Las apps que abusen de los servicios de accesibilidad serán eliminadas de Google Play.

En un comunicado enviado a los desarrolladores de Android, se ha informado de la intención de eliminar de la Play Store todas aquellas aplicaciones que abusen los servicios de accesibilidad de Android.




Esta API permite a los dearrolladores crear aplicaciones para usuarios con discapacidades. Esto permite a la aplicación hacer accesos programaticos a determinadas acciones que en otras circusntancias habrían requerido alguna intervención física por parte del usuario. 
Por ejemplo, estos servicios permiten a los usuarios escuchar un listado de los elementos en pantalla para asi poder decidir cual escoger. Sin embargo, también incluyen otras caracteristicas que pueden simular pulsaciones y puede utilizarse para fines maliciosos

Esta caracteristica permite a los atacantes desarrollar aplicaciones que abusen dichos servicios, como por ejemplo llevar al usuario a autorizar permisos que intencionalmente no concederían. También permitiria realizar ataques con overlays que, bien situados, podrían espiar las pulsaciones del usuario. 
Ataques como Toast Overlay emplea este tipo de técnicas, y la colección de ataques vía overlay de Cloak&Dagger necesitan en gran medida abusar de los métodos de dicha API.

Es por esto que, Google ha emitido un comunicado en el cual especifica que todas aquellas aplicaciones que hagan uso de los servicios de accesibilidad sin estar realmente orientados a ello seran eliminadas de la Play Store. Aquellas aplicaciones legítimas que hagan uso de esta funcionalidad como los gestores de contraseñas o aquellas que modifiquen el mapping de algunas ‘teclas’ se verán afectadas por esta nueva política. 

A pesar de todo, los atacantes siguen teniendo acceso a aquellos lugares donde Google Play no puede imponer su política, como los markets de terceros y sitios web de distribución de APKs. Estas vías suelen utilizarse por los atacantes para infectar a una gran mayoría de víctimas, aunque a pesar de todo algunos artefactos maliciosos logran eludir los controles de la Play Store. 

Fernando Díaz
fdiaz@hispasec.com

Más información:

Google will remove Play Store apps that use Accessibility Services:






You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *

Social Media Auto Publish Powered By : XYZScripts.com