9to6it 5 月 5 日消息:随着2022 年晚些时候Android 13的到来 ,谷歌将打击滥用辅助功能 API 的垃圾邮件侧载应用程序。对于不知情的人,可访问性 API 允许开发人员提供辅助功能,例如屏幕阅读器和朗读功能,以帮助有听力或视力障碍的用户。然而,不良行为者利用 Android 的可访问性特权来植入恶意软件并执行其他严重的麻烦事。以 MysteryBot 恶意软件为例,该恶意软件会秘密监控触摸屏输入以进行键盘记录,从而允许它在登录页面等敏感场景中记录击键。
恶意应用程序还可以呈现一个看起来像是目标应用程序的合法登录屏幕的虚假 HTML 覆盖,以窃取身份验证凭据。Flubot 恶意软件于 2021 年掀起波澜,它向受害者发送短信,并附上一个链接以下载一个滥用可访问性访问以窃取银行和加密货币应用程序登录凭据的应用程序。谷歌试图限制 Play Store 上列出的应用程序对无障碍 API 的不必要使用,但当涉及从第三方存储库下载的应用程序时,它们已被证明是操作系统的致命弱点。
这将随着 Android 13 而改变。在 Android 13 的第一个公开测试版发布后,Esper的Mishaal Rahman 深入研究了更新的应用程序设置,并发现了一个限制侧载应用程序的可访问性 API 的本机系统。Android 允许用户手动启用某些应用程序的可访问性,但即将到来的操作系统更新可能会禁用该手动切换。相反,如果用户尝试授予对从 Play 商店以外的来源下载的应用程序的可访问性访问权限,则会看到一条错误消息,显示“为了您的安全,此设置当前不可用”。
Google 全面审查 Play 商店中列出的需要 使用辅助功能的应用程序,但该安全协议并未针对从网络作为 APK 文件下载的应用程序实施。不过,谷歌不会对所有侧载应用程序启用限制,因为该公司只针对从阴暗和不太合法的来源下载的应用程序。目前尚不清楚是否存在将第三方应用程序存储库分类为合法或有风险的内部数据库,但有一个参数可以在做出判断时派上用场。而那个参数就是基于会话的包安装 API。Rahman 指出,“应用商店通常使用这种安装方法来提供更无缝的体验。”
需要辅助功能进程但已从未实现基于会话的软件包安装系统的源安装的应用程序将默认禁用辅助功能权限。简而言之,即使用户愿意,用户也无法向可疑的侧载应用授予可访问性权限。审查从 Google 文件应用程序开始,该应用程序分析应用程序的 APK 包是否符合基于会话的包安装指南。一旦在Android 13中实施,通过可疑网页或 SMS 链接播种的恶意应用程序的可访问性将被限制,从而阻止它们执行诸如窃取敏感信息等有害任务。
