Android 13 vai limitar uso de API que dá amplo acesso ao aparelho

API de acessibilidade fornece recursos extras aos desenvolvedores; Google tem feito mudanças para impedir uso indevido da ferramenta

Giovanni Santa Rosa
Por

O Android conta com uma ferramenta poderosa para manipular o dispositivo, e ela pode ser usada para o bem e para o mal. É a API de acessibilidade, que dá controles e recursos extras para aplicativos, mas também é uma porta de entrada para malware. O Google vem limitando seu uso para evitar problemas para usuários, e novas mudanças estão a caminho no Android 13.

Robô mascote do Android
Android (Imagem: Vitor Pádua / Tecnoblog)

A API de acessibilidade do Android existe para que pessoas com deficiência usem diversos aplicativos com mais facilidade. Graças a ela, os apps podem recorrer a ferramentas para ler a tela ou apertar botões.

As capacidades dessa API são enormes, como você pode imaginar. Com ela, um app pode ter acesso a tudo que está sendo exibido na interface, mesmo no sistema ou em outros apps, por exemplo, emular ações do usuário, entre outros.

Restrições para impedir ataques

Por um lado, muitos aplicativos fazem usos legítimos dessa ferramenta, seja por questões de acessibilidade, como esperado, seja para automatizar tarefas ou realizar ações a pedido do usuário. Muitas vezes, os desenvolvedores recorrem a ela para driblar limitações impostas pelo Google.

Por outro lado, a API pode ser explorada por apps mal-intencionados para roubar dados.

O Android exige que a permissão para usar a API de acessibilidade seja explícita. Quando um app pede essa autorização, é necessário ir até outra tela e confirmar.

O desenvolvedor precisa explicar por que ele precisa destes recursos, e o sistema reforça que o usuário vai entregar muitas informações ao aceitar.

Mesmo assim, o Google vem tomando medidas para impedir que apps mal-intencionados explorem esta API.

No Android 12, o sistema mostra uma notificação para conferir as configurações. Ela aparece 24 horas após liberar o acesso à API de acessibilidade. Isso acontece quando o aplicativo não vem de uma fonte confiável e não foi declarado como uma ferramenta de acessibilidade.

Em abril de 2022, a Google Play Store avisou que vai remover aplicativos que fazem uso da ferramenta para gravar chamadas. Os meios legítimos para ferramentas desse tipo foram bloqueados há anos, então os aplicativos recorrem à API para conseguir entregar esta utilidade para os usuários.

No Android 13, o cerco vai ficar ainda mais apertado.

Android 13: acessibilidade apenas para fontes confiáveis

O sistema não vai autorizar que aplicativos instalados por sideloading (ou seja, diretamente de um arquivo APK) usem a API de acessibilidade. Ao tentar liberar o acesso, a página diz apenas “Para sua segurança, esta configuração não está disponível no momento.”

Android 13 não autoriza acesso à API de acessibilidade se aplicativo não vem de fonte confiável
Android 13 não autoriza acesso à API de acessibilidade se aplicativo não vem de fonte confiável (Imagem: Reprodução / Esper)

Apenas apps que venham de lojas confiáveis — a Play Store ou outras — poderão recorrer à ferramenta. Aqueles que chegarem por navegadores, clientes de e-mail ou mensageiros serão impedidos.

O Android 13 também estipula permissões específicas para configurações restritas. São elas que controlam se um app pode ou não acessar o serviço de acessibilidade.

Por enquanto, essas permissões só são um passo extra para chegar à API de acessibilidade. No futuro, outras ferramentas sensíveis, como as que monitoram notificações, podem ser agrupadas lá.

Com informações: Esper.

Relacionados

Relacionados