Android 17: Google geht strenger gegen Missbrauch von Barrierefreiheits-API vor

In der Android 17 Beta 2 versperrt Google Apps den Zugriff auf eine Schnittstelle, die eigentlich für die Barrierefreiheit bestimmt ist: Ist die Advanced-Protection-Funktion („Erweitertes Sicherheitsprogramm“) aktiviert, um sich und seine Daten besser vor Angriffen zu schützen, werden Launcher, Automatisierungstools oder Anpassungs-Apps gegebenenfalls nutzlos. Google geht schon seit Jahren – bislang eher halbherzig – gegen die missbräuchliche Nutzung der Schnittstelle vor.

Ein wenig mehr Sicherheit

Wie das Fachblog Android Authority zuerst berichtet, stellt Google das mit Android 16 in das OS eingezogene erweiterte Sicherheitsprogramm eine Stufe schärfer. Mit dem Update auf Android 17 Beta 2 können bestimmte Apps, die die BarrierefreiheitsServices-API nutzen, um bestimmte Funktionen zu ermöglichen, zwar noch installiert werden. Beim Versuch, die AccessibilityService-API zu aktivieren, stoßen Nutzer aber auf eine Blockade. Ein Fenster mit dem Hinweis „Vom erweiterten Sicherheitsprogramm eingeschränkt“ erscheint. Von hier aus können Nutzer bei Bedarf das erweiterte Sicherheitsprogramm ausschalten, wenn sie die App wichtiger als ihre Sicherheit ansehen.

Nutzer sollten sich darüber bewusst sein, dass diese API auch oft von Android-Malware genutzt wird – etwa der Anatsa-Banking-Trojaner oder die Copybara-Malware –, um Zugangsdaten oder andere sensible Informationen aus Android-Apps auszuspähen und an kriminelle Drahtzieher auszuleiten. Mit Android 16 hat Google einen optionalen Schutz durch ein Flag integriert (etwa accessibilityDataSensitive), den Entwickler einsetzen können.

Doch eigentlich dient die AccessibilityService-API laut Googles Supportdokument zur Unterstützung von Menschen mit Behinderungen dabei. Apps wie Bildschirmleseprogramme, schalterbasierte Eingabesysteme und andere Hilfsmittel nutzen diese API, um Bildschirminhalte vorzulesen oder Aktionen für die Nutzerin oder den Nutzer auszuführen. Es gibt auch andere legitime Zwecke für die Nutzung der Accessibility-API, die etwa Passwortmanager wie Bitwarden nutzen, um Eingabefelder in Formularen zu finden. Google setzt für den Einsatz klare Richtlinien, um einen Missbrauch zu vermeiden.

Erste Warnungen schon 2017

Jedoch kann die Schnittstelle von Entwicklern immer noch missbraucht werden, um bestimmte Funktionen zu realisieren, die von Google in dieser Form nicht vorgesehen sind. Diesen „Trick“ haben im Laufe der Jahre zahlreiche Apps für sich genutzt. Dazu zählen etwa Automatisierungstools wie Tasker, Anpassungs-Apps, Überwachungs-Apps und manche Launcher wie etwa der SmartLauncher.

Das Kuriose daran: Google drohte schon im Jahr 2017 App-Entwicklern mit dem Rausschmiss aus dem Play-Store, sollten sie die API missbräuchlich verwenden. Bis heute scheint Google das nicht umgesetzt zu haben. Unter Android-Version 16 QPR3, die Google Anfang März für Pixel-Geräte veröffentlicht hat, können Apps wie etwa DynamicSpot, die eine Art „Dynamic Island“ wie auf Apples iPhones simuliert, auf die API zugreifen, um ein Overlay zu realisieren.

(afl)