سایبری با سوءاستفاده از این ابزارها، بدافزارهایی مثل FluBot را توسعه داده‌اند که با فریب‌دادن کاربران از آن‌ها درخواست می‌کند امکان استفاده از API دسترسی‌پذیری را فعال کنند. بااین‌حال، این مسئله در اندروید ۱۳ تغییر خواهد کرد؛ زیرا گوگل قصد دارد از اعطای مجوز فعال‌کردن APIهای دسترسی‌پذیری به اپلیکیشن‌هایی جلوگیری کند که خارج از فروشگاه پلی نصب شده‌اند.

XDA به‌نقل از Esper می‌نویسد گوگل امکان استفاده از APIهای دسترسی‌پذیری را به برنامه‌های جانبی‌ای نخواهد داد که خارج از فروشگاه پلی‌استور روی دستگاه‌های اندرویدی نصب شده‌ باشند. این APIها برای کاربران معلول جسمی بسیار ضروری است؛ اما درعین‌حال، امکان سوءاستفاده از آن وجود دارد. به‌همین‌دلیل، کاربر باید امکان دسترسی به APIهای دسترسی‌پذیری را برای هر اپلیکیشن به‌طور دستی فعال کند.

در این شرایط، اپلیکیشن‌های مخرب می‌توانند با فریب‌دادن کاربر به این ابزار قدرتمند دسترسی پیدا کنند. این موضوع باعث شده است گوگل امکان فعال‌کردن دسترسی به این APIها را برای برنامه‌هایی غیرفعال کند که ازطریق مرورگر وب نصب شده‌اند.

اکنون توسعه‌دهندگانی که قصد دارند از خدمات دسترسی‌پذیری اندروید برای مواردی غیر از کمک به کاربران معلول استفاده کنند، باید تأییدیه‌ی آن را از گوگل دریافت کنند. بااین‌حال، به‌نظر می‌رسد باردیگر قرار است همه‌چیز در اندروید ۱۳ تغییر کند. در این سیستم‌عامل هر اپلیکیشنی که خارج از فروشگاه گوگل‌پلی روی دستگاه‌ نصب شود، نمی‌تواند از APIهای دسترسی‌پذیری استفاده کند. اگر بخواهید دسترسی به این ابزار را برای چنین اپلیکیشن‌هایی فعال کنید، گوشی هوشمندتان پیغامی با عنوان «برای امنیت شما این تنظیم درحال‌حاضر دردسترس نیست» مواجه خواهید شد.

اگرچه ممکن است این تغییر در ابتدا برای فروشگاه‌های اپلیکیشن شخص‌ ثالث نگران‌کننده باشد، گوگل در گفت‌وگو با Esper تأیید کرد این اقدام روی اپلیکیشن‌هایی تأثیر نخواهد گذاشت که از قبل نصب شده‌اند. به‌طور خلاصه، با فعال‌کردن سرویس دسترسی‌پذیری برای اپلیکیشنی جانبی که از API نصب‌کننده‌ی مبتنی‌بر جلسه‌ (Session-based Package Installation API) روی دستگاه نصب شده است، مشکلی نخواهید داشت.

این روش نصب معمولاً در فروشگاه‌های اپلیکیشن شخص‌ ثالث اندروید استفاده می‌شود. همچنین، اپلیکیشن‌هایی که از APIهای دیگر برای نصب بهره می‌برند، امکان دسترسی به ابزارهای اشاره‌شده را نخواهند داشت. اجرای این روش برای توسعه‌دهندگان آسان‌تر است؛ زیرا می‌توان نصب اپلیکیشن‌ها را به نصب‌کننده‌ی داخلی سیستم واگذار کرد.