Avec son prochain Android 13, Google va s'efforcer de compliquer la vie des apps téléchargées en dehors des boutiques reconnues et qui exploitent les services d'accessibilité du système pour exécuter un malware.

En parallèle aux API d'accessibilité fournies par Android, les développeurs d'apps peuvent créer leurs propres fonctions en activant un service d'accessibilité spécifique. Par ce biais, leur app dispose d'un large accès aux fonctions du système, mais cette liberté d'action peut être dévoyée. Et comme le rappelle Esper — un développeur de solutions d'entreprise pour Android — cette opportunité a été plusieurs fois exploitée par des malwares.

Des apps pouvaient par exemple prendre connaissance de ce qui était affiché sur l'écran — cela fait partie d'une fonction d'accessibilité pour les personnes malvoyantes — et remplacer ce contenu par un faux parfaitement imité. Si l'utilisateur lançait une app de banque, le malware affichait par-dessus un écran de saisie d'identifiants parfaitement crédible.

L'éventail des possibles est assez riche puisque de tels services peuvent également simuler des touchers d'écran de l'utilisateur et d'une certaine manière se faire passer pour lui auprès des apps.

Depuis 5 ans, Google a opéré plusieurs changements pour entraver ces abus. D'abord avec des résultats mitigés lorsqu'il a menacé les développeurs de retirer leurs apps du Play Store s'ils utilisaient ces services pour d'autres fonctions que l'aide à l'accessibilité. Il arrivait toutefois que ce soit fait pour des raisons tout à fait légitimes. Google a donc préféré reculer et conseiller aux éditeurs de privilégier autant que faire se peut les API disponibles.

Depuis 2021, Google a revu sa copie et impose aux développeurs qui ont des besoins spécifiques pour l'utilisation de tels services d'être agréés par Google Play et d'informer en long et en large l'utilisateur qui décidera d'accorder un droit d'activation.

Depuis Android 12, une alerte est affichée à l'utilisateur 24h après qu'une app a été installée depuis une boutique suspecte. Et a fortiori si cette app n'a pas été déclarée par son auteur comme utilisant ce service à des fins exclusivement d'accessibilité.

Android 13 va serrer la vis en bloquant par défaut l'exécution du service d'accessibilité pour les apps qui n'ont pas été téléchargées depuis des stores reconnus par Google (autres que Google Play ou bien encore F-Droid de la Free Software Foundation Europe). L'objectif n'est pas de couper la chique à toutes les apps qui utilisent les services d'accessibilité et qui ont été "sideloadées", mais de faire le tri entre celles qui proviennent de boutiques ayant pignon sur rue et celles plus sujettes à caution.

Google tient sa conférence de développeurs ces mercredi et jeudi 11 et 12 mai. Il lèvera le voile sur l'essentiel des nouveautés d'Android 13 encore inconnues et celles liées au renfort des mesures de sécurité.