Android 17 zaostrza tryb ochrony: część aplikacji przestanie działać

Android 17 wprowadza mocno wyśrubowany tryb ochrony, który wzmacnia bezpieczeństwo telefonu, ale jednocześnie może zabić ulubione aplikacje do personalizacji.

Nowa beta systemu pokazuje, że Google nie żartuje z bezpieczeństwa. W zamian za solidną tarczę przeciw złośliwemu oprogramowaniu część narzędzi do automatyzacji i zmiany wyglądu systemu najzwyczajniej w świecie zostanie odcięta od kluczowych uprawnień.

Tryb ochrony zaawansowanej w Android 17 – co się zmienia

W Androidzie 16 pojawił się tryb ochrony zaawansowanej, którego zadaniem jest zamiana smartfona w cyfrowy sejf: mniej śledzenia, mniej ryzyka przejęcia danych, więcej kontroli nad tym, co robią aplikacje w tle. W Androidzie 17 ten mechanizm dostaje dodatkowy, bardzo ostry ząb.

Druga beta Androida 17 pokazuje, że Google celuje w obszar, którego dotąd unikał: w usługi ułatwień dostępu. To właśnie tam od lat funkcjonują zarówno genialne narzędzia dla osób z niepełnosprawnościami, jak i sprytne aplikacje do automatyzacji czy personalizacji systemu – a także część groźnego malware.

Tryb ochrony zaawansowanej w Android 17 odcina aplikacje niespełniające kryteriów „ułatwień dostępu” od potężnych uprawnień AccessibilityService i cofa im istniejące zgody.

Dlaczego Google bierze na celownik AccessibilityService

U podstaw całej zmiany leży interfejs AccessibilityService – API stworzone po to, żeby pomagać osobom z niepełnosprawnościami. To dzięki niemu działają czytniki ekranu, zaawansowane sterowanie głosem czy narzędzia dla osób z ograniczoną sprawnością ruchową.

Problem w tym, że to API daje ogromne możliwości. Aplikacja z dostępem do AccessibilityService może:

• odczytywać zawartość ekranu, włącznie z tekstem i przyciskami,
• symulować dotknięcia i gesty,
• reagować na działania w innych aplikacjach,
• tworzyć warstwę „ponad” systemem, np. pływające okna.

Z punktu widzenia bezpieczeństwa to dla przestępców złoty graal. Złośliwa aplikacja z takimi uprawnieniami może przechwytywać loginy, zatwierdzać operacje w bankowości mobilnej albo klikać w przyciski z uprawnieniami, których normalnie by nie dostała.

Dlatego w Androidzie 17, gdy włączysz tryb ochrony zaawansowanej, system zacznie traktować AccessibilityService jak strefę zamkniętą. Dostęp dostaną tylko te aplikacje, które Google formalnie oznaczy jako narzędzia ułatwień dostępu. Cała reszta – nawet jeśli działa uczciwie i legalnie – znika z kolejki.

Automatyczne cofanie uprawnień

Zmiana nie dotyczy wyłącznie nowych instalacji. Jeśli masz już na telefonie aplikacje, które korzystają z AccessibilityService, a nie przejdą nowej kwalifikacji, system cofnie im nadane wcześniej zgody.

W praktyce oznacza to, że po aktywowaniu trybu ochrony zaawansowanej:

Na celowniku: aplikacje do personalizacji i automatyzacji

Nowe zasady najmocniej uderzą w aplikacje, które lubią entuzjaści modyfikowania Androida pod własne potrzeby. Przykład podany przez Android Authority to dynamicSpot – narzędzie, które przenosi pomysł „Dynamic Island” z iPhone’ów na smartfony z Androidem.

Aby wyświetlać pływające okna nad paskiem powiadomień i reagować na zdarzenia w innych aplikacjach, dynamicSpot musi korzystać z uprawnień dostępności. Bez nich cały trik przestaje działać. W scenariuszu z Androidem 17 i trybem ochrony zaawansowanej taka aplikacja może zostać całkowicie sparaliżowana.

To tylko wierzchołek góry lodowej. W strefie ryzyka znajdują się między innymi:

• zaawansowane launchery i nakładki systemowe,
• narzędzia do automatyzowania zadań (np. reagujące na zmiany w innych aplikacjach),
• programy do przypisywania gestów i skrótów ponad systemem,
• część aplikacji do blokowania treści i kontroli rodzicielskiej.

Użytkownicy, którzy zbudowali cały przepływ pracy na takich rozwiązaniach, mogą poczuć, że ktoś nagle odciął im prąd. System stanie się bezpieczniejszy, ale mniej podatny na głęboką personalizację.

Bezpieczeństwo kontra swoboda – odwieczny dylemat

Google staje tu przed klasycznym wyborem: pełna wolność dla deweloperów i użytkowników czy większa kontrola i mniejsze pole do nadużyć. Dotąd firma próbowała balansować, ostrzegając przed ryzykownymi uprawnieniami i utrudniając instalację aplikacji spoza sklepu. Teraz kurs zmierza wyraźnie w stronę maksymalnego bezpieczeństwa.

Im silniejszy tryb ochrony, tym mniej miejsca dla aplikacji, które „przeginają” z uprawnieniami – nawet jeśli robią to dla wygody użytkownika, a nie w złej wierze.

Dla wielu osób ten kompromis będzie akceptowalny. Większość użytkowników i tak nie korzysta z zaawansowanych narzędzi automatyzacji czy hakerskich sztuczek z personalizacją. Dla nich ważniejsze od fajerwerków jest to, żeby bankowość działała bezpiecznie, a podejrzane aplikacje nie mogły same niczego klikać.

Inaczej spojrzy na to grupa bardziej zaawansowanych użytkowników Androida. To oni najczęściej instalują aplikacje, które „naginały” przeznaczenie usług ułatwień dostępu, dzięki czemu potrafiły robić rzeczy, o których Google wprost nie przewidział. Wraz z Androidem 17 część tej kreatywności po prostu zniknie.

Co mogą zrobić deweloperzy i użytkownicy

Dla twórców aplikacji zmiana oznacza konieczność przejrzenia całej logiki działania ich programów. Jeśli narzędzie bazuje na AccessibilityService, trzeba sprawdzić, czy da się zastąpić te mechanizmy innymi API albo uzasadnić, że aplikacja faktycznie pełni funkcję ułatwień dostępu.

Są trzy możliwe ścieżki działania:

Użytkownicy z kolei staną przed pytaniem, co jest dla nich ważniejsze: twardsza ochrona czy swoboda działania aplikacji. Nic nie wskazuje na to, żeby tryb ochrony zaawansowanej miał być wymuszany na wszystkich. Jeśli więc ktoś bardzo polega na określonych narzędziach automatyzujących, może po prostu zostawić ten tryb wyłączony – oczywiście kosztem mniejszego poziomu zabezpieczeń.

Dlaczego usługi ułatwień dostępu tak kuszą przestępców

Usługi ułatwień dostępu często trafiają na nagłówki dopiero wtedy, gdy zaczyna się o nich mówić w kontekście bezpieczeństwa. Warto więc jasno powiedzieć, dlaczego to właśnie one stały się polem bitwy w Androidzie 17.

Do tej pory wiele kampanii złośliwego oprogramowania dla Androida polegało na przekonaniu użytkownika, żeby ręcznie nadał aplikacji prawa ułatwień dostępu. Po ich uzyskaniu malware mógł przejąć kontrolę nad ekranem, przechwytywać wpisywany tekst czy klikać w przyciski zatwierdzające przelewy. Z zewnątrz wszystko wyglądało normalnie – użytkownik widział standardowe okna aplikacji bankowej, nie wiedząc, że ktoś „klika” razem z nim.

Nowy tryb ochrony ma ten wektor ataku odciąć jedną decyzją użytkownika. Wystarczy aktywować wzmocnioną ochronę, a większość potencjalnie niebezpiecznych żądań dostępu do AccessibilityService zostanie po prostu zablokowana.

Jak użytkownik odczuje zmiany w codziennym korzystaniu z telefonu

Dla przeciętnego posiadacza smartfona skutki mogą być początkowo niewidoczne. Jeśli ktoś korzysta głównie z aplikacji systemowych, komunikatorów, mediów społecznościowych i kilku gier, różnica sprowadzi się do kolejnej opcji w ustawieniach zabezpieczeń.

Nowa rzeczywistość zaczyna się w chwili, gdy na telefonie pojawiają się aplikacje, które:

• proszą o prawa ułatwień dostępu, choć nie są jednoznacznie kojarzone z pomocą dla osób z niepełnosprawnościami,
• tworzą pływające dymki, nietypowe paski, wyspy powiadomień czy nakładki,
• automatyzują czynności w innych programach, np. klikają w określone elementy za użytkownika.

W takim scenariuszu Android 17 może odmówić nadania uprawnień albo nagle je cofnąć po włączeniu trybu ochrony. Z punktu widzenia użytkownika aplikacja „przestanie działać”, choć technicznie cały silnik pozostanie na miejscu – zabraknie tylko dostępu do kluczowej funkcji.

W kolejnych miesiącach okaże się, ilu deweloperów znajdzie kreatywne sposoby na obejście tych ograniczeń w granicach regulaminu, a ilu po prostu zrezygnuje z najbardziej zaawansowanych funkcji. Jedno jest pewne: Android 17 zmienia układ sił między bezpieczeństwem a personalizacją, stawiając wyraźną granicę tam, gdzie wcześniej panowała szara strefa.