Google Play Services 18.7.13 beta har tilføjet en ny "SMS Code Auto-Fyld"-funktion, som lader autofyld-tjenesten hente bekræftelseskoder fra SMS.
Opsætning af to-faktor-godkendelse for dine onlinekonti er en nødvendighed, hvis du overhovedet bekymrer dig om sikkerheden af dine data. De fleste brugere, der har 2FA aktiveret, bruger prompter på enheden, godkendelsesapps eller bekræftelseskoder sendt via SMS. Selvom de to førstnævnte anses for at være mere sikre end SMS-kodebekræftelse, Googles forskning viser, at sms-bekræftelse for Google-konti "bidrog til at blokere 100 % af automatiserede bots, 96 % af bulk-phishing-angreb og 76 % af målrettede angreb." Fordelene er klare, men grunden til, at mange mennesker stadig ikke bruger 2FA, selv via SMS, er fordi de finder det ubelejligt. I dag lancerede Google Google Play Services version 18.7.13 beta, og det antyder en ny måde for bekræftelseskoder, der automatisk hentes fra tekstbeskeder: via Androids indbyggede Autofyld Service.
En APK-teardown kan ofte forudsige funktioner, der kan ankomme i en fremtidig opdatering af en applikation, men det er muligt, at nogen af de funktioner, vi nævner her, muligvis ikke kommer med i en fremtidig udgivelse. Dette skyldes, at disse funktioner i øjeblikket ikke er implementeret i live-builden og kan trækkes til enhver tid af Google i en fremtidig build.
Google Play Services 18.7.13 Betaændringer
Der er i øjeblikket et par måder at springe over at skulle manuelt åbne din beskedapp for at kopiere bekræftelseskoden. Først besked-appen (som Googles Beskeder) kan automatisk registrere og præsentere koden i meddelelsen om en ny tekstbesked. For det andet kan den app, der har brug for koden, bruge SMS Retriever API, en API, der er en del af Google Play Services, til automatisk at læse SMS-koden. For det tredje kan den app, der har brug for koden oprette en PendingIntent af typen createAppSpecificSmsToken, tilgængelig siden Android 8.0 Oreo. Endelig kan appen anmode om READ_SMS-tilladelsen til at læse indgående tekstbeskeder for bekræftelseskoden, men Google for nylig slået ned på apps der bruger SMS-tilladelser som denne.
Ud af de 4 metoder, der er nævnt i sidste afsnit, er den anbefalede metode til at hente SMS-koden SMS Retriever API, da Google Play Services er næsten allestedsnærværende. Desværre udnytter mange app-udviklere stadig ikke denne API. Årsagen, ifølge XDA Recognized Developer Quinny899 hvem der arbejder på en app, der bruger denne API, er fordi det påkrævede format for den tekstbesked, der sendes til brugerne, ikke er ideelt. Tekstbeskedens brødtekst skal starte med og slutte med en hash, der er baseret på appens signatur. Denne hash kan forvirre brugere til at tro, at det faktisk er den pågældende SMS-kode.
Google ønsker, at brugerne skal indføre bedre sikkerhedspraksis, hvilket betyder, at de ønsker at gøre to-faktor-autentificering mere velsmagende for brugerne. For at gøre det ser det ud til, at de vil opdatere Google Autofyld-tjenesten for automatisk at hente bekræftelseskoder fra tekstbeskeder. Dette vil bringe automatisk SMS-kodehentning til brugere, hvis standardmeddelelsesapps ikke allerede henter koden automatisk, og hvis apps ikke bruger SMS Retriever API.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Efter at have aktiveret Google Autofyld-tjenesten, tilgængelig på enhver Android 8.0+-enhed med Google Play-tjenester installeret, vil brugeren være i stand til at aktivere "Autoudfyld SMS-kode", som vist nedenfor. Denne aktivitet er i øjeblikket ikke eksporteret, men kan tilgås ved manuelt at starte com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity aktivitet.
Jeg bruger ikke SMS-baseret 2FA til nogen af mine konti, og jeg bruger heller ikke Googles Autofyld-tjeneste (Jeg er KeePass-fan), så jeg var ikke i stand til at teste det selv. Funktionen virker dog ret ligetil: Når du modtager en kode via SMS, vil Autofill-tjenesten tilbyde at indtaste koden automatisk ligesom enhver adgangskode, du har gemt. Selvom dette er en god funktion at have for nu, vil vi være i stand til at få adgang til websteder og apps uden at have brug for en adgangskode i den nærmeste fremtid takket være Androids seneste FIDO2-certificering.
Du kan downloade den seneste version af Play Services på APKMirror, eller du kan vente på, at det ruller ud gradvist i løbet af de kommende uger.
Tak til PNF Software for at give os en licens til at bruge JEB Decompiler, et professionelt reverse engineeringværktøj til Android-applikationer.