접근성 서비스 : 현재 상태 및 Google이 오용으로 단속하는 이유

우리가 선호하는 모든 응용 프로그램에는 많은 부분이 있습니다. 트위터에서 타임 라인을 스크롤하거나 YouTube에서 비디오를 볼 때이 점에 대해 생각하지 않을 수도 있지만, 모든 앱이 실제로 예상대로 작동하도록하기 위해 뒤에서 진행되는 작업의 양은 실제로는 믿을 수 없습니다.

LastPass, Tasker 및 Clipboard Actions와 같은 특정 앱은 존재하지 않을 수있는 더 깊은 기능을 허용하기 위해 Android의 접근성 서비스를 활용하지만 Google은 최근 장애가있는 사용자에게 직접 혜택을주지 않고 해당 기능을 사용하는 응용 프로그램을 Play 스토어에서 제거 할 수 있다고 발표했습니다.

접근성 서비스는 흥미로운 도구이며 여기서 정확히 무슨 일이 일어나고 있는지 더 잘 알기 위해서는 면밀한 검토가 필요합니다.

접근성 서비스 란 무엇입니까?

내게 필요한 옵션 서비스는 Android에서 제공되며 장애가있는 사용자가 휴대 전화 및 태블릿을보다 쉽게 ​​사용할 수 있도록합니다. Android 기기의 접근성 설정 페이지로 이동하면 Google이 기본적으로 사용하도록 설정 한 다양한 컨트롤이 표시됩니다. 여기에있는 일부 항목에는 화면에서 항목을 탭하여 장치가 사용자에게 읽도록하는 것과 같은 피드백, 모든 작업을 소리내어 읽는 피드백, 디스플레이의 항목 크기 증가 등이 포함됩니다.

예상대로 여기에서 일반적인 주제는 추가 지원이 필요한 사람들이 Android를 더 쉽고 간단하게 사용할 수 있도록하는 것입니다.

기본적으로 Android에 내장 된 서비스 외에도 개발자는 자체 앱으로 접근성 서비스를 활용하여 새로운 기능을 활용하여 활용할 수 있습니다. Android 개발자 사이트에서 내게 필요한 옵션 서비스는 다음과 같습니다.

접근성 서비스는 장애가있는 사용자가 Android 기기 및 앱을 사용할 수 있도록 지원하는 데만 사용해야합니다. AccessibilityEvents가 시작되면 백그라운드에서 실행되고 시스템에서 콜백을 수신합니다. 이러한 이벤트는 사용자 인터페이스의 일부 상태 전이를 나타냅니다 (예: 포커스가 변경되었거나 버튼을 클릭 한 경우 등). 이러한 서비스는 선택적으로 활성 창의 내용을 쿼리하는 기능을 요청할 수 있습니다. 접근성 서비스를 개발하려면이 클래스를 확장하고 추상 메소드를 구현해야합니다.

일부 앱에서 사용하는 이유

Accessibility Services의 주요 목표는 개발자가 장애가있는 개인을 대상으로하는 도구를 만들 수 있도록하는 것이지만, 수년 동안이 리소스를 활용하여 기술적으로 모든 사람에게 혜택을 줄 수있는 확장 된 기능을 만드는 수많은 앱이있었습니다.

Android의 사전 설치된 접근성 서비스는 모두 장애가있는 사람들을 위해 그리고 이유가 있습니다.

내게 필요한 옵션 서비스를 합법적으로 사용할 수 있지만 불행히도 항상 그런 것은 아닙니다.

예를 들어, LastPass의 App Fill은 화면이나 다른 앱 위에 오버레이를 표시하므로 전체 LastPass 응용 프로그램을 열지 않고도 사용자 이름과 암호 정보를 쉽게 추가 할 수 있습니다. 클립 보드 작업은 접근성 서비스를 활용하여 전체 클립 보드 작업 앱에 있지 않아도 복사 한 링크를보다 쉽게 ​​관리하고 작업을 수행 할 수 있습니다.

이것은 개발자들이 지금까지 오랫동안 사용해온 방법이며, 기술적으로 작동하는 동안 Google이보고 싶지 않은 취약점을 만듭니다.

새로운 한계에 대한 구글의 추론

합법적으로 사용될 때 접근성 서비스가 가능한 한 서비스가 악의적으로 사용될 수도 있습니다. 내게 필요한 옵션 서비스를 사용하는 앱은 그렇지 않은 앱보다 더 큰 보안 위협이 발생하므로 장치가 공격의 위험에 노출됩니다.

Google이 내게 필요한 옵션 서비스를 사용할 수있는 응용 프로그램을 제한하기로 결정한 직후 보안 회사 TrendMicro 가 발견 한 "토스트 오버레이"공격과 관련이있는 것으로 밝혀졌습니다. 기본적으로 토스트 오버레이 공격을 통해 악의적 인 앱이 개인 정보를 도용하거나 사용자를 기기에서 완전히 잠그기 위해 실제로 표시해야하는 이미지와 버튼을 표시 할 수 있습니다.

이 토스트 오버레이 공격을 사용하는 앱은 Play 스토어에서 제거되었으며 9 월 보안 공지 패치를 통해 취약점이 해결되지만 앱이 접근성 서비스를 활용하여 심각한 손상을 일으킬 수있는 방법의 한 예일뿐입니다.

미래는 API입니다

장애인을 합법적 인 방법으로 돕기 위해 접근성 서비스를 사용하는 앱은 계속 존재하지만이 특정 인구 통계를 대상으로하지 않는 앱에는 Google에 솔루션 – API가 있습니다. LastPass의 예에서 Android Oreo가 포함 된 새로운 자동 완성 API를 사용하면 접근성 서비스를 사용하지 않고도 LastPass가 자동 완성 기능과 유사한 기능을 제공 할 수 있습니다.

API는 해키 개발 트릭이 생성 할 수있는 것보다 비슷한 (그리고 종종 더 나은) 경험을 허용합니다.

즉, 사용자가 좋아하는 타이틀의 모든 기능에 액세스하려면 최신 버전의 Android를 실행해야하지만 결국에는 보안 위험을 줄이면서 기능이 그대로 유지됩니다.

일부 사용자는이 변경에 대한 불만을 이해하지만 Google의 관점에서 볼 때 이는 합리적입니다. 접근성 서비스는 특정 개발자가 활용하는 방식의 많은 부분에 사용되도록 만들어지지 않았으며 이는 Google이 단속해야하는 것입니다.

하루가 끝나면 Google의 수많은 API를 지원하도록 앱이 업데이트되면 공격으로부터 보호 할 수있는 유사한 기능이 제공됩니다. 무엇을 더 요청할 수 있습니까?