Bien sûr, l’idée part d’un bon sentiment : éviter que les utilisateurs qui installent des applications en dehors du Play Store ne se fassent contaminer par une saleté.
En effet, la grande mode « malware 2022″ c’est d’utiliser l’API accessibilité. Destinée aux personnes en situation de handicap, cette dernière est l’allié idéal du pirate puisqu’elle donne de grands pouvoirs aux applis qui l’utilisent : possibilité d’enregistrer les conversations (transcription pour les personnes malentendantes), de lire les images affichées à l’écran (pour les personnes malvoyantes) ou de réaliser des actions à la place de l’utilisateur.
Bref, cette API c’est un peu le mode « open-bar ».
Don't know which Beta this was added in, but Android 13's new "restricted setting" feature will also block the user from enabling an app's Notification Listener if the app was sideloaded using a non-session-based package installer! pic.twitter.com/bh6Wei0mQp
— Mishaal Rahman (@MishaalRahman) July 5, 2022
Pragmatisme vs philosophie
Subséquemment, Google veut empêcher aux applis hors Play Store d’utiliser cette API. Alors bien sûr, on peut regretter que le système devienne de plus en plus fermé. Un développeur indépendant souhaitant utiliser cette API pour une appli « maison » pourrait connaître des difficultés. De l’autre, Google ne fait que prévenir un risque bien présent. Malgré les avertissements, de nombreux utilisateurs continuent d’installer des applis « à la main » sous forme de fichiers APK récupérés un peu n’importe où : des clones de WhatsApp censés apporter de nombreuses fonctionnalités inédites, des applis soi-disant « débloquées » avec les options normalement payantes, etc.
Pour l’utilisateur lambda, ce changement ne va rien changer et elle va même apporter un garde-fou supplémentaire. Philosophiquement par contre, cette porte fermée passe mal auprès des « vrais ».
La solution ? Rooter son appareil. Cette manipulation consistant à prendre le contrôle total sur son smartphone (super utilisateur, ou super user comme sous Linux) permettra à une appli d’utiliser l’API en question sans qu’Android ne lui refuse l’accès. Et comme rooter un smartphone est légèrement plus compliqué que d’installer un APK sauvage, Coraline et Timéo sont en sécurité.
