Dans sa lutte continue contre les mawlares, Google a dévoilé une amélioration avec Android 16. Le système d'exploitation intégrera un outil permettant aux développeurs de protéger plus efficacement les informations confidentielles affichées dans leurs applications.
Comment les malwares exploitent-ils les fonctions d'accessibilité ?
Certains acteurs malveillants abusent des API d'accessibilité. Ces outils, conçus pour aider les utilisateurs en situation de handicap, peuvent être détournés pour lire des informations sensibles directement depuis l'écran et manipuler les appareils en injectant de fausses touches
La technique, dite de tapjacking, représente une menace sérieuse pour la sécurité des données personnelles.
Quelle solution avec Android 16 ?
Pour contrer la menace, Android 16 introduit une défense en une seule ligne de code : le flag accessibilityDataSensitive. En l'activant, un développeur peut marquer une vue spécifique de son application comme contenant des données sensibles.
Toute application demandant une permission d'accessibilité, mais qui n'est pas explicitement déclarée en tant qu'outil légitime se verra refuser l'accès à cette vue.
De fait, une telle barrière empêche les malwares d'espionner ou d'interagir avec les champs de connexion ou les écrans de paiement, renforçant ainsi la sécurité des applications.
Comment les développeurs peuvent-ils intégrer la protection ?
Les développeurs peuvent ajouter l'attribut android:accessibilityDataSensitive="true" dans leurs fichiers de layout XML ou l'activer par programmation. La nouvelle fonctionnalité est aussi automatiquement intégrée à la méthode existante setFilterTouchesWhenObscured.
Les applications qui l'utilisent déjà pour se prémunir du tapjacking bénéficieront alors d'une couche de défense supplémentaire, sans aucune modification de leur code.
