El malware ha sido un problema en Android durante mucho tiempo, y uno de los vectores de ataque más destacados es a través de los servicios de accesibilidad en el teléfono de un usuario. Las API de accesibilidad son herramientas poderosas diseñadas para que los desarrolladores ayuden a los usuarios con discapacidades, ya que pueden leer la pantalla, inyectar entradas y más. Desafortunadamente, eso también las hace propensas al abuso, con malware como FluBot que engaña a los usuarios para que habiliten esas API para aplicaciones maliciosas que, a su vez, no se pueden desinstalar. Esto está cambiando enAndroid 13, ya que Google evitará que las aplicaciones descargadas desde fuera de una tienda de aplicaciones obtengan esos permisos.
Como informó inicialmente Esper, Google evitará que las aplicaciones descargadas desde fuera de una tienda de aplicaciones accedan a las API de accesibilidad. Las API de accesibilidad son necesarias para los usuarios con discapacidades, pero también tienen una increíble cantidad de control sobre el dispositivo. Es por eso que el usuario debe habilitar manualmente el servicio para cada aplicación, pero algunos usuarios pueden ser engañados para que lo habiliten si no saben lo que están haciendo. Como resultado, este cambio de Google evitará que los usuarios lo habiliten por completo para las aplicaciones descargadas a través de su navegador o una aplicación de mensajería de texto.
Google lleva mucho tiempo luchando por encontrar la forma de gestionar las aplicaciones que hacen uso de los servicios de accesibilidad. En 2017, Googleamenazócon eliminar de Google Play Store las aplicaciones que hicieran uso de las API de accesibilidad para cualquier propósito que no fuera ayudar a los usuarios discapacitados. Aunque la empresa acabó dando marcha atrás, Google actualizó sus políticas en 2021. Ahora, los desarrolladores que quieran hacer uso de los servicios de accesibilidad en una aplicación para otros fines que no sean ayudar a los usuarios discapacitados que tengan como objetivo Android 12 o una versión posterior deben obtener la aprobación de Google Play tras completar un formulario de declaración de permiso.
Sin embargo, ahora las cosas están cambiando nuevamente en Android 13. Cualquier aplicación descargada desde fuera de una tienda de aplicaciones no podrá tener habilitados sus servicios de accesibilidad. Al tocar la opción para habilitarla, su teléfono mostrará una ventana emergente que indica "Por su seguridad, esta configuración no está disponible actualmente". Si bien al principio esto puede parecer alarmante para otras tiendas de aplicaciones, Google confirmó aEsperque este cambio no afectaría a las tiendas de aplicaciones precargadas o descargadas de forma lateral, y que era solo para restringir las aplicaciones descargadas de fuentes menos legítimas.
En resumen, no tendrás ningún problema con habilitar el servicio de accesibilidad para una aplicación descargada de forma lateral que se instaló a través de laAPI de instalación de paquetes basada en sesiones. Este método de instalación lo suelen utilizar las tiendas de aplicaciones de terceros. En cuanto a las aplicaciones que utilizan la API de instalación de paquetes que no son de sesión, estarán restringidas. Es un método más fácil de implementar para los desarrolladores, ya que la instalación se puede transferir al instalador de paquetes del sistema, y así es como las aplicaciones de mensajes de texto, los clientes de correo y los navegadores manejan la instalación de APK. Si quieres obtener más información sobre los detalles técnicos de esta implementación, asegúrate de consultar el artículo completo deEsper .
Fuente:Esper