Android 17 Blocks Non-Accessibility Apps from Accessibility API to Prevent Malware Abuse

1 minute de lecture

Mis à jour : March 16, 2026

Renforcement de la sécurité Android 17 : Restriction de l’API d’accessibilité

Google renforce la sécurité dans la bêta d’Android 17 via son « Advanced Protection Mode » (AAPM). Cette mise à jour vise à limiter l’utilisation abusive de l’API d’accessibilité par des logiciels malveillants, une technique couramment utilisée pour exfiltrer des données sensibles.

Points clés :

Restriction ciblée : Seules les applications officiellement classées comme outils d’accessibilité (lecteurs d’écran, systèmes de saisie vocale ou braille) peuvent désormais utiliser cette API.
Classification stricte : Le flag isAccessibilityTool="true" est requis. Les antivirus, gestionnaires de mots de passe, outils d’automatisation et autres applications de monitoring ne sont plus éligibles.
Protection automatique : Lorsque l’AAPM est activé, les autorisations d’accessibilité des applications non conformes sont automatiquement révoquées, et toute nouvelle attribution est bloquée.
Confidentialité des contacts : Android 17 introduit un sélecteur de contacts granulaire, permettant de ne partager que des champs spécifiques (n° de téléphone ou e-mail) plutôt que l’intégralité du répertoire.

Vulnérabilités traitées :

L’article souligne l’exploitation abusive répétée de l’API AccessibilityService par des familles de logiciels malveillants pour contourner les protections classiques et accéder aux données privées. (Aucune CVE spécifique n’est mentionnée, car il s’agit d’un détournement de fonctionnalité légitime plutôt que d’une faille logicielle).

Recommandations :

Pour les utilisateurs : Activer l’« Advanced Protection Mode » sur Android 17 pour réduire la surface d’attaque du terminal, en particulier pour les utilisateurs exposés à des menaces sophistiquées.
Pour les développeurs :
- Vérifier la conformité de votre application avec les directives d’accessibilité de Google.
- Utiliser l’API AdvancedProtectionManager pour adapter dynamiquement le comportement de l’application selon que le mode protection est activé ou non.
- Adopter le nouveau sélecteur de contacts pour limiter les permissions d’accès aux données personnelles au strict nécessaire.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Android 17 Blocks Non-Accessibility Apps from Accessibility API to Prevent Malware Abuse

Renforcement de la sécurité Android 17 : Restriction de l’API d’accessibilité

Partager sur

Vous pourriez aimer

Why Security Validation Is Becoming Agentic

L’avènement de la validation de sécurité agentique

⚡ Weekly Recap: Chrome 0-Days, Router Botnets, AWS Breach, Rogue AI Agents & More

Revue de la semaine : Vulnérabilités critiques et menaces émergentes

UK’s Companies House confirms security flaw exposed business data

Faille de sécurité critique chez Companies House : Données d’entreprises exposées

Tp-Link AX53 v1.0 tmpServer opcode 0x429 stack-based buffer overflow vulnerability

Vulnérabilité Critique : Dépassement de tampon sur TP-Link Archer AX53