Les polices peuvent être considérées comme une surface d'attaque, c'est pourquoi les polices au niveau du système sont limitées.
La documentation du projet Android Open Source contient une section sur les éléments suivants Retrait des polices personnalisées qui permet aux équipementiers d'Android 12+ de modifier/mettre à jour la police du système avec les autorisations/clés appropriées au niveau du système. Pour Android 11 et les versions antérieures, la police système était livrée avec une mise à jour de la ROM.
Vous trouverez ensuite une section sur la signature des fichiers de police :
Signature des fichiers de police
Les fichiers de polices étant des ressources à risque, ils doivent être vérifiés à l'aide de clés de confiance. Examinez soigneusement tous les fichiers de polices à mettre à jour et signez avec votre clé privée. La signature doit être fs-verity compatible.
où Google signale que les fichiers de polices sont des "ressources à risque".
Citation de : Comment une police de caractères peut-elle être utilisée pour l'escalade des privilèges ?
Les polices de caractères sont difficiles. C'est un vieux code. Il fonctionne en mode noyau.
Article connexe : Comment détecter un contenu suspect dans un fichier de police TrueType Font (.ttf) ?
On peut donc en déduire qu'en ne permettant pas à l'utilisateur final de personnaliser les polices du système, on réduit la surface d'attaque.
Les applications individuelles peuvent intégrer leurs propres fichiers de polices personnalisées pour les utiliser dans leur propre application.
