Android 14 moet malware blokkeren die 2FA-codes wil stelen
De API voor Toegankelijkheid in Android geeft ontwikkelaars de nodige tools om toepassingen te ontwikkelen voor gebruikers met een beperking. Zo laat de API bijvoorbeeld toe om de inhoud van een scherm te laten voorlezen en een smartphone te laten bedienen met de stem.
Jammer genoeg schuilt er in die toegankelijkheidsfeatures ook een risico. Ze kunnen als achterpoortje gebruikt worden door hackers om bijvoorbeeld een code voor tweestapsverificatie (2FA) mee te lezen, of bepaalde knoppen in te drukken in een app voor internetbankieren. Om komaf te maken met die veiligheidsrisico’s, zal Android 14 een nieuwe API introduceren. Die zal dan beperken welke toegankelijkheidsservices toegang krijgen tot hun apps. Dat meldt Androidspecialist Esper op zijn blog.
2FA-codes gestolen
Begin 2020 ontdekte de Nederlandse securityfirma ThreatFabric een versie van de Cerberus-malware die 2FA-codes kon stelen van Google Authenticator. Vorige maand ontdekte het Italiaanse Cleafy Nexus, een nieuw type malware dat eveneens toegang kreeg tot codes voor tweestapsverificatie. Het zijn maar enkele voorbeelden van een hele reeks malwaretoepassingen die het de voorbije jaren gemunt hebben op de Toegankelijkheids-API van Android.
Google heeft in vorige Android-versies al heel wat stappen ondernomen om snoodaards weg te houden van features die mensen met een beperking moeten helpen. Zo verstrengde de zoekreus zijn beleid voor de App Store, en mogen tegenwoordig niet zomaar alle apps verklaren dat ze een toegankelijkheidstool zijn.
Voor Android 14 gaat Google een stap verder. Ontwikkelaars kunnen zelf voorkomen dat apps die eigenlijk geen toegankelijkheidstools zijn toch toegang krijgen tot apps. Concreet zouden het nieuwe attribuut ACCESSIBILITY_DATA_PRIVATE_YES kunnen toevoegen, zodat alleen de juiste apps toegang krijgen tot die specifieke view. Apps als Google Authenticator kunnen die code integreren in hun app, zodat alleen echte toegankelijkheidstools 2FA-codes kunnen lezen.
