安卓|谷歌将严控安卓的辅助功能,都怪开发者将它“玩坏”了( 二 )





而在更久远之前 , 无障碍服务被绿色守护的开发者用来实现批量强停功能 , 也就是这款应用通过后台运行的辅助功能 , 帮助用户模拟点击打开应用详情页 , 然后再一个个点击强行停止 , 但在前台的使用则完全不受影响 。 又或者说 , 早期豌豆荚更是推出过开启“服务”后 , 就能实现“免ROOT自动装”的功能 , 即所谓的静默安装 , 这其实同样也需要用辅助功能来实现模拟点击操作 , 在后台模拟点击“下一步”的行为 。 抑或知名密码管理器Lastpass , 就需要利用辅助功能来帮助用户自动填充表单 , 以免去用户手动填写密码的繁琐 。



没错 , 由于辅助功能在开启后能够模拟用户点击和滑动操作的特点 , 就被许多开发者利用起来 , 去做超过谷歌原先规划的功能 。 不止如此 , 由于开启无障碍服务后 , 将能够监听整个系统的运行 , 会赋予APP完全控制手机的权限 , 几乎可以实现为所欲为 , 以至于几乎所有Android机型在开启这一权限时 , 都需要用户输入账号密码 , 以进行额外的身份认证 。



谷歌与手机厂商对于辅助功能的权限如此看中 , 是因为用户可以用眼睛能看到的文字、获得辅助功能授权的APP都能看到 , 用户能看到通知栏的微信聊天、银行转账信息 , 这些APP其实也可以 。
在去年11月时就有相关网络安全人士曝光了一个名为“SharkBot”的Android木马 , 就是利用Android设备上辅助功能的缺陷 , 来窃取银行和加密货币应用中的资金 。 通过这个木马 , 攻击者可以通过滥用无障碍服务获取诸多敏感信息 , 还可以在受感染的设备上自动填充网银APP中的字段 , 来绕过了这些APP设置的双因素身份验证机制 。



现在的情况就是 , 辅助功能因为需要满足残障人士无障碍使用手机的需求 , 导致谷歌必须给予该功能极高的权限 , 来让应用帮助这些用户 , 但这种极为敏感的权限被滥用的后果极其严重却又无法取消 。 所以最终谷歌方面就只能用严格规范的方式 , 来限制开发者使用这一权限的能力 。
【安卓|谷歌将严控安卓的辅助功能,都怪开发者将它“玩坏”了】而对于普通用户来说 , 如果你并不是“玩机党”或是对手机有所了解 , 我们建议最好还是不要打开无障碍服务为妙 。