Os serviços de acessibilidade contam com a API para tornar o Android mais fácil de usar para pessoas com deficiências, geralmente realizando várias ações com menos entrada do usuário. Exemplos notáveis incluem TalkBack, Voice Access e Select to Speak, mas aplicativos individuais também podem ter seus próprios serviços.
Para fazer o trabalho, os serviços de acessibilidade usam permissões elevadas, como acesso para ler o conteúdo na tela de outros aplicativos. Mas a mesma API de acessibilidade que possibilita um leitor de tela também pode permitir que o malware do Android leia e roube códigos de autenticação de dois fatores. Esse método até comprometeu a entrega segura de código 2FA por meio de aplicativos como o Google Authenticator.
O especialista em Android Mishaal Rahman explica que o Android 14 apresenta um novo atributo que os aplicativos podem usar, impedindo que ferramentas de acessibilidade potencialmente maliciosas acessem telas críticas de segurança, como aquelas que exibem códigos 2FA. O Android também impede a ativação fácil de serviços de acessibilidade para um aplicativo transferido manualmente de fora de uma loja de aplicativos. Este sistema faz o possível para avisar os usuários, para que eles possam ter certeza de que confiam no aplicativo e realmente desejam instalar seu serviço de acessibilidade – prevenindo o possível uso indevido da API por hackers.
Rahman observa que os métodos de bloqueio de uso da API de acessibilidade mudaram um pouco do Android 14 Developer Preview 2 para a primeira versão beta pública. Embora o recurso funcione da mesma forma, é um pouco mais inteligente na nova versão beta, permitindo que o sistema Android decida se os dados são confidenciais e bloqueie automaticamente os serviços de acessibilidade. Existem também algumas propriedades que os desenvolvedores de aplicativos podem definir para desativar os serviços de acessibilidade.
Essa implementação permite que recursos de acessibilidade como o TalkBack funcionem, mas bloqueia serviços potencialmente maliciosos de aplicativos de sideload, que podem roubar códigos 2FA. A configuração automática na versão beta também deve tornar o Android inerentemente mais seguro, mesmo que os desenvolvedores de aplicativos individuais não se esforcem para usar as novas provisões.
Embora o Google mereça crédito por seu trabalho, é importante lembrar que nenhum failsafe pode ajudar se você não for cuidadoso ao operar seu dispositivo Android. A maioria das medidas de segurança são meros impedimentos, e os hackers acabarão encontrando outra maneira de chegar até você. Portanto, fique atento e sempre instale aplicativos apenas de fontes confiáveis, como Google Play Store e APKMirror.