สารบัญ:
มีชิ้นส่วนที่เคลื่อนไหวจำนวนมากให้กับแอปพลิเคชันโปรดทั้งหมดของเรา คุณอาจไม่ได้คิดถึงเรื่องนี้เมื่อเลื่อนดูไทม์ไลน์ของคุณบน Twitter หรือดูวิดีโอบน YouTube แต่จำนวนของสิ่งต่าง ๆ ที่เกิดขึ้นเบื้องหลังเพื่อให้แอปเหล่านี้ทำงานตามที่พวกเขาคิดว่าน่าเหลือเชื่อจริงๆ
แอปพลิเคชันบางอย่างเช่น LastPass, Tasker และ Clipboard Actions แตะลงในบริการการเข้าถึงของ Android เพื่ออนุญาตให้ใช้ฟีเจอร์ที่ลึกกว่านั้นซึ่งไม่มีอยู่จริง แต่ Google เพิ่งประกาศว่าแอปพลิเคชันที่ใช้งานโดยไม่ได้รับประโยชน์โดยตรง
บริการการเข้าถึงเป็นเครื่องมือที่น่าสนใจและเพื่อให้ได้แนวคิดที่ดีขึ้นเกี่ยวกับสิ่งที่เกิดขึ้นที่นี่เราจำเป็นต้องมองให้ใกล้ขึ้น
บริการการเข้าถึงคืออะไร
บริการการเข้าถึงพบได้ใน Android และอนุญาตให้ผู้ที่มีความพิการใช้โทรศัพท์และแท็บเล็ต เมื่อคุณไปที่หน้าการตั้งค่าการเข้าถึงสำหรับอุปกรณ์ Android ของคุณคุณจะเห็นอาร์เรย์ของตัวควบคุมที่ Google เปิดใช้งานตามค่าเริ่มต้น รายการบางส่วนในที่นี้รวมถึงรายการที่ชอบแตะบนหน้าจอเพื่อให้อุปกรณ์ของคุณอ่านออกมาให้คุณคำติชมด้วยเสียงพูดที่อ่านออกเสียงการกระทำทั้งหมดของคุณเพิ่มขนาดของรายการบนจอแสดงผล ฯลฯ
ตามที่คาดหวังธีมทั่วไปที่นี่คือการทำให้ Android ง่ายขึ้นและง่ายขึ้นสำหรับผู้ที่ต้องการความช่วยเหลือเป็นพิเศษ
นอกเหนือจากบริการที่มีอยู่แล้วภายใน Android โดยค่าเริ่มต้นนักพัฒนาสามารถแตะเข้าไปที่บริการการเข้าถึงด้วยแอพของตนเองเพื่อสร้างคุณสมบัติใหม่ที่ใช้ประโยชน์จากพวกเขา บนเว็บไซต์นักพัฒนา Android บริการการเข้าถึงมีการอธิบายดังนี้:
บริการการเข้าถึงควรใช้เพื่อช่วยเหลือผู้ใช้ที่ทุพพลภาพในการใช้อุปกรณ์ Android และแอพเท่านั้น พวกเขาทำงานในพื้นหลังและได้รับการเรียกกลับโดยระบบเมื่อ AccessibilityEvents ถูกยิง เหตุการณ์ดังกล่าวแสดงถึงการเปลี่ยนสถานะบางอย่างในอินเทอร์เฟซผู้ใช้ตัวอย่างเช่นโฟกัสเปลี่ยนไปมีการคลิกปุ่ม ฯลฯ บริการดังกล่าวสามารถขอความสามารถในการสอบถามเนื้อหาของหน้าต่างที่ใช้งานอยู่ การพัฒนาบริการการเข้าถึงต้องขยายชั้นนี้และใช้วิธีการที่เป็นนามธรรม
ทำไมบางแอพใช้
แม้ว่าเป้าหมายหลักของบริการการเข้าถึงข้อมูลคือการอนุญาตให้นักพัฒนาสร้างเครื่องมือที่กำหนดเป้าหมายสำหรับบุคคลที่มีความพิการ แต่เราได้เห็นแอพจำนวนมากในช่วงหลายปีที่ผ่านมาซึ่งได้แตะเข้าไปในแหล่งข้อมูลนี้เพื่อสร้างคุณสมบัติที่ขยาย
บริการการเข้าถึงสามารถใช้งานได้อย่างถูกต้อง แต่น่าเสียดายที่มันไม่ได้เกิดขึ้นเสมอไป
ตัวอย่างเช่นการเติมแอปของ LastPass เผยให้เห็นภาพซ้อนทับที่ด้านบนของหน้าจอใด ๆ หรือแอปอื่น ๆ ที่คุณเปิดอยู่เพื่อให้คุณสามารถเพิ่มข้อมูลชื่อผู้ใช้และรหัสผ่านโดยไม่ต้องเปิดแอปพลิเคชั่น LastPass แบบเต็ม การทำงานของคลิปบอร์ดยังแตะลงใน Accessibility Services เพื่อให้คุณสามารถจัดการลิงก์ที่คุณคัดลอกและดำเนินการได้ง่ายขึ้นโดยไม่ต้องอยู่ในแอพ Clipboard Actions
นี่เป็นวิธีการที่นักพัฒนาใช้งานมาระยะหนึ่งแล้วและในขณะที่มันใช้งานได้ในทางเทคนิคมันก็สร้างช่องโหว่ที่ Google ไม่ชอบที่จะเห็น
เหตุผลของ Google สำหรับข้อ จำกัด ใหม่
บริการการเข้าถึงที่ดีสามารถใช้งานได้อย่างถูกกฎหมายเมื่อใช้งานอย่างถูกต้องอาจเป็นไปได้ที่บริการดังกล่าวจะถูกนำไปใช้โดยเจตนาร้าย แอพที่ใช้บริการการเข้าถึงเปิดภัยคุกคามความปลอดภัยที่ยิ่งใหญ่กว่าที่ไม่ทำและสิ่งนี้จะทำให้อุปกรณ์เสี่ยงต่อการถูกโจมตี
ไม่นานหลังจากที่ Google ประกาศการตัดสินใจที่จะ จำกัด แอปพลิเคชันที่สามารถใช้บริการการเข้าถึงได้พบว่าการเปลี่ยนแปลงนั้นอาจเชื่อมโยงกับการโจมตี "การซ้อนทับของขนมปังปิ้ง" ที่ บริษัท รักษาความปลอดภัย TrendMicro ค้นพบ โดยพื้นฐานแล้วการโจมตีแบบซ้อนทับของขนมปังปิ้งทำให้แอปที่เป็นอันตรายสามารถแสดงภาพและปุ่มบนสิ่งที่ควรแสดงเพื่อขโมยข้อมูลส่วนบุคคลหรือล็อคผู้ใช้ออกจากอุปกรณ์อย่างสมบูรณ์
แอพที่ใช้การโจมตีแบบซ้อนทับของขนมปังปิ้งนี้ได้ถูกลบออกจาก Play Store และแพทช์ที่มี Bulletin เดือนกันยายนเพื่อแก้ไขช่องโหว่ แต่นี่เป็นเพียงตัวอย่างหนึ่งของการที่แอปเข้าถึงบริการการเข้าถึงสามารถสร้างความเสียหายร้ายแรง
อนาคตคือ API
แอปที่ใช้บริการการเข้าถึงเพื่อช่วยคนพิการในทางที่ถูกต้องจะยังคงมีอยู่ แต่สำหรับผู้ที่ไม่ได้ถูกกำหนดเป้าหมายในกลุ่มประชากรเฉพาะนี้ Google มีวิธีแก้ปัญหา - API ในตัวอย่างของ LastPass, Autofill API ใหม่พร้อม Android Oreo ช่วยให้ LastPass นำเสนอฟังก์ชั่นที่คล้ายกับฟีเจอร์เติมอัตโนมัติโดยไม่ต้องใช้บริการการเข้าถึง
นี่หมายความว่าผู้ใช้จำเป็นต้องใช้ Android เวอร์ชันใหม่กว่าเพื่อเข้าถึงคุณสมบัติทั้งหมดของหนังสือเล่มโปรดบางรายการ แต่ในตอนท้ายของวันฟังก์ชันการทำงานของคุณจะยังคงอยู่ในขณะที่ลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
เราเข้าใจถึงความรำคาญที่ผู้ใช้บางคนมีต่อการเปลี่ยนแปลงนี้ แต่เมื่อมองจากมุมมองของ Google มันเป็นการเคลื่อนไหวที่เหมาะสม บริการการเข้าถึงไม่ได้มีวัตถุประสงค์เพื่อใช้สำหรับส่วนใหญ่ของวิธีที่ devs บางรายกำลังแตะอยู่ในนั้นและเป็นสิ่งที่ Google จำเป็นต้องปราบปราม
ในตอนท้ายของวันเมื่อแอปได้รับการอัปเดตเพื่อรองรับ API จำนวนมากของ Google เราจะได้รับคุณสมบัติที่คล้ายกันพร้อมการป้องกันที่ดีกว่าจากการโจมตี สิ่งเพิ่มเติมที่คุณสามารถขอ?
