Google vient de lancer une véritable bombe pour les développeurs d'applications avec la dernière version de son système d'exploitation Android . L'entreprise peut désormais empêcher l'installation d'applications si celles-ci tentent d'utiliser les fonctionnalités d'accessibilité du système.
Cette nouvelle fonctionnalité, disponible dans la version 17.2 Android, est entièrement axée sur la sécurité, explique l'entreprise. Elle empêche certains types d'applications d'utiliser le service d'accessibilité lorsque le mode Advanced (APM) est activé.
L'API d'accessibilité permet aux développeurs d'applications d'aider les utilisateurs en situation de handicap qui ont besoin d'une assistance supplémentaire pour utiliser leur téléphone. Les applications peuvent utiliser cette API pour accéder à l'écran de différentes manières, gérer les saisies à la place de l'utilisateur et utiliser des services vocaux, par exemple.
Malheureusement, comme c'est souvent le cas avec les outils les plus utiles, il y a toujours quelqu'un pour trouver le moyen d'en abuser et de gâcher le plaisir de tout le monde. Les développeurs de logiciels malveillants utilisent cette API depuis des années pour accéder à votre compte bancaire. Le service d'accessibilité est extrêmement puissant : toute application disposant des autorisations nécessaires peut lire ce qui s'affiche sur votre écran.
De nombreux chevaux de Troie Android ne sont guère plus que des enveloppes d'API d'accessibilité créées à des fins criminelles. Ils volent les codes d'authentification à deux facteurs, usurpent l'identité des victimes et vident leurs comptes pendant que celles-ci dorment.
Deux techniques prédominent. La première consiste à créer de fausses superpositions. L'API d'accessibilité permet d'afficher des superpositions par-dessus l'écran d'une autre application. Les développeurs de chevaux de Troie bancaires et liés aux cryptomonnaies peuvent s'en servir pour enregistrer vos frappes (vous pensez simplement vous connecter à votre application bancaire, mais le logiciel malveillant recueille tout ce que vous tapez).
Le deuxième risque concerne l'utilisation abusive des autorisations. Une fois que le cheval de Troie a mis la main sur vos mots de passe, il peut autoriser ses propres transactions.
Le nombre de frameworks de logiciels malveillants exploitant l'API d'accessibilité a augmenté. DroidLock s'en sert pour voler vos données personnelles avant d'exiger une rançon. Albiriox s'en sert pour s'installer et permettre à des pirates informatiques situés à l'autre bout du monde de prendre le contrôle à distance de votre appareil.
Nous avons constaté ces deux cas en décembre, et le mois dernier encore, Stefan Dasic, Malwarebytes , a repéré un logiciel malveillant exploitant les services d'accessibilité et se faisant passer pour une fausse page de sécurité de Google.
La solution de la dernière chance de Google
Google a déjà tenté par le passé de lutter contre l'utilisation abusive de l'API. En 2017, l'entreprise avait averti les développeurs qu'ils devaient justifier leur utilisation des fonctionnalités d'accessibilité, sous peine de voir leurs applications retirées du Play Store. Les développeurs se sont insurgés, et Google a fait marche arrière. Mais en novembre 2021, l'entreprise a recommencé à exiger des formulaires d'autorisation pour l'utilisation de l'API d'accessibilité dans les applications Android .
Désormais, l'entreprise durcit encore davantage le ton en appliquant des règles plus strictes concernant l'API d'accessibilité. Les applications ne peuvent plus activer librement les services d'accessibilité à l'aide d'un simple indicateur logiciel. Désormais, seules les applications dont l'objectif principal est l'accessibilité seront autorisées à l'utiliser.
Parmi les exemples cités par Google, on trouve les lecteurs d'écran, les dispositifs à commutateurs, les commandes vocales et les afficheurs braille. Avec ces nouvelles règles, les gestionnaires de mots de passe ou les applications d'automatisation n'ont plus accès à l'API d'accessibilité.
Du moins, pas si l'utilisateur a activé l'APM.
Lancé en mai de l'année dernière, APM est la version proposée par Google du mode « Lockdown » d'Apple. Il met en place des contrôles de sécurité bien plus stricts pour les utilisateurs qui l'activent, rendant ainsi plus difficile l'exploitation de leur appareil par des logiciels malveillants.
En contrepartie de cette sécurité renforcée, les fonctionnalités sont plus limitées. Par exemple, seules les applications provenant de sources fiables peuvent être installées, et le transfert de données via USB est restreint. L'accès à l'API d'accessibilité est désormais également restreint.
Désormais, vous pouvez être soit un gestionnaire de mots de passe, soit un outil d'accessibilité, mais pas les deux à la fois. Les développeurs qui s'appuient sur l'accessibilité pour proposer des fonctionnalités pratiques devront trouver une autre solution.
Google reconnaît ainsi que certaines API sont trop dangereuses pour rester accessibles, même si cela nuit à certaines applications légitimes. L'entreprise parie que la plupart des utilisateurs préfèrent éviter de se faire voler plutôt que de voir leur gestionnaire de mots de passe utiliser l'API d'accessibilité pour plus de commodité.
Comme toujours, les auteurs de logiciels malveillants s'adapteront. Mais pour l'instant, Google vient de rendre les téléphones sur lesquels l'APM est activé beaucoup plus difficiles à pirater.
Nous ne nous contentons pas d'informer sur la sécurité des téléphones, nous la fournissons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éloignez les menaces de vos appareils mobiles en téléchargeant dès aujourd'hui Malwarebytes pour iOS et Malwarebytes pour Android.
