Pourquoi ces "astuces" UI ne sont-elles pas exploitées plus souvent ?

Cette bulle de discussion est là parce que vous avez accordé à Messenger l'autorisation "Dessiner par-dessus d'autres applications". En termes simples, appelez cela une superposition. Le nom qualifié de l'autorisation est android.permission.SYSTEM_ALERT_WINDOW.

Permet à une application de créer des fenêtres en utilisant le type TYPE_SYSTEM_ALERT, affiché au-dessus de toutes les autres applications. Très peu d'applications devraient utiliser cette autorisation ; ces fenêtres sont destinées à une interaction au niveau du système avec l'utilisateur.

_{(Souligné par moi)}

Je ne pense pas que les bulles de discussion de Messenger, en aucune manière, soient destinées à une interaction au niveau du système avec son utilisateur, vous pouvez donc supposer que les développeurs de cette application et de toute autre application de ce type ont choisi d'abuser de la fonctionnalité du système à des fins personnelles.

De plus, vous n'êtes certainement pas la première personne à avoir pensé à l'exploitation de la fonction de superposition d'Android.

ArsTechnica : Un nouveau ransomware Android bloque les victimes en changeant le code PIN de l'écran de verrouillage

Surnommée Android/Lockerpin.A, l'application ... superpose une fausse fenêtre d'installation de correctif sur un avis d'activation. Lorsque les cibles cliquent sur le bouton continuer, elles accordent vraiment aux applications malveillantes des droits élevés qui leur permettent de modifier les paramètres d'Android. À partir de là, Lockerpin définit ou réinitialise le PIN qui déverrouille l'écran, obligeant ainsi les utilisateurs à effectuer une réinitialisation d'usine pour reprendre le contrôle de l'appareil.

...

Une fois que le bouton continuer est pressé, l'application acquerra des droits d'administrateur [devient un administrateur de l'appareil]. À partir de là, il changera le PIN et continuera périodiquement à superposer une fausse fenêtre dans le but de conserver les privilèges élevés. Il s'agit du premier ransomware Android de l'écran de verrouillage à définir un code PIN sur un téléphone. Étant donné qu'il oblige les victimes à réinitialiser leurs téléphones sans payer, elles perdent toutes leurs données.

_{(Souligné par moi)}

Juste pour que vous le sachiez, Android comprend les dommages potentiels que la superposition peut causer à un appareil, donc lorsque une superposition est activement affichée à l'écran et que l'utilisateur tente de charger une application, le bouton d'installation refuse simplement de fonctionner. Voir Pourquoi ne puis-je pas appuyer sur le bouton Installer lors de l'installation d'applications provenant de sources inconnues ?

Si seulement Android étendait cette fonctionnalité à l'activation/désactivation des administrateurs de périphériques, ce serait très gentil de leur part.

Si vous souhaitez savoir quelle autre application dispose de la même autorisation, vous pouvez utiliser ma réponse sur Déterminer quelle application superpose d'autres applications ?

Les notifications que vous avez mentionnées, aussi intrusives soient-elles, sont appelées notifications Heads-up. Jusqu'à Android 5.1, les utilisateurs n'avaient pas de moyen officiel de s'en débarrasser sans perdre toutes les notifications d'une application.

Design Android : Notification Heads-up

Lorsqu'une notification à haute priorité arrive ..., elle est présentée aux utilisateurs pendant une courte période avec une disposition étendue exposant des actions possibles.

Après cette période, la notification se replie dans la barre de notification. Si la priorité d'une notification est marquée comme élevée, maximale ou plein écran, elle obtient une notification Heads-up.

_{(Souligné par moi)}

Comme vous l'avez probablement deviné, les notifications Heads-up ne sont pas le type de notification par défaut qu'un système devrait afficher à un utilisateur et un développeur doit explicitement l'opter dans le code de l'application. C'est juste que certains développeurs estiment que les actions de leur application sont de la plus haute importance dans la vie de l'utilisateur, sans parler du système, donc ils choisissent souvent d'afficher chaque notification sous la forme d'une notification Heads-up.

Cela dit, les notifications Heads-up ont été introduites uniquement dans Lollipop tandis que votre appareil exécute Android KitKat, donc certainement, comme l'a dit Andrew T. dans les commentaires, cela doit être le code natif de Facebook qui crée et affiche à la fois ces pseudo-notifications Lollipop en haut et au-dessus d'une fenêtre.

La raison pour laquelle vous ne pouvez pas interagir avec la barre du système lorsque cette pseudo-notification Lollipop est active, est très probablement l'utilisation de superpositions bloquantes pour afficher une vue qui est perçue comme une notification par l'utilisateur. La réponse de Aaron a expliqué cela avec un bon exemple d'application fonctionnelle.

J'ai recherché sur le web entre octobre 2013 et octobre 2014 (l'âge de développement d'Android 4.4.x) et j'ai appris qu'il y avait des applications disponibles sur le Play Store principalement destinées à créer ces pseudo-notifications Lollipop. Une de ces applications est Floatifications et l'autre que j'ai trouvée était Metro Notifications Free. Les deux utilisent la même superposition bloquante pour créer ces pseudo-notifications Lollipop.

Je suis surpris que vous n'ayez pas trouvé les toa ûtes assez agaçantes.