Google está probando una nueva función de seguridad como parte del Modo de protección avanzada de Android (AAPM) que evita que ciertos tipos de aplicaciones utilicen la API de servicios de accesibilidad.
El cambio, incorporado en Android 17 Beta 2, fue informado por primera vez por Android Authority la semana pasada.
AAPM fue introducido por Google en Android 16, lanzado el año pasado. Cuando está habilitado, hace que el dispositivo entre en un estado de seguridad elevado para protegerse contra ataques cibernéticos sofisticados. Al igual que el modo de bloqueo de Apple, la función de inclusión prioriza la seguridad a costa de una funcionalidad y usabilidad disminuidas para minimizar la superficie de ataque.
Algunas de las configuraciones principales incluyen bloquear la instalación de aplicaciones de fuentes desconocidas, restringir la señalización de datos USB y exigir el escaneo de Google Play Protect.
«Los desarrolladores pueden integrarse con esta función utilizando la API AdvancedProtectionManager para detectar el estado del modo, lo que permite que las aplicaciones adopten automáticamente una postura de seguridad reforzada o restrinjan la funcionalidad de alto riesgo cuando un usuario ha optado por participar», señaló Google en su documentación que describe las características de Android 17.
La última restricción agregada a la configuración de seguridad de un toque tiene como objetivo evitar que las aplicaciones que no están clasificadas como herramientas de accesibilidad puedan aprovechar la API de servicios de accesibilidad del sistema operativo. Las herramientas de accesibilidad verificadas, identificadas por la marca isAccessibilityTool=»true», están exentas de esta regla.
Según Google, sólo los lectores de pantalla, los sistemas de entrada basados en interruptores, las herramientas de entrada basadas en voz y los programas de acceso basados en Braille están designados como herramientas de accesibilidad. El software antivirus, las herramientas de automatización, los asistentes, las aplicaciones de monitoreo, los limpiadores, los administradores de contraseñas y los lanzadores no entran en esta categoría.
Si bien AccessibilityService tiene sus casos de uso legítimos, como ayudar a usuarios con discapacidades a usar dispositivos y aplicaciones Android, en los últimos años los malos actores han abusado ampliamente de la API para robar datos confidenciales de dispositivos Android comprometidos.
Con el último cambio, a cualquier aplicación que no sea de accesibilidad y que ya tenga el permiso se le revocarán automáticamente sus privilegios cuando AAPM esté activo. Los usuarios tampoco podrán otorgar permisos a las aplicaciones para la API a menos que la configuración esté desactivada.
Android 17 también viene con un nuevo selector de contactos que permite a los desarrolladores de aplicaciones especificar solo los campos a los que desean acceder desde la lista de contactos de un usuario (por ejemplo, números de teléfono o direcciones de correo electrónico) o permitir a los usuarios seleccionar ciertos contactos con una aplicación de terceros.
«Esto le otorga a su aplicación acceso de lectura solo a los datos seleccionados, lo que garantiza un control granular y al mismo tiempo proporciona una experiencia de usuario consistente con capacidades integradas de búsqueda, cambio de perfil y selección múltiple sin tener que crear o mantener la interfaz de usuario», dijo Google.