Erişilebilirlik hizmetleri: ne oldukları ve neden Google'ın kötüye kullanımından kaynaklandığını

Tüm favori uygulamalarımız için birçok hareketli parça var. Twitter'daki zaman çizelgenizde gezinirken veya YouTube'da video izlerken bunu düşünmeyebilirsiniz, ancak tüm bu uygulamaların olması gerektiği gibi çalışmasını sağlamak için sahnelerin ardında gerçekleşen şeyler oldukça şaşırtıcı.

LastPass, Tasker ve Pano Eylemleri gibi bazı uygulamalar, başka türlü bulunamayan daha derin özelliklere izin vermek için Android'in Erişilebilirlik Hizmetlerine başvuruyor, ancak Google kısa süre önce, engelli kişilerden doğrudan yararlanmayan uygulamaları Google Play Store'dan çıkarabileceğini açıkladı.

Erişilebilirlik Hizmetleri ilginç bir araçtır ve burada tam olarak ne olduğu hakkında daha iyi bir fikir edinmek için daha yakından bakmamız gerekir.

Erişilebilirlik Hizmetleri Nedir?

Erişilebilirlik Servisleri Android içerisinde bulunur ve telefon ve tabletlerin engelli kişiler tarafından daha kolay kullanılmasını sağlar. Android cihazınızdaki Erişilebilirlik ayarları sayfasına gittiğinizde, Google’ın varsayılan olarak etkinleştirdiği bir dizi kontrol göreceksiniz. Buradaki öğelerden bazıları, cihazınızın size okumasını sağlamak için ekranınızdaki öğelere dokunma, tüm işlemlerinizi sesli bir şekilde okuyan, ekrandaki öğelerin boyutunu artırma vb.

Beklendiği gibi, buradaki genel tema Android'in daha fazla yardıma ihtiyacı olan insanlar için kullanımını daha kolay ve basit hale getirmektir.

Varsayılan olarak Android'de yerleşik olarak sunulan hizmetlere ek olarak, geliştiriciler, bunlardan yararlanan yeni özellikler oluşturmak için kendi uygulamalarıyla Erişilebilirlik Hizmetlerine erişebilirler. Android Geliştiricileri sitesinde, Erişilebilirlik Hizmetleri aşağıdaki şekilde açıklanmıştır:

Erişilebilirlik hizmetleri yalnızca engelli kullanıcılara Android cihazlarını ve uygulamalarını kullanmalarında yardımcı olmak için kullanılmalıdır. Arka planda çalışırlar ve AccessibilityEvents ateşlendiğinde sistem tarafından geri çağrılar alırlar. Bu tür olaylar, kullanıcı arayüzündeki bazı durum geçişlerini belirtir; örneğin, odak değişti, bir düğmeye tıklandı, vb. Böyle bir hizmet, isteğe bağlı olarak aktif pencerenin içeriğini sorgulama yeteneğini talep edebilir. Bir erişilebilirlik servisinin geliştirilmesi, bu sınıfın genişletilmesini ve soyut yöntemlerin uygulanmasını gerektirir.

Neden bazı uygulamalar bunları kullanıyor?

Erişilebilirlik Hizmetlerinin temel amacı, geliştiricilerin engelli bireyleri hedef alan araçlar oluşturmalarına izin vermek olsa da, yıllar içinde bu kaynağa giren ve teknik olarak herkese teknik açıdan fayda sağlayabilecek genişletilmiş özellikler oluşturmak için birçok uygulama gördük.

Android'in önceden yüklenmiş Erişilebilirlik Servisleri, engelli insanları ve bir nedenden dolayı hedefleniyor.

Erişilebilirlik Servisleri yasal olarak kullanılabilir, ancak bu ne yazık ki her zaman gerçekleşmez.

Örneğin, LastPass'ın Uygulama Doldurma özelliği, kullandığınız ekranın veya diğer uygulamaların üzerine bir kaplama gösterir, böylece tüm LastPass uygulamasını açmak zorunda kalmadan kolayca kullanıcı adı ve şifre bilgileri ekleyebilirsiniz. Pano Eylemleri aynı zamanda Erişilebilirlik Servislerine de girer, böylece kopyaladığınız bağlantıları daha kolay yönetebilir ve tam Pano Eylemleri uygulamasında olmak zorunda kalmadan bunlarla ilgili işlem yapabilirsiniz.

Bu, geliştiricilerin uzun süredir kullandıkları bir yöntemdir ve teknik olarak çalışırken, Google’ın görmekten hoşlanmadığı güvenlik açıkları yaratır.

Google’ın yeni sınırlamalar için muhakeme

Erişilebilirlik Hizmetleri yasal olarak kullanıldığında olabildiğince, hizmetin kötü amaçlı kullanılması da mümkün. Erişilebilirlik Hizmetlerini kullanan uygulamalar, yapmadıklarından daha fazla güvenlik tehdidi oluşturur ve bu da cihazları saldırı riski altında bırakır.

Google, Erişilebilirlik Hizmetlerini kullanabilecek uygulamaları sınırlama kararını açıkladıktan kısa bir süre sonra, değişimin, güvenlik firması TrendMicro tarafından keşfedilen bir "tost bindirme" saldırısına bağlı olduğu keşfedildi. Temel olarak, tost yer paylaşımı saldırısı, kötü amaçlı uygulamaların kişisel bilgileri çalmak veya kullanıcıları cihazlarından tamamen kilitlemek için gerçekte neyin gösterilmesi gerektiği üzerine resimler ve düğmeler göstermesini sağlar.

Bu tost yerleşimi saldırısını kullanan uygulamalar o zamandan beri Google Play Store'dan kaldırıldı ve Eylül Güvenlik Bülteni ile bir düzeltme eki bu güvenlik açığını giderir, ancak bu Erişilebilirlik Hizmetlerine dokunan bir uygulamanın ciddi hasara neden olabileceğinin yalnızca bir örneğidir.

Gelecek API

Engellilere yasal yollardan yardımcı olmak için Erişilebilirlik Hizmetlerini kullanan uygulamalar mevcut olmaya devam edecek, ancak bu belirli demografik özelliği hedeflemeyenlerin Google’ın bir çözümü var - API’lar. LastPass örneğinde, Android Oreo'lu yeni Otomatik Doldurma API'sı, LastPass'ın Erişilebilirlik Servislerini kullanmak zorunda kalmadan Otomatik Doldurma özelliği ile benzer işlevler sunmasını sağlar.

API'ler, sahte yazılımların üretebileceğinden benzer (ve genellikle daha iyi) deneyimler sağlar.

Bu, kullanıcıların bazı favori başlıklarının tüm özelliklerine erişebilmek için Android'in daha yeni sürümlerini çalıştırması gerektiği anlamına gelir, ancak günün sonunda, olası güvenlik risklerini azaltırken işlevselliğiniz de kalır.

Bazı kullanıcıların bu değişime yönelik sıkıntılarını anlıyoruz, ancak Google’ın bakış açısından bakıldığında, bu sadece mantıklı bir hareket. Erişilebilirlik Servisleri hiçbir zaman belirli cihazların kendilerine girme biçimlerinin büyük bir kısmı için kullanılma niyetinde değildi ve bu Google’ın çökertmesi gereken bir şey.

Günün sonunda, Google’ın sayısız API’sini desteklemek için uygulamalar güncellendiğinde, saldırılara karşı daha fazla koruma sağlayan benzer özellikler elde edeceğiz. Daha ne isteyebilirsin?