Google está probando una nueva función de seguridad como parte del Modo protegido avanzado de Android (AAPM) que evita que ciertos tipos de aplicaciones utilicen API de servicios de accesibilidad.
Este cambio está incluido en Android 17 Beta 2 y Android Authority lo informó por primera vez la semana pasada.
AAPM fue introducido por Google en Android 16 lanzado el año pasado. Una vez habilitado, su dispositivo entrará en un estado de seguridad mejorado para protegerlo contra ataques cibernéticos avanzados. Al igual que el modo de bloqueo de Apple, la función de inclusión voluntaria sacrifica la funcionalidad y la facilidad de uso en favor de la seguridad para minimizar la superficie de ataque.
Algunas de las configuraciones principales incluyen el bloqueo de instalaciones de aplicaciones de fuentes desconocidas, la restricción de señales de datos USB y la solicitud de análisis de Google Play Protect.
«Los desarrolladores pueden integrar esta función utilizando la API AdvancedProtectionManager para detectar el estado del modo, lo que permite que las aplicaciones adopten automáticamente una postura de seguridad mejorada o restrinjan funciones de alto riesgo cuando el usuario opta por participar», dijo Google en un documento que describe las funciones de Android 17.
Las últimas restricciones agregadas a la configuración de seguridad de One-Tap tienen como objetivo evitar que las aplicaciones que no están clasificadas como herramientas de accesibilidad aprovechen la API de servicios de accesibilidad del sistema operativo. Las herramientas de accesibilidad validadas identificadas por el indicador isAccessibilityTool=»true» están excluidas de esta regla.
Según Google, sólo los lectores de pantalla, los sistemas de entrada basados en interruptores, las herramientas de entrada basadas en voz y los programas de acceso basados en braille se designan como herramientas de accesibilidad. El software antivirus, las herramientas de automatización, los asistentes, las aplicaciones de monitoreo, los limpiadores, los administradores de contraseñas y los lanzadores no entran en esta categoría.
Aunque AccessibilityService tiene casos de uso legítimos, como ayudar a usuarios con discapacidades a usar dispositivos y aplicaciones Android, esta API ha sido ampliamente explotada por partes malintencionadas en los últimos años para robar datos confidenciales de dispositivos Android comprometidos.
Con los últimos cambios, cuando AAPM está activo, los permisos se revocan automáticamente para las aplicaciones no accesibles que ya tienen permisos. Los usuarios tampoco podrán otorgar permisos a su aplicación para acceder a la API a menos que la configuración esté desactivada.
Android 17 también viene con un nuevo selector de contactos que permite a los desarrolladores de aplicaciones especificar solo los campos a los que desean acceder desde la lista de contactos de un usuario, como el número de teléfono o la dirección de correo electrónico, o permitir a los usuarios seleccionar contactos específicos en aplicaciones de terceros.
«Esto brinda a las aplicaciones acceso de lectura solo a datos seleccionados, lo que garantiza un control granular y al mismo tiempo proporciona una experiencia de usuario consistente con búsqueda integrada, cambio de perfil y funcionalidad de selección múltiple, sin la necesidad de crear o mantener una interfaz de usuario», dijo Google.
Source link
