Android 13 va freiner les détournements des services d'accessibilité

Florian Innocente |

Avec son prochain Android 13, Google va s'efforcer de compliquer la vie des apps téléchargées en dehors des boutiques reconnues et qui exploitent les services d'accessibilité du système pour exécuter un malware.

En parallèle aux API d'accessibilité fournies par Android, les développeurs d'apps peuvent créer leurs propres fonctions en activant un service d'accessibilité spécifique. Par ce biais, leur app dispose d'un large accès aux fonctions du système, mais cette liberté d'action peut être dévoyée. Et comme le rappelle Esper — un développeur de solutions d'entreprise pour Android — cette opportunité a été plusieurs fois exploitée par des malwares.

Des apps pouvaient par exemple prendre connaissance de ce qui était affiché sur l'écran — cela fait partie d'une fonction d'accessibilité pour les personnes malvoyantes — et remplacer ce contenu par un faux parfaitement imité. Si l'utilisateur lançait une app de banque, le malware affichait par-dessus un écran de saisie d'identifiants parfaitement crédible.

L'éventail des possibles est assez riche puisque de tels services peuvent également simuler des touchers d'écran de l'utilisateur et d'une certaine manière se faire passer pour lui auprès des apps.

Depuis 5 ans, Google a opéré plusieurs changements pour entraver ces abus. D'abord avec des résultats mitigés lorsqu'il a menacé les développeurs de retirer leurs apps du Play Store s'ils utilisaient ces services pour d'autres fonctions que l'aide à l'accessibilité. Il arrivait toutefois que ce soit fait pour des raisons tout à fait légitimes. Google a donc préféré reculer et conseiller aux éditeurs de privilégier autant que faire se peut les API disponibles.

Depuis 2021, Google a revu sa copie et impose aux développeurs qui ont des besoins spécifiques pour l'utilisation de tels services d'être agréés par Google Play et d'informer en long et en large l'utilisateur qui décidera d'accorder un droit d'activation.

Android 13 : les apps devront demander l

Android 13 : les apps devront demander l'autorisation d'envoyer des notifications, comme sur iPhone OS 3

Depuis Android 12, une alerte est affichée à l'utilisateur 24h après qu'une app a été installée depuis une boutique suspecte. Et a fortiori si cette app n'a pas été déclarée par son auteur comme utilisant ce service à des fins exclusivement d'accessibilité.

À gauche une app dont la demande d'activation d'un service d'accessibilité a été bloquée par défaut

Android 13 va serrer la vis en bloquant par défaut l'exécution du service d'accessibilité pour les apps qui n'ont pas été téléchargées depuis des stores reconnus par Google (autres que Google Play ou bien encore F-Droid de la Free Software Foundation Europe). L'objectif n'est pas de couper la chique à toutes les apps qui utilisent les services d'accessibilité et qui ont été "sideloadées", mais de faire le tri entre celles qui proviennent de boutiques ayant pignon sur rue et celles plus sujettes à caution.

Google tient sa conférence de développeurs ces mercredi et jeudi 11 et 12 mai. Il lèvera le voile sur l'essentiel des nouveautés d'Android 13 encore inconnues et celles liées au renfort des mesures de sécurité.

Un premier aperçu d

Un premier aperçu d'Android 13 pour les développeurs

Android 13 dévoile ses premières nouveautés

Android 13 dévoile ses premières nouveautés


avatar raoolito | 

les joies qui vont arriver d'ici une année environ sur iOS. Bon esperons que tout ce qu'on a envie/besoin reste sur l'app store.

avatar SyMich | 

L'équivalent de ces services d'accessibilité n'existe pas sur iOS. Apple n'aura pas besoin de les restreindre ! Donc je ne vois pas quel parallèle vous voulez faire.

avatar raoolito | 

@SyMich

vis a vis du sideloading surtout

avatar SyMich | 

Ça ne changera rien! iOS est beaucoup plus verrouillé qu'Android. Développer et diffuser un malware sur iOS est ni plus ni moins facile en sideloading qu'en passant par l'AppStore car il nécessite d'utiliser une faille non encore connue ou pas encore corrigée (et dont l'utilisation n'est donc pas détectée lors de la validation de l'AppStore).

Si c'était aussi simple d'inonder les iPhones de malwares grâce au sideloading, on le verrait déjà aujourd'hui via des webApps, qui n'ont pas à être vérifiées par Apple et peuvent être diffusées sans passer par l'AppStore.

avatar raoolito | 

@SyMich

donc du coup c'est meme en interne qu'android autorise des choses qui sont verouillées sur un iOs ?
en gros

avatar SyMich | 

Oui, comme l'exemple qui est cité ici donnant la possibilité de développer des fonctions spécifiques via les services d'accessibilité... ça n'est pas possible sur iOS.

avatar Godverdomme | 

Cela n'a rien à voir avec des failles...

avatar stefhan | 

@raoolito

+1

avatar Adodane | 

@raoolito

Pourquoi ? iOS a aussi des failles semblables ?

avatar raoolito | 

@Adodane

l'ouverture du sideloading permettra d'exploiter plus efficacement des failles. Et oui iOs a des failles, comme tout OS, son verouillage protege des malwares les moins evolués, meme si il y a des trous. Quand aux produits conçus par les sociétés d'espionnage, rien ne leur resiste à elles.

avatar Adodane | 

@raoolito

C'est nul iOS alors.
Complètement buggé !!

avatar SyMich | 

Sauf que la validation de l'AppStore ne détecte pas l'utilisation de failles qui ne sont pas encore connues d'Apple. Donc un développeur qui utilise une faille peut le faire tout aussi facilement via l'AppStore qu'en sideloading (c'est même plus efficace via l'AppStore car la confiance absolue des utilisateurs pour tout ce qu'ils téléchargent sur le store, fait qu'ils ne se méfient pas)

avatar cecile_aelita | 

@raoolito

Quoi qu’il en soit je continuerai à ne télécharger QUE sur l’app store 🙂. Donc autant qu’ils le mettent leur side loading si ça peut faire plaisir aux geeks, mais moi ça ne va pas changer grand chose à mon quotidien 🙂.

avatar raoolito | 

@cecile_aelita

je suis... d'accord 😳
..
désolé...

avatar cecile_aelita | 

@raoolito

Tu aurais au moins pu dire un truc du genre :
« Je ne suis pas d’accord, je ferai comme toi et téléchargerai que sur l’App store » 😅

avatar sebas_ | 

@cecile_aelita

Si tant que tes app favorites y soient présentes.. que vas tu faire si Microsoft ou Adobe (au pif) décident que c’est plus rentable de se passer de l’Apple store et de la comm de 30% prélevée par la pomme? Ou que des dernières évolutions de iOS bloquent certaines fonctionnalités de certaines app et qu’il est préférable de ne plus distribuer sur l’app store?
En théorie je suis d’accord avec vous, mais pour avoir MacOS à côté, la plupart de mes programmes sur le Mac viennent du net, que ça soit pour des histoires de libertés, de prix, de contrôle de la data…

avatar SyMich | 

Et votre Mac est affreusement infesté de toutes sortes de cochonneries, j'imagine.... non?
Pourquoi en serait-il autrement de votre iPhone demain, alors?

C'est l'OS et votre propre vigilance, les meilleurs remparts contre les malwares, pas le contrôle succinct (largement automatisé) effectué par Apple.

avatar raoolito | 

@sebas_

ben une app adobe depuis le site d'adobe, ou pareil avec microsoft, je serais moins inquiet. Par contre ca prouve bien que le sideloading c'est d'abord pour les gros editeurs qui peuvent attirer du monde. Les stores "alternatifs" seront connues pour proposer des apps refusées sur l'app store. Les 30% de la premiere année ne sont pas grand chose comparé à tout le travail de se faire connaitre , gerer la diffusion e tle paiement de ses apps. (qui a deja mis un systeme de paiement international en marche ici ? Et quid des conversions de monnaie où le s30% d'apple peuvent paraitre ridicules? Sans meme parler du plaisir de votre banque de vous ajouter des frais lorsque vous recevez des monnaies autres que locales)

avatar cecile_aelita | 

@sebas_

« tant que tes app favorites y soient présentes.. que vas tu faire si Microsoft ou Adobe (au pif) décident que c’est plus rentable de se passer de l’Apple store »

Bonjour sebas 🙂.
J’ai tendance à croire que la nature a peur du vide 🙂.
Si les adobe et autres fuient l’app store, il y en aura qui seront ravi de prendre leur place 🙂. Je prendrais ceux là du coup 🙂.
Un peu comme Photoshop qui a été absent de l’app store pendant des années et qui a permis a l’excellent pixelmator de briller sur l’app store du coup 🙂.

avatar iPop | 

@cecile_aelita

Idem ! 🥳

avatar cecile_aelita | 

@iPop

🙂😉

avatar Yves SG | 

Ça s’appelle un pansement sur une jambe de bois.
Ou les joies d’une soit disant « ouverture » apportant une illusion de « liberté »
Imaginez un constructeur automobile qui laisserai le choix de l’installateur des ceintures de sécurité et des airbags sans aucune validation de sa part ni de qui que ce soit d’autre.
Il aurait beau crier sur les toits qu’il est, lui, un constructeur de véhicules « ouvert » a contrario des autres marques qui ne vous laisse même pas le choix de qui installe les composants sur votre voiture, personne ne le prendrait au sérieux et tout le monde en serait même effrayé.

En informatique cependant, pour une raison étrange même des personnes qui n’y connaissent rien à rien en arrivent à répéter bêtement ce qu’ils ont entendu dire par quelqu’un : « Android, c’est ouvert alors que iOS, c’est fermé » 🤷‍♂️

avatar Sanid35 | 

@Yves SG

Ouai enfin je roule pas a 130km/h avec mon téléphone…
Ça ne pose pas de pb sur PC. Personne je crois s’en offusque.

Après perso je pense pas avoir besoin d’aller autre part que sur l’app store je prefere un peu plus de sécurité en restant dans l’environnement un tant soit peu controlé.
Mais je peux comprendre la frustration de certains.

avatar Yves SG | 

@Sanid35

Oui, la frustration des 0,0001% de geeks qui inondent les commentaires de leur frustration. Dans l’automobile ça s’appelle le tuning 🚙🏎🛻

Sauf que jusqu’à preuve du contraire les adeptes du tuning comprennent bien que monsieur tout le monde considère les voitures comme un simple outils et n’essayent pas de « convertir » qui que ce soit à leur manière très personnelle de voir et de penser la voiture 😊

avatar Sanid35 | 

@Yves SG

Les adeptes du tuning peuvent le faire et qui vous obligerait à utiliser autre chose que l’app store ?

Personne ne vous impose le sideloading…

avatar cecile_aelita | 

@Yves SG

« Oui, la frustration des 0,0001% de geeks qui inondent les commentaires de leur frustration. »

En allant au bout de ton commentaire (dont je suis bien d’accord 🙂), tu aurais pu dire :

Oui, la frustration des 0,0001% de geeks qui inondent les commentaires de leur frustration et qui semble surpris qu’Apple préfèrent considérer les besoins de la majorité de sa clientèle plutôt que d’eux🙂.

Le pire avec cette minorité que tu cites🙂, c’est que en plus ils sont extrêmement intolérants … un produit qui ne leur ait pas destiné est un produit qui ne devrait meme pas exister … (il suffit de lire les articles sur l’iPhone SE, l’iPhone XR, etc …) 🙂.

avatar Yves SG | 

@cecile_aelita

« un produit qui ne leur ait pas destiné est un produit qui ne devrait meme pas exister … »
Effectivement. Et ces produits sont même à leur yeux le signe qu’Apple est « à la rue » et va bientôt fermer boutique tellement ils sont mauvais 😂🤷‍♂️😂

avatar Mrleblanc101 | 

@Sanid35

Un téléphone peux faire bien plus de dommages qu'une voiture...

avatar Sanid35 | 

@Mrleblanc101

Chaque année dans le monde, on compte 1,35 million de décès sur les routes pour 20 à 50 millions de blessés, soit 1 mort toutes les 21 secondes environ.

Ok

avatar Godverdomme | 

Waouh... Je ne m'attendais pas à un tel niveau de commentaire MrLeBlanc 😂

avatar Godverdomme | 

Quelle comparaison calamiteuse...

avatar lmouillart | 

Aucun rapport.
Dans votre comparaison ce serait plus imaginez un constructeur qui laisse mettre n'importe quelles jantes, pneus, galeries, porte-vélo, autoradio, par soleil, parfum d’ambiance, siège bébé ... venant en plus de n'importe quel revendeur...

Effectivement on voit vite l'aspect totalement délirant et monopolistique de l'approche d'Apple.

avatar octopoulpe | 

Bientôt sur iOS... Quelle tristesse

avatar cecile_aelita | 

Avec un peu de recul est ce que ce side loading ne pourrait pas être bénéfique à Apple?🙂
Ils ouvrent les vannes … les virus commencent à foisonner sur les iPhones et Apple peut clamer haut et fort: « vous voyez … on vous l’avait bien dit… aller hop… maintenant on arrête vos bêtises et on reverouille tout ! » et au moins ils auront une vraie légitimité et un antécédent pour le justifier 🙂.

avatar Sanid35 | 

@cecile_aelita

Ils seront accusés d’avoir eux même innondé les stores alternatifs d’apps vérolées 😅

avatar cecile_aelita | 

@Sanid35

Et si ils arrivent à empêcher les virus, on leur reprochera en disant « vous voyez … on avait raison… c’était de votre faute si vous n’avez pas fait de stores alternatifs »!😅
Conclusion quelque soit le scénario, ça sera Apple le méchant 😅! A leur place, effectivement du coup je privilégierais ce qui me rapporte le plus d’argent vu que quoi qu’ils fassent ça n’ira pas 😅

avatar SyMich | 

Personnellement je pense qu'Apple aurait comme effet bénéfique en autorisant le sideloading, qu'ils pourraient être beaucoup plus regardant sur les apps qu'ils accueillent sur l'AppStore. Aujourd'hui, l'AppStore étant le seul moyen de diffuser des apps iOS, ils sont peu ou prou obligés d'accepter tout et n'importe quoi (dès lors que les règles de l'AppStore sont respectées).
Demain si l'AppStore n'est qu'un store parmi d'autres, ils pourraient réellement choisir les apps qu'ils distribuent en garantissant à leurs clients des apps testées et approuvées pour leur qualité. Il y aurait beaucoup moins d'apps, mais on serait assuré de n'y trouver que les meilleures apps de leur catégorie.
Bon je suis peut-être utopiste, mais je trouve que ce serait un positionnement "qualité" qui serait raccord avec tout ce que propose Apple sur le matériel (Mac, iPhones, iPads...)

CONNEXION UTILISATEUR