Google durcit le ton avec Android 17. La prochaine version de l’OS mobile va emp\u00eacher les applications non certifi\u00e9es d’acc\u00e9der aux services d’accessibilit\u00e9, une API tr\u00e8s puissante et r\u00e9guli\u00e8rement d\u00e9tourn\u00e9e par les malwares pour espionner les utilisateurs et vider des comptes bancaires.<\/p>\n
La nouveaut\u00e9 est apparue dans la Beta 2 d’Android 17, rep\u00e9r\u00e9e la semaine derni\u00e8re. Quand le mode Advanced Protection est activ\u00e9, le syst\u00e8me bloque automatiquement l’acc\u00e8s \u00e0 l’API AccessibilityService pour toutes les apps qui ne sont pas de vrais outils d’accessibilit\u00e9.<\/p>\n
Seules les applications qui portent le marqueur technique isAccessibilityTool restent autoris\u00e9es : lecteurs d’\u00e9cran, outils de saisie vocale, syst\u00e8mes d’entr\u00e9e par contacteur et applications braille.<\/p>\n
Les autres, et la liste est longue, sont mises de c\u00f4t\u00e9 : antivirus, outils d’automatisation, assistants, nettoyeurs syst\u00e8me, gestionnaires de mots de passe et lanceurs alternatifs.<\/p>\n
Et si une de ces apps avait d\u00e9j\u00e0 l’autorisation, Android 17 la r\u00e9voque automatiquement au moment o\u00f9 le mode Advanced Protection est activ\u00e9. L’utilisateur ne peut pas non plus forcer l’acc\u00e8s manuellement tant que la protection est active.<\/p>\n
L’API AccessibilityService est l’une des plus sensibles d’Android. Elle permet de lire le contenu de l’\u00e9cran, d’intercepter les frappes clavier, de cliquer sur des boutons \u00e0 la place de l’utilisateur et d’accorder des autorisations sans que personne ne s’en rende compte.<\/p>\n
Les malwares bancaires l’exploitent depuis des ann\u00e9es pour voler des identifiants et vider des comptes. Google a longtemps ferm\u00e9 les yeux sur le probl\u00e8me, ou en tout cas laiss\u00e9 la porte grande ouverte. Avec ce mode, c’est un peu le retour \u00e0 la raison.<\/p>\n
Le mode Advanced Protection, lanc\u00e9 avec Android 16, regroupe aussi d’autres verrous : blocage du sideloading (l’installation d’apps en dehors du Play Store), restriction des transferts de donn\u00e9es par USB et scan obligatoire via Google Play Protect.<\/p>\n
Android 17 ajoute donc cette brique suppl\u00e9mentaire sur l’accessibilit\u00e9. C\u00f4t\u00e9 d\u00e9veloppeurs, Google met \u00e0 disposition une API AdvancedProtectionManager qui permet aux apps de d\u00e9tecter si le mode est actif et d’adapter leur comportement en cons\u00e9quence.<\/p>\n
On ne va pas se mentir, quand on utilise un iPhone, ce genre de probl\u00e8me ne se pose pas vraiment puisque iOS a toujours \u00e9t\u00e9 bien plus restrictif sur ce que les apps peuvent faire en arri\u00e8re-plan. Mais pour les utilisateurs Android, c’est une avanc\u00e9e qui \u00e9tait attendue depuis un moment. Le revers de la m\u00e9daille, c’est que des apps tout \u00e0 fait l\u00e9gitimes vont se retrouver bloqu\u00e9es.<\/p>\n
Un \u00e9mulateur de Dynamic Island comme dynamicSpot ne fonctionne plus avec le mode activ\u00e9, et c’est le genre de petite frustration qui risque de pousser pas mal de monde \u00e0 d\u00e9sactiver la protection. On esp\u00e8re que Google trouvera un juste milieu entre la s\u00e9curit\u00e9 et la flexibilit\u00e9 qui fait la force d’Android, en tout cas pour le moment ce n’est pas encore tout \u00e0 fait \u00e7a.<\/p>\n