"Les permissions en question sont SYSTEM_ALERT_WINDOW et BIND_ACCESSIBILITY SERVICE. Pour rappel, la permission SYSTEM_ALERT_WINDOW permet à une application d’afficher une fenêtre pop-up par-dessus toutes les autres fenêtres. BIND_ACCESSIBILITY_SERVICE par contre est une permission qui permet à une application de rendre les dispositifs Android plus accessibles par des personnes avec des handicaps."
"Pratiquement tout y passe : l’enregistrement furtif de saisies clavier qui exploite la permission SYSTEM_ALERT_WINDOW (première démo ci-dessous), l’usage combiné des deux permissions pour installer une application bénéficiant de toutes les permissions (deuxième démo), le vol de mot de passe qui combine également les deux permissions (troisième démo), etc."

Accès au stimulateur à distance sans authentification, utilisation de systèmes obsolètes et vulnérables (Windows XP, MS-DOS, OS/2), équipement accessible au grand public pour une somme très basse…
Tout va bien…

« Après des années, il reste encore des centaines de millions de machines tournant sous les systèmes XP et Server 2003 à travers le monde. Les systèmes basés sur Windows XP représentent plus de 7 % des OS de bureau encore en utilisation aujourd’hui et l’industrie de cyber sécurité estime que plus de 600 000 machines hébergeant 175 millions de sites web, tournent toujours Windows Server 2003, soit 18 % de la part du marché global »