Android 15 peut rendre encore plus difficile l’obtention d’autorisations sensibles pour les applications téléchargées

TL;DR

• Android 15 pourrait introduire un nouveau mode de confirmation amélioré qui rend plus difficile pour les applications malveillantes d’exploiter une faille du système d’exploitation.
• Android empêche les utilisateurs d'activer facilement les services d'accessibilité ou d'écoute de notification des applications téléchargées depuis l'extérieur d'une boutique d'applications.
• Cependant, la méthode utilisée par Android pour cela comporte une faille qu’Android 15 comblera.

Bien que la plupart des utilisateurs d'Android téléchargent des applications à partir de magasins d'applications préchargés comme Google Play, certains utilisateurs obtiennent leurs applications à partir de sources en ligne alternatives, une pratique appelée chargement latéral. Cela est possible car Android permet aux utilisateurs d'installer des applications tierces sans le Google Play Store, à condition qu'ils mettent la main sur les fichiers d'installation d'applications nécessaires. La possibilité de télécharger librement des applications est une grande partie de ce qui fait d’Android une plate-forme plus ouverte qu’iOS. Malheureusement, c'est aussi la raison pour laquelle les gens croient à tort qu'Android est moins sécurisé qu'iOS.

En effet, quel que soit l'endroit d'où vous achetez vos applications, les fonctionnalités de confidentialité et de sécurité intégrées d'Android garantissent qu'elles ne peuvent pas accéder aux autorisations sensibles sans votre consentement. Cependant, il est vrai que le chargement latéral d'applications à partir de sources en ligne alternatives comporte un peu plus de risques pour l'utilisateur moyen que de s'en tenir à Google Play. En effet, il est tout simplement plus facile pour les développeurs malveillants de distribuer des applications en dehors de Google Play, car ils n'ont pas besoin de faire face aux réglementations, à la bureaucratie et au contrôle qu'implique la distribution d'applications sur Google Play.

Les applications Android malveillantes, quelle que soit leur origine, tentent généralement d'inciter les utilisateurs à leur accorder l'accès aux API d'accessibilité et d'écoute de notification en raison de leur puissance. L'API d'accessibilité permet aux applications de lire le contenu de l'écran et également d'effectuer des saisies au nom de l'utilisateur, tandis que l'API Notification Listener permet aux applications de lire ou d'agir sur n'importe quelle notification. Ces API peuvent être utilisées pour commettre de la fraude publicitaire, voler des mots de passe à usage unique (OTP), installer des charges utiles supplémentaires et bien plus encore.

Alors que Google Play dispose de certaines mesures (principalement bureaucratiques) pour garantir que ces API sont utilisées aux fins prévues, Android lui-même s'appuie principalement sur les propres déclarations de l'application pour décider du niveau d'accès à accorder. Par exemple, à partir d’Android 13, le système d’exploitation empêche les utilisateurs d’activer facilement les services d’accessibilité ou d’écoute de notification des applications téléchargées depuis l’extérieur d’une boutique d’applications. Si vous deviez, par exemple, télécharger une application qui vous a été envoyée par courrier électronique, Android vous empêcherait d'activer le service d'accessibilité ou d'écoute de notification de cette application, car ils sont marqués comme « paramètres restreints ».

Comment le système d’exploitation sait-il quand des applications sont téléchargées depuis l’extérieur d’une boutique d’applications ? Il détermine cela selon que l'application qui a effectué l'installation a utilisé ou non les API d'installation basées sur la session d'Android (qui sont couramment utilisées, mais non exclusivement, par les magasins d'applications) ou les API d'installation non basées sur la session d'Android (qui sont couramment utilisées par les gestionnaires de fichiers). , navigateurs Web et autres applications prenant en charge le téléchargement de fichiers génériques). Le problème avec cette approche est que n'importe quelle application peut utiliser les API d'installation basées sur la session d'Android pour charger une autre application, ce qui signifie qu'il n'y a aucune garantie qu'un magasin d'applications tiers légitime est réellement celui qui effectue le chargement latéral. Les développeurs d'applications malveillantes ont malheureusement reconnu cette faille dans la fonctionnalité Paramètres restreints d'Android et l'ont déjà exploitée pour contourner cette fonctionnalité de sécurité.

Heureusement, Google s'efforce de combler cette faille évidente dans la fonctionnalité Paramètres restreints d'Android. Dans Android 15, la société se prépare à introduire une nouvelle fonctionnalité « Mode de confirmation amélioré » qui est essentiellement une version plus stricte et plus optimisée des paramètres restreints. Bien que la fonctionnalité Mode de confirmation amélioré ne soit pas encore activée dans la dernière mise à jour d'Android 15 Beta 1.1, j'ai analysé le code et expliqué comment il fonctionnera en détail.

Pour commencer, le libellé de la boîte de dialogue Mode de confirmation amélioré correspond étroitement à la boîte de dialogue Paramètres restreints existante. Tout comme pour les paramètres restreints, la boîte de dialogue ECM indiquera « pour votre sécurité, ce paramètre est actuellement indisponible » lorsque vous essayez d'activer le service d'accessibilité ou d'écoute de notification d'une application. Cependant, la boîte de dialogue développera un peu le raisonnement en ajoutant que « cette application a demandé l'autorisation %1$s, ce qui est un paramètre restreint car il peut mettre en danger votre sécurité et votre confidentialité. La restriction de cette autorisation peut empêcher cette application de fonctionner. A part ça, le reste de la boîte de dialogue est le même, jusqu'au titre et aux deux boutons.

Une différence cruciale entre le nouveau mode de confirmation amélioré d’Android 15 et la fonctionnalité Paramètres restreints d’Android 13 réside dans la manière dont ils sont appliqués. Au lieu de différencier en fonction des API d’installation utilisées, le mode de confirmation amélioré dans Android 15 vérifie une liste verte préchargée dans l’image d’usine. Cette liste verte est un fichier XML situé dans le /system/etc/sysconfig chemin d’Android 15, et il détermine quels packages et installateurs sont exemptés de toute restriction.

Tous les packages explicitement répertoriés dans le fichier XML sont considérés comme des « packages approuvés » et sont exemptés des restrictions ECM. De même, tous les installateurs répertoriés dans le fichier XML sont considérés comme des « installateurs de confiance », ce qui signifie que les applications qu'ils installent ensuite peuvent être exemptées des restrictions ECM. Une application installée par un « installateur de confiance » est exemptée des restrictions ECM si elle est marquée comme provenant d'une source de package « digne de confiance » (c'est-à-dire qu'elle n'est pas marquée comme PACKAGE_SOURCE_DOWNLOADED_FILE ou PACKAGE_SOURCE_LOCAL_FILE).

Cela signifie que les utilisateurs seront obligés de voir la boîte de dialogue du mode de confirmation amélioré s'ils tentent d'activer le service d'accessibilité ou d'écoute de notification d'une application, à condition que l'application provienne d'un programme d'installation ou d'une source non fiable. Cela comblerait efficacement la faille qui existait dans la fonctionnalité Paramètres restreints d’Android 13, rendant plus difficile pour les applications tierces malveillantes d’obtenir des autorisations hautement privilégiées.

Malheureusement, je ne sais pas s'il sera toujours possible d'activer le service d'accessibilité ou d'écoute de notification d'une application légitime et téléchargée si elle est soumise à des restrictions ECM. Il est possible de désactiver les paramètres restreints pour une application, cela devrait donc également être possible avec les restrictions ECM, mais je ne peux pas le dire avec certitude car je n'ai pas encore réussi à faire fonctionner la fonctionnalité dans Android 15.

Il convient également de noter qu’actuellement, aucun package ni installateur n’est autorisé par le système à partir d’Android 15 Beta 1.1. Si l'ECM était activé, cela signifierait que toutes les applications seraient exemptées des restrictions ECM, à l'exception de celles marquées comme provenant d'une source non fiable. Étant donné que l'ECM n'est pas activé et qu'il n'y a aucun installateur ou package sur liste verte, je n'ai aucune information sur la manière dont Google prévoit d'utiliser cette fonctionnalité. Google exigera-t-il que le Play Store soit répertorié comme installateur de confiance sur tous les appareils Android ? Le cas échéant, quels magasins d'applications tiers Google et les constructeurs OEM mettront-ils sur liste verte ? Ce sont des questions auxquelles je ne connais pas la réponse, mais quoi qu'il en soit, je suis heureux de voir Google prendre des mesures pour améliorer la sécurité sur Android et j'ai hâte de découvrir plus de détails sur le mode de confirmation amélioré dans Android 15.