Android 17, Erişilebilirlik API'sini Kötüye Kullanımı Önlemek İçin Kısıtlıyor
Android 17, Erişilebilirlik API'sini Kötüye Kullanımı Önlemek İçin Kısıtlıyor
Google, Android 17 Beta 2 ile birlikte Android Advanced Protection Mode (AAPM) kapsamında yeni bir güvenlik özelliği test ediyor. Bu özellik, belirli uygulama türlerinin erişilebilirlik hizmetleri API'sini kullanmasını engelliyor.
Android Advanced Protection Mode (AAPM) Nedir?
AAPM, Google tarafından Android 16 ile tanıtılan ve cihazı gelişmiş siber saldırılara karşı korumak için tasarlanmış bir güvenlik modu. Apple'ın Lockdown Mode'una benzer şekilde, bu opt-in özellik güvenlik öncelikli çalışarak saldırı yüzeyini minimize etmek için işlevsellik ve kullanılabilirlikten ödün veriyor.
Temel yapılandırmalar şunları içeriyor:
- Bilinmeyen kaynaklardan uygulama yüklemeyi engelleme
- USB veri sinyalleştirmeyi kısıtlama
- Google Play Protect taramasını zorunlu kılma
Erişilebilirlik API'sine Yeni Kısıtlamalar
Android 17 Beta 2'de yapılan son değişiklik, erişilebilirlik aracı olarak sınıflandırılmayan uygulamaların işletim sisteminin erişilebilirlik hizmetleri API'sini kullanmasını engelliyor. isAccessibilityTool="true" bayrağı ile tanımlanan doğrulanmış erişilebilirlik araçları bu kuraldan muaf tutuluyor.
Google'a göre, yalnızca şu programlar erişilebilirlik aracı olarak belirleniyor:
- Ekran okuyucular
- Switch tabanlı giriş sistemleri
- Ses tabanlı giriş araçları
- Braille tabanlı erişim programları
Antivirüs yazılımları, otomasyon araçları, asistanlar, izleme uygulamaları, temizleyiciler, parola yöneticileri ve başlatıcılar bu kategoriye girmiyor.
Neden Bu Kadar Önemli?
AccessibilityService, engelli kullanıcıların Android cihazları ve uygulamaları kullanmasına yardımcı olmak gibi meşru kullanım durumlarına sahip olsa da, API son yıllarda kötü niyetli aktörler tarafından geniş çapta kötüye kullanıldı. Hacklenen Android cihazlardan hassas verileri çalmak için bu API'den faydalanılıyor.
Yeni Korumalar
Son değişiklikle birlikte:
- AAPM aktif olduğunda, izne zaten sahip olan erişilebilirlik dışı uygulamaların ayrıcalıkları otomatik olarak iptal ediliyor
- Kullanıcılar, ayar kapatılmadığı sürece uygulamalara API izinleri veremiyor
Ek Güvenlik Özellikleri
Android 17 ayrıca geliştiricilerin kullanıcının kişi listesinden yalnızca erişmek istedikleri alanları (telefon numaraları veya e-posta adresleri gibi) belirtmesine olanak tanıyan yeni bir kişi seçici ile geliyor.
Google, "Bu, uygulamanıza yalnızca seçilen verilere okuma erişimi sağlar; özel arama, profil değiştirme ve çoklu seçim yetenekleriyle tutarlı bir kullanıcı deneyimi sunarken UI oluşturmanız veya sürdürmeniz gerekmez" diyor.
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.