Android 14 obtiene una interfaz de programación de aplicaciones (API) personalizada. Debería bloquear el malware que puede robar códigos de verificación de dos pasos.
La API de Accesibilidad en Android brinda a los desarrolladores las herramientas necesarias para desarrollar aplicaciones para usuarios con discapacidades. Por ejemplo, la API permite leer en voz alta el contenido de una pantalla y manejar un teléfono inteligente mediante la voz.
Desafortunadamente, esas características de accesibilidad también conllevan un riesgo. Los piratas informáticos pueden utilizarlos como una laguna jurídica para, por ejemplo, leer un código de verificación en dos pasos (2FA) o presionar ciertos botones en una aplicación de banca por Internet. Para deshacerse de esos riesgos de seguridad, Android 14 introducirá una nueva API. Luego limitará qué servicios de accesibilidad pueden acceder a sus aplicaciones. Eso informa el especialista en Android. Esper en su blog.
Códigos 2FA robados
A principios de 2020, la empresa de seguridad holandesa ThreatFabric descubrió una versión del malware Cerberus que podía robar códigos 2FA de Google Authenticator. El mes pasado descubrió el italiano. limpio Nexus, un nuevo tipo de malware que también obtuvo acceso a códigos de autenticación de dos factores. Estos son sólo algunos ejemplos de una serie de aplicaciones de malware que se han dirigido a la API de accesibilidad de Android en los últimos años.
Google ya ha tomado muchas medidas en versiones anteriores de Android para mantener a los malos alejados de funciones que deberían ayudar a las personas con discapacidades. Por ejemplo, el gigante de las búsquedas endureció su política para la App Store y hoy en día no todas las aplicaciones pueden declarar que son una herramienta de accesibilidad.
Para Android 14, Google va un paso más allá. Los propios desarrolladores pueden evitar que aplicaciones que en realidad no son herramientas de accesibilidad obtengan acceso a las aplicaciones. Específicamente, podríamos agregar el nuevo atributo ACCESSIBILITY_DATA_PRIVATE_YES para que solo las aplicaciones correctas puedan acceder a esa vista específica. Aplicaciones como Google Authenticator pueden integrar ese código en su aplicación para que solo las herramientas de accesibilidad reales puedan leer códigos 2FA.
