Tech

Android 15 sévit encore plus contre les applications téléchargées latéralement pour protéger les utilisateurs

Une photo d'un Pixel 7 Pro avec la boîte de dialogue des paramètres restreints affichée

Mishaal Rahman / Autorité Android

TL;DR

  • Android 15 comporte de nouvelles restrictions sur les autorisations qui peuvent être facilement accordées aux applications téléchargées.
  • Les applications téléchargées latéralement ne peuvent plus facilement obtenir l’autorisation de dessiner sur l’écran, d’obtenir des statistiques d’utilisation, d’agir en tant qu’administrateur d’appareil, etc.
  • Il s’agit d’une extension de la fonctionnalité de paramètres restreints introduite dans Android 13, qui peut toujours être désactivée manuellement pour chaque application dans Android 15.

Pour les utilisateurs expérimentés, il ne fait aucun doute que la possibilité d’installer des applications en dehors du Google Play Store, c’est-à-dire le sideloading, est l’un des plus grands avantages d’Android par rapport à iOS. Le sideloading donne aux utilisateurs la liberté d’installer n’importe quelle application de leur choix, même si elle n’est pas approuvée par Google ou, plus important encore, par les autorités. Comme il est plus facile de distribuer des applications directement aux utilisateurs que de les publier sur des magasins d’applications comme Google Play, de nombreux pirates informatiques s’appuient sur le sideloading pour infecter les appareils des utilisateurs avec des logiciels malveillants. Pour lutter contre cela, Google introduit de nouvelles restrictions dans Android 15 qui rendent plus difficile pour les applications sideloadées d’obtenir des autorisations sensibles.

Avant d’aller plus loin, je dois aborder les intentions de Google avec ce changement. Google restreint-il les autorisations que les applications téléchargées peuvent obtenir parce qu’il souhaite réellement protéger les utilisateurs, ou le fait-il pour inciter les gens à rester sur le Google Play Store ? Étant donné les nombreux procès et batailles juridiques auxquels Google a été confronté ces dernières années, il est facile d’être sceptique quant aux bonnes intentions de Google avec ce changement. Cependant, il est important de prendre en compte deux faits.

Premièrement, le sideloading est un vecteur courant de malware en raison de la barrière d’entrée plus faible pour la distribution. Deuxièmement, ces restrictions ne s’appliquent pas aux magasins d’applications tiers pour Android qui utilisent l’API spécialement conçue du système d’exploitation pour l’installation d’applications. En fait, les restrictions d’Android 15 sur les applications sideloadées ne sont qu’une extension d’un changement de sécurité introduit dans une version précédente, un changement qui n’a pas eu d’impact matériel sur les magasins d’applications tiers et peut toujours être désactivé manuellement par l’utilisateur.

Le changement auquel je fais référence s’appelle « paramètres restreints », une fonctionnalité introduite dans Android 13 qui rend plus difficile pour les applications téléchargées d’obtenir certaines autorisations sensibles.

Pour les besoins de la fonctionnalité de paramètres restreints, Android considère que les applications sont « téléchargées de manière indépendante » si elles ont été installées à partir d’une application qui n’utilise pas l’API d’installation spécialement conçue pour les magasins d’applications. En règle générale, cela inclut les installations à partir d’applications telles que des navigateurs Web, des applications de messagerie ou des gestionnaires de fichiers. Si cela se produit, l’application téléchargée de manière indépendante se voit refuser l’accès aux autorisations qui autorisent l’utilisation des API d’accessibilité et d’écoute des notifications d’Android, qui sont deux des API les plus puissantes proposées par la plateforme.

Ces deux API sont souvent utilisées à mauvais escient par des applications malveillantes cherchant à contrôler l’appareil de l’utilisateur ou à voler des informations sensibles. C’est pourquoi Google a cherché à empêcher les applications téléchargées de les utiliser.

Toutefois, les applications installées à l’aide de l’API d’installation basée sur la session ne sont pas empêchées de demander des autorisations pour utiliser les API d’accessibilité ou d’écoute de notifications. En effet, l’API d’installation basée sur la session est généralement utilisée par les boutiques d’applications tierces. Google a conçu ces restrictions pour ne pas gêner les boutiques d’applications tierces, et elles ont également été conçues pour que les utilisateurs qui savent ce qu’ils font puissent toujours les contourner.

Les autorisations d’utilisation des API d’accessibilité et d’écoute des notifications ne sont cependant pas les seules autorisations sensibles qu’Android a à offrir. L’autorisation d’exécution SMS permet aux applications de lire l’intégralité de la base de données SMS de l’utilisateur. L’autorisation d’administrateur de l’appareil permet aux applications de verrouiller ou d’effacer l’appareil à volonté. L’autorisation de superposition permet aux applications de s’appuyer sur d’autres applications. L’autorisation d’accès à l’utilisation permet aux applications de suivre les applications que vous utilisez et la fréquence à laquelle vous les utilisez. Ces autorisations sont toutes incroyablement puissantes, c’est pourquoi l’utilisateur doit les accorder manuellement aux applications.

Cependant, à partir d’Android 15, ces autorisations ne peuvent pas être facilement accordées aux applications téléchargées. Google étend la fonctionnalité des paramètres restreints pour couvrir toutes les autorisations que je viens de mentionner ainsi que les rôles par défaut du numéroteur et des SMS. Google a fait allusion à cette extension dans un article de blog en mai, mais ce n’est que récemment qu’ils ont partagé l’intégralité des restrictions lorsqu’ils ont publié le document de définition de compatibilité Android 15 (CDD) la semaine dernière.

Mode de confirmation amélioré d'Android 15

Mishaal Rahman / Autorité Android

La section sur les paramètres restreints dans le CDD Android 15 est assez longmais en bref, Google exige que les autorisations et les rôles suivants aient la fonctionnalité « paramètres restreints » appliquée :

  • Autorisations spéciales
    • Accessibilité
    • Écouteur de notifications
    • Administrateur de l’appareil
    • Afficher sur d’autres applications
    • Accès à l’utilisation
  • Rôles (applications par défaut)
  • Autorisations d’exécution

La fonctionnalité de paramètres restreints doit être appliquée lorsqu’une application est installée « après avoir été téléchargée via une application… autre qu’une application « App Store » identifiée par PackageManager comme PACKAGE_DOWNLOADED_FILE » ou lorsque l’application est installée  » à partir d’un fichier local… identifié par PackageManager comme PACKAGE_SOURCE_LOCAL_FILE.”

La directive CDD impose que tous les appareils fonctionnant sous Android 15 activent les paramètres restreints par défaut, mais elle recommande fortement aux fabricants d’équipement d’origine de ne pas fournir d’option permettant de désactiver les paramètres restreints pour toutes les applications. Elle stipule cependant que les fabricants d’équipement d’origine doivent fournir un mécanisme permettant aux utilisateurs d’activer un paramètre restreint via la page d’informations de l’application, ce qui est déjà le cas depuis Android 13.

Android 15 autorise l'option de paramètres restreints

Mishaal Rahman / Autorité Android

Bien que la liste ci-dessus représente les autorisations et les rôles auxquels Google exige que les paramètres restreints s’appliquent dans Android 15, la porte est laissée ouverte pour que les restrictions s’appliquent à davantage d’autorisations à l’avenir. En fait, Google veut que les OEM utilisent le EnhancedConfirmationManager API permettant de déterminer de manière dynamique si d’autres autorisations spéciales doivent être restreintes. Nous avons déjà parlé de la fonctionnalité de mode de confirmation améliorée d’Android 15, mais il semble que Google ne l’ait pas encore déployée.

Il est probable que Google continue d’étendre les paramètres restreints dans les futures versions d’Android, même si nous ne savons pas quelles autorisations supplémentaires la fonctionnalité couvrira lorsqu’elle le fera.

Vous avez un conseil ? Parlez-en avec nous ! Envoyez un e-mail à notre équipe à [email protected]. Vous pouvez rester anonyme ou obtenir le crédit pour l’information, c’est votre choix.

Source link