Android向け新セキュリティ機能でアクセシビリティAPIの利用制限強化

GoogleはAndroid向けに新たなセキュリティ強化を準備中だ。Android Canary 2602のテストビルドで発見された機能は、Android 16で初めて導入された高度な保護モードの機能を拡張する。

この新機能は、本格的なアクセシビリティツールとして分類されないアプリがAccessibilityService APIを利用することを制限することを目的としている。このAPIは当初、障がい者を支援するために作成されたもので、アプリが画面コンテンツを読み上げたり、ユーザーの操作を追跡したり、ジェスチャーを代行したりできるようにするものだ。

時が経つにつれ、AccessibilityServiceはオートメーター、ランチャー、「最適化」ツール、さらにはアンチウイルスプログラムを含むサードパーティ製アプリによって積極的に利用されてきた。形式上は利便性のためだが、実際には、こうしたプログラムは拡張されたシステム権限を獲得し、Androidの制限を回避したり、潜在的な悪用に使われたりすることが多かった。

Googleは数年にわたり、徐々にルールを厳格化してきた。特別なニーズを持つ人々を真に支援することを目的としたアプリは、isAccessibilityTool属性を示さなければならない。これにはスクリーンリーダー、音声制御、ジェスチャーインターフェース、点字システムなどが含まれる。

Android Canaryのテストバージョンの分析によると、高度な保護モードが有効になると、システムはアクセシビリティツールとして認識されないアプリにAccessibility Serviceの権限を付与することを禁止し、以前に付与された権限をそのようなプログラムから自動的に取り消す。

このAPIに重大に依存しているアプリは、完全に動作を停止する可能性がある。テスト中には、例えばAndroidでDynamic Islandを模倣するユーティリティdynamicSpotが、「高度な保護により制限されています」というラベルでシステムによってブロックされた。その理由は、通知を読み取り、他のアプリの上に要素を表示するためにAccessibilityServiceを使用していることだ。

公式のアクセシビリティツールは新しい制限の対象外となる。この機能は、テストが完了した後、将来のAndroidバージョンに登場すると見込まれている。