Tabla de contenido:
- ¿Qué son los servicios de accesibilidad?
- ¿Por qué algunas aplicaciones las usan?
- Razonamiento de Google para las nuevas limitaciones.
- El futuro son las API
Hay muchas partes móviles en todas nuestras aplicaciones favoritas. Es posible que no pienses en esto cuando te desplaces por tu línea de tiempo en Twitter o veas videos en YouTube, pero la cantidad de cosas que se realizan detrás de escena para que todas estas aplicaciones funcionen como se supone que es realmente increíble.
Ciertas aplicaciones como LastPass, Tasker y Clipboard Actions aprovechan los Servicios de Accesibilidad de Android para permitir funciones más profundas que de otro modo no podrían existir, pero Google anunció recientemente que las aplicaciones que las utilizan sin beneficiar directamente a las personas con discapacidades podrían eliminarse de Play Store.
Los servicios de accesibilidad son una herramienta interesante, y para tener una mejor idea de lo que está sucediendo exactamente aquí, debemos mirar más de cerca.
¿Qué son los servicios de accesibilidad?
Los servicios de accesibilidad se encuentran dentro de Android y permiten que los teléfonos y tabletas sean más fáciles de usar para las personas con discapacidades. Cuando vaya a la página de configuración de Accesibilidad en su dispositivo Android, verá una variedad de controles que Google ha habilitado de forma predeterminada. Algunos de los elementos aquí incluyen los gustos de tocar elementos en su pantalla para que su dispositivo los lea, comentarios en voz alta que lean en voz alta todas sus acciones, aumentar el tamaño de los elementos en la pantalla, etc.
Como se esperaba, el tema general aquí es hacer que Android sea más fácil y simple de usar para las personas que necesitan ayuda adicional.
Además de los servicios integrados en Android de forma predeterminada, los desarrolladores pueden acceder a los Servicios de accesibilidad con sus propias aplicaciones para crear nuevas funciones que los aprovechen. En el sitio de desarrolladores de Android, los servicios de accesibilidad se describen a continuación:
Los servicios de accesibilidad solo deben usarse para ayudar a los usuarios con discapacidades a usar dispositivos y aplicaciones Android. Se ejecutan en segundo plano y reciben devoluciones de llamada por parte del sistema cuando se activan los eventos de accesibilidad. Tales eventos denotan alguna transición de estado en la interfaz de usuario, por ejemplo, el foco ha cambiado, se ha hecho clic en un botón, etc. Tal servicio puede solicitar opcionalmente la capacidad de consultar el contenido de la ventana activa. El desarrollo de un servicio de accesibilidad requiere extender esta clase e implementar sus métodos abstractos.
¿Por qué algunas aplicaciones las usan?
Aunque el objetivo principal de los Servicios de Accesibilidad es permitir a los desarrolladores crear herramientas dirigidas a personas con discapacidades, a lo largo de los años hemos visto una serie de aplicaciones que han aprovechado este recurso para crear funciones ampliadas que técnicamente pueden beneficiar a todos.
Los servicios de accesibilidad se pueden usar legítimamente, pero eso, desafortunadamente, no siempre sucede.
Por ejemplo, el relleno de la aplicación de LastPass revela una superposición en la parte superior de cualquier pantalla u otra aplicación en la que se encuentre para que pueda agregar fácilmente información de nombre de usuario y contraseña sin tener que abrir la aplicación completa de LastPass. Clipboard Actions también aprovecha los servicios de accesibilidad para que pueda administrar más fácilmente los enlaces que ha copiado y tomar medidas sobre ellos sin tener que estar en la aplicación completa Clipboard Actions.
Este es un método que los desarrolladores han estado utilizando durante bastante tiempo, y aunque técnicamente funciona, crea vulnerabilidades que a Google no le gusta ver.
Razonamiento de Google para las nuevas limitaciones.
Por muy buenos que sean los Servicios de accesibilidad cuando se usan legítimamente, también es posible que el servicio se use maliciosamente. Las aplicaciones que usan los Servicios de accesibilidad abren mayores amenazas de seguridad que las que no lo hacen, y esto deja a los dispositivos en riesgo de ataques.
Poco después de que Google anunciara la decisión de limitar las aplicaciones que pueden usar los Servicios de Accesibilidad, se descubrió que el cambio probablemente estaba relacionado con un ataque de "superposición de tostadas" que había sido descubierto por la firma de seguridad TrendMicro. Esencialmente, el ataque de superposición de tostadas permite que las aplicaciones maliciosas muestren imágenes y botones sobre lo que realmente se debe mostrar para robar información personal o bloquear completamente a los usuarios de su dispositivo.
Desde entonces, las aplicaciones que utilizan este ataque de superposición de tostadas se han eliminado de Play Store y un parche con el Boletín de seguridad de septiembre resuelve la vulnerabilidad, pero este es solo un ejemplo de cómo una aplicación que accede a los Servicios de accesibilidad puede causar daños graves.
El futuro son las API
Las aplicaciones que usan los Servicios de accesibilidad para ayudar a los discapacitados de manera legítima continuarán existiendo, pero para aquellos que no están dirigidos a este grupo demográfico específico, Google tiene una solución: API. En el ejemplo de LastPass, la nueva API de Autocompletar con Android Oreo permite a LastPass ofrecer una funcionalidad similar a su función de Autocompletar sin tener que usar los Servicios de accesibilidad.
Esto significa que los usuarios necesitan ejecutar versiones más recientes de Android para acceder a todas las funciones de algunos de sus títulos favoritos, pero al final del día, su funcionalidad se mantiene mientras se reducen los posibles riesgos de seguridad.
Entendemos la molestia que algunos usuarios tienen hacia este cambio, pero cuando lo miran desde la perspectiva de Google, es un movimiento que simplemente tiene sentido. Los servicios de accesibilidad nunca fueron destinados a ser utilizados en una gran parte de las formas en que ciertos desarrolladores los están utilizando, y es algo que Google necesita tomar medidas enérgicas.
Al final del día, una vez que las aplicaciones se actualicen para admitir las numerosas API de Google, obtendremos características similares con una mayor protección contra los ataques. ¿Qué más puedes pedir?
