Android 17 stryper appar – flera slutar fungera helt oväntat

En ny beta avslöjar ett skärpt skyddsläge — och det får konsekvenser

Den nya betaversionen av Android 17 avslöjar ett avancerat skyddsläge som kan stänga ute många appar som använder tillgänglighetsbehörigheter. För vissa är det äntligen en riktig sköld mot skadlig programvara. För andra innebär det slutet på den fria anpassningen av Android efter egna behov.

Android 16 introducerade det avancerade skyddsläget som ett alternativ för användare som sätter extra stort värde på sin integritet. Enheter i detta läge fungerar som ett digitalt kassaskåp — systemet begränsar riskfyllda funktioner, skärper kontrollen över behörigheter och övervakar bakgrundsaktivitet betydligt noggrannare.

Android 17 tar det ett steg längre

I testversionen Beta 2 justerar Google nu på ett område som i åratal antingen har varit en välsignelse eller en mardröm — beroende på om man ser det från legitima apputvecklares eller skadlig programvaras perspektiv. Det handlar om tillgänglighetstjänster.

Det nya skyddsläget i Android 17 kan efter aktivering automatiskt inaktivera tillgänglighet för en hel grupp appar som inte är officiellt godkända som hjälpverktyg för personer med funktionsnedsättningar. Många utvecklare har hittills helt lagligt använt denna mekanism för att implementera automatisering, gestersättning för beröring, flytande fönster eller avancerade arbetsprofiler. Samma trick har dock också flitigt utnyttjats av skadliga program. Google har nu beslutat att det är dags att stänga denna gråzon.

Tillgänglighets-API:et — en hjälpfunktion som växte ur sina ramar

Hela förvirringen kretsar kring ett API kallat AccessibilityService. Det designades ursprungligen för att stödja personer som behöver hjälp med att använda en smartphone. Skärmläsare, röststyrning, förstoring av gränssnittselement och alternativa navigeringsmetoder — det var den avsedda användningen.

Med åren växte denna nischfunktion till ett kraftfullt verktyg. Med tillgänglighetsbehörigheter kan en app övervaka hela skärminnehållet — inklusive innehåll från andra program — trycka på knappar och gränssnittselement å användarens vägnar, utföra virtuella gester, scrolla, markera och fylla i fält. Dessutom kan den reagera på förändringar i andra appar nästan i realtid.

För seriösa utvecklare är det en möjlighet att skapa universella assistentappar. Profiler som själva stänger av ljud på jobbet, automatiserade klickprogram, utökade launchers eller gränssnittsanpassningar. För cyberbrottslingar är det ett idealiskt verktyg för att ta över kontrollen över en smartphone, avlyssna data och godkänna transaktioner utan ägarens vetskap.

Så fungerar den nya begränsningen i praktiken

Det centrala är det avancerade skyddsläget som du kan aktivera i inställningarna. När det är påslaget vidtar Android 17 två steg på en gång. Systemet vägrar att tilldela nya tillgänglighetsbehörigheter till appar som inte uppfyller kriterierna för ett tillgänglighetshjälpverktyg. Samtidigt tar det automatiskt bort dessa behörigheter från redan installerade appar om de inte lever upp till Googles krav.

Det handlar alltså inte bara om framtida skydd utan också om att stänga av program som redan används. I praktiken kan en användare som har byggt upp sitt system på automationer och anpassningar, efter aktivering av det avancerade skyddet, plötsligt se en ström av felmeddelanden om saknade behörigheter — eller helt enkelt upptäcka att en rad favoritverktyg slutar fungera.

Android 17 i avancerat skyddsläge följer en enkel princip: Om en app inte är uttryckligen kvalificerad som ett hjälpverktyg för personer med funktionsnedsättningar får den inte tillgång till dessa behörigheter. Googles experter argumenterar för att det utan sådana drastiska åtgärder är omöjligt att effektivt skydda användarna mot skadlig programvara som utger sig för att vara oskyldiga program.

Populära appar i fokus för de nya reglerna

Förändringen är inte teoretisk. De första testerna visar att den verkligen kommer att drabba appar installerade på miljontals telefoner. Android Authority nämner appen dynamicSpot som ett konkret exempel — ett verktyg som överför konceptet Dynamic Island, känt från nyare iPhone-modeller, till Android.

Appen visar flytande fönster ovanpå systemets gränssnitt och andra program. Användaren ser därmed notiser och genvägar på ett ställe som påminner om iOS-listen. För att göra detta möjligt måste programmet kunna se andra appar och reagera på deras aktivitet — och det är precis vad tillgänglighetsbehörigheterna möjliggör.

Efter åtstramningen i Android 17 kan verktyg som dynamicSpot bli helt utestängda från viktiga behörigheter när det avancerade skyddsläget är aktivt. Många andra typer av program befinner sig också i farozonen:

• Avancerade automationsappar som klickar och scrollar å användarens vägnar
• Vissa launchers och systemanpassningar för djupgående personalisering av utseendet
• Verktyg för intelligent besvarande av meddelanden i andra appar
• Program för avancerad systemnavigering för erfarna användare
• Assistenter som styr telefonprofiler baserat på plats eller tidpunkt
• Appar som skapar gester och makron för upprepade handlingar

En del av dem kommer förmodligen att försöka få officiell status som tillgänglighetshjälpverktyg, men Google kommer att verifiera om det primära syftet verkligen är att hjälpa användare med begränsningar — och inte bara ett trick för att kringgå butiksreglerna. Säkerhetsforskare inom mobilenheter har länge varnat för missbruk av AccessibilityService av skadliga program.

Säkerhet kontra användarfrihet

Google hävdar att det utan sådana markanta åtgärder är omöjligt att effektivt skydda användarna mot skadlig programvara som uppträder som harmlösa program. Efter installation tvingar de användarens godkännande av tillgänglighet. Med dessa behörigheter kan skadlig kod exempelvis ta över bankens inloggningsskärm, fånga upp SMS-koder eller godkänna transaktioner utan ägarens medvetna samtycke.

Från säkerhetsexperternas perspektiv ger detta steg god mening. Ju färre appar med full skärmöverblick och möjlighet att klicka på allt i bakgrunden, desto mindre angreppsyta. Problemet är att kreativa utvecklare som i åratal har byggt funktioner på Android — som inte finns på andra plattformar — hamnar i samma korg.

För en del användare är just dessa kombinerade appar systemets största fördel. De gör det möjligt att anpassa telefonen till arbete, hobbyer eller livsstil. Genom att ta bort dessa verktyg skickar Google en tydlig signal: Säkerhet väger tyngre än full frihet att anpassa enhetens beteende. Forskare från universitet som Stanford och MIT har upprepade gånger publicerat undersökningar som visar hur lätt det är att missbruka AccessibilityService för att stjäla känslig data.

Vad du som vanlig användare kan göra

Folk som inte leker med automationer och inte installerar nischappar kommer förmodligen att dra nytta av förändringarna. Efter aktivering av det avancerade skyddsläget minskar risken för att ett skadligt program tar över telefonen markant. Systemet ser själv till att misstänkta verktyg inte får känsliga behörigheter.

Mer erfarna användare står inför ett val. Du kan låta skyddsläget vara avstängt för att bevara dina verktygs fulla funktionalitet och acceptera en högre risk. Eller så kan du slå på skyddsläget och ge upp vissa appar — eventuellt först undersöka om utvecklarna har fått status som officiella tillgänglighetshjälpverktyg.

För närvarande talar vi om en betaversion av Android 17, så Google kan fortfarande justera reglerna, lägga till undantag eller certifieringsmekanismer. Riktningen är dock tydlig: Användning av AccessibilityService för annat än verkligt tillgänglighetsstöd kommer att bli allt svårare. Cybersäkerhetsspecialister från företag som ESET och Avast välkomnar detta steg.

Vad du bör hålla utkik efter de kommande månaderna

Med kommande betaversioner och den slutliga lanseringen av Android 17 finns det flera saker som är värda att följa noga. För det första: om Google inför en transparent process för utvecklare som vill bevisa att deras app verkligen hjälper personer med funktionsnedsättningar. Utan en sådan väg kan marknaden bli markant glesare.

För det andra är det möjligt att en del av de funktioner som externa appar idag levererar snart kommer direkt i systemet. Google har i åratal gradvis övertagit de bästa idéerna från gemenskapen och implementerat dem som egna lösningar. Om det händer får användarna ersättning för automation eller flytande notiser — utan behov av att installera riskfyllda tredjepartsverktyg.

Slutligen kan åtstramningen av reglerna för användare av mobilbank och företagsappar innebära en verklig vinst. Färre appar med tillgång till allt på skärmen minskar sannolikheten för att någon fångar upp känslig information. Det kommer särskilt att beröra användare som installerar program utanför den officiella Google Play-butiken.

Android har alltid balanserat mellan öppenhet och kontroll. Draget i Android 17 visar att pendeln svänger mot ökad säkerhet på bekostnad av flexibilitet. För aktiva användare innebär det att det är nödvändigt att noggrant gå igenom sin applista och medvetet bestämma vad man är villig att ge upp i säkerhetens och dataskyddets namn. Kanske upptäcker du att vissa verktyg inte alls är så oumbärliga som de verkade.