La flexibilité a toujours été l’un des principaux avantages d’Android. L’« API AccessibilityService » joue un rôle crucial dans bon nombre de nos outils utilisateur avancés préférés. Les applications qui servent à émuler Dynamic Island ou à automatiser des tâches complexes sont des exemples qui y ont recours. Cependant, une nouvelle mise à jour du mode de protection avancée d’Android suggère que Google est prêt à resserrer la laisse, en ciblant principalement les applications de personnalisation et d’automatisation, au nom d’une sécurité à enjeux élevés.
Le problème des autorisations d’accessibilité
Google utilisait à l’origine l’API AccessibilityService pour aider les utilisateurs handicapés en permettant aux applications de lire le contenu de l’écran et d’effectuer des gestes. Cependant, de nombreux développeurs d’applications de personnalisation et d’automatisation, comme Tasker, MacroDroid ou DynamicSpot, ont commencé à utiliser l’API pour contourner les limitations du système. Après tout, ses pouvoirs étendus leur permettaient d’offrir des fonctionnalités uniques.
Le problème, c’est que ce qu’une application de personnalisation utilise pour une fonctionnalité intéressante, une application malveillante peut l’utiliser pour une attaque dévastatrice. Les chercheurs en sécurité avertissent depuis longtemps que les chevaux de Troie bancaires et les logiciels espions abusent souvent de ces mêmes autorisations pour voler des codes à usage unique ou enregistrer des données sensibles. Pour les personnes à haut risque, comme les journalistes ou les représentants du gouvernement, laisser cette porte ouverte est un risque que Google n’est plus disposé à prendre.
La protection avancée d’Android pour restreindre les autorisations pour les applications de personnalisation et d’automatisation
Comme Android Authority l’a repéré dans une récente version d’Android « Canary », le mode de protection avancée mis à jour identifie désormais automatiquement quelles applications sont de véritables outils d’accessibilité et lesquelles ne le sont pas. Pour ce faire, il recherche une balise spécifique (isAccessibilityTool) dans le code de l’application.
Si vous activez le mode de protection avancée, le système devient sans compromis. Non seulement cela vous empêchera d’accorder des autorisations d’accessibilité à des applications non essentielles, mais cela révoquera également automatiquement les autorisations des applications que vous avez déjà installées. En pratique, cela signifie que vos flux de travail d’automatisation préférés ou vos superpositions personnalisées cesseront tout simplement de fonctionner dès que vous donnerez la priorité à une sécurité maximale.
Un compromis nécessaire ?
Cette décision traite effectivement les applications de personnalisation non assistées comme « incompatibles » avec un environnement véritablement sécurisé. Il s’agit d’un dilemme classique « sécurité contre commodité ». Pour l’utilisateur moyen, cette restriction peut sembler excessive. Cependant, pour ceux qui utilisent le mode de protection avancée, l’objectif est d’éliminer tout point d’entrée possible pour un pirate informatique.
Il est à noter que les applications conçues pour la lecture d’écran ou les déficiences motrices ne sont pas affectées. Pourtant, la « zone grise » de l’automatisation est en train d’être repoussée hors du cercle de la haute sécurité. Google n’a pas officiellement annoncé quand cela atteindra tous les utilisateurs, mais avec Android 17 à l’horizon.
