Google Play Services 18.7.13 beta добави нова функция „Автоматично попълване на SMS код“, която позволява на услугата за автоматично попълване да извлича кодове за потвърждение от SMS.
Настройването на двуфакторно удостоверяване за вашите онлайн акаунти е необходимост, ако изобщо се грижите за сигурността на вашите данни. Повечето потребители, които са активирали 2FA, използват подкани на устройството, приложения за удостоверяване или кодове за потвърждение, изпратени чрез SMS. Въпреки че първите две се считат за по-сигурни от проверката с код чрез SMS, Проучване на Google показва, че проверката чрез SMS за акаунти в Google „помогна за блокиране на 100% от автоматизираните ботове, 96% от масовите фишинг атаки и 76% от насочени атаки." Ползите са ясни, но причината много хора все още да не използват 2FA, дори чрез SMS, е, че го намират неудобно. Днес Google пусна бета версия 18.7.13 на Google Play Services и намеква за нов начин за кодове за потвърждение, които да се извличат автоматично от текстови съобщения: чрез вграденото автоматично попълване на Android Обслужване.
Разглобяването на APK често може да предвиди функции, които може да се появят в бъдеща актуализация на приложение, но е възможно някоя от функциите, които споменаваме тук, да не се появи в бъдеща версия. Това е така, защото тези функции в момента не са внедрени в реалната компилация и могат да бъдат изтеглени по всяко време от Google в бъдеща компилация.
Google Play Services 18.7.13 Beta промени
Понастоящем има няколко начина да не се налага да отваряте ръчно приложението си за съобщения, за да копирате кода за потвърждение. Първо, приложението за съобщения (като това на Google Съобщения) може автоматично да открие и представи кода в известието за ново текстово съобщение. Второ, приложението, което се нуждае от кода, може да използва API за извличане на SMS, API, който е част от Google Play Services, за автоматично четене на SMS кода. Трето, приложението, което се нуждае от кода, може създайте PendingIntent от типа createAppSpecificSmsToken, наличен от Android 8.0 Oreo. И накрая, приложението може да поиска разрешение READ_SMS за четене на входящи текстови съобщения за кода за потвърждение, но Google наскоро разби приложенията които използват разрешения за SMS като това.
От 4-те метода, споменати в последния параграф, препоръчителният метод за извличане на SMS кода е API за извличане на SMS, тъй като услугите на Google Play са почти повсеместни. За съжаление много разработчици на приложения все още не се възползват от този API. Причината, според XDA Recognized Developer Куини899 който работи върху приложение, което използва този API, е защото необходимият формат на текстовото съобщение, което се изпраща на потребителите, не е идеален. Текстовото съобщение трябва да започва с и да завършва с хеш, базиран на подписа на приложението. Този хеш може да обърка потребителите да си помислят, че това всъщност е въпросният SMS код.
Google иска потребителите да възприемат по-добри практики за сигурност, което означава, че искат да направят двуфакторното удостоверяване по-приятно за потребителите. За да направят това, изглежда, че те ще актуализират услугата за автоматично попълване на Google, за да извличат автоматично кодове за потвърждение от текстови съобщения. Това ще осигури автоматично извличане на SMS код за потребители, чиито приложения за съобщения по подразбиране все още не извличат кода автоматично и чиито приложения не използват API за извличане на SMS.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>След като активирате услугата за автоматично попълване на Google, наличен на всяко устройство с Android 8.0+ с инсталирани услуги на Google Play, потребителят ще може да активира „Автоматично попълване на SMS код“, както е показано по-долу. Тази дейност в момента не е експортирана, но може да бъде достъпна чрез ръчно стартиране на com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity дейност.
Не използвам базирана на SMS 2FA за нито един от моите акаунти, нито използвам услугата за автоматично попълване на Google (Аз съм фен на KeePass), така че не можах да го тествам сам. Функцията обаче изглежда доста ясна: когато получите код чрез SMS, услугата за автоматично попълване ще предложи автоматично въвеждане на кода, точно както всяка парола, която сте запазили. Въпреки че засега това е добра функция, ще имаме достъп до уебсайтове и приложения без нужда от парола в близко бъдеще благодарение на скорошното сертифициране на Android FIDO2.
Можете да изтеглите най-новата версия на Play Services на APK Mirror, или можете да изчакате да се разпространи постепенно през следващите седмици.
Благодарим на PNF Software, че ни предостави лиценз за използване JEB декомпилатор, професионален инструмент за обратно инженерство за приложения за Android.