Google Play Services 18.7.13 Beta hat eine neue Funktion zum automatischen Ausfüllen von SMS-Codes hinzugefügt, mit der der Autofill-Dienst Bestätigungscodes aus SMS abrufen kann.
Die Einrichtung einer Zwei-Faktor-Authentifizierung für Ihre Online-Konten ist eine Notwendigkeit, wenn Ihnen die Sicherheit Ihrer Daten überhaupt am Herzen liegt. Die meisten Benutzer, die 2FA aktiviert haben, verwenden Eingabeaufforderungen auf dem Gerät, Authentifizierungs-Apps oder per SMS gesendete Bestätigungscodes. Obwohl die beiden ersteren als sicherer gelten als die SMS-Code-Verifizierung, Googles Forschung zeigt, dass die SMS-Verifizierung für Google-Konten „dazu beigetragen hat, 100 % der automatisierten Bots, 96 % der Massen-Phishing-Angriffe und 76 % aller … zu blockieren gezielte Angriffe.“ Die Vorteile liegen auf der Hand, aber der Grund, warum viele Menschen 2FA immer noch nicht nutzen, nicht einmal per SMS, liegt darin, dass sie es finden ungünstig. Heute hat Google die Beta-Version 18.7.13 der Google Play-Dienste herausgebracht und weist auf einen neuen Weg hin Bestätigungscodes, die automatisch aus Textnachrichten abgerufen werden: über das in Android integrierte Autofill Service.
Ein APK-Teardown kann oft Funktionen vorhersagen, die in einem zukünftigen Update einer Anwendung verfügbar sein werden, aber es ist möglich, dass eine der hier erwähnten Funktionen in einer zukünftigen Version nicht verfügbar sein wird. Dies liegt daran, dass diese Funktionen derzeit im Live-Build nicht implementiert sind und jederzeit von Google in einem zukünftigen Build übernommen werden können.
Google Play Services 18.7.13 Beta-Änderungen
Derzeit gibt es einige Möglichkeiten, um zu vermeiden, dass Sie Ihre Messaging-App manuell öffnen müssen, um den Bestätigungscode zu kopieren. Erstens die Messaging-App (wie die von Google). Mitteilungen) kann den Code automatisch erkennen und in der Benachrichtigung für eine neue Textnachricht anzeigen. Zweitens kann die App, die den Code benötigt, den verwenden SMS-Retriever-API, eine API, die Teil der Google Play-Dienste ist, um den SMS-Code automatisch zu lesen. Drittens kann die App, die den Code benötigt, dies tun Erstellen Sie einen PendingIntent vom Typ createAppSpecificSmsToken, verfügbar seit Android 8.0 Oreo. Schließlich kann die App die READ_SMS-Berechtigung zum Lesen eingehender Textnachrichten für den Bestätigungscode anfordern, jedoch Google hat kürzlich hart gegen Apps vorgegangen die SMS-Berechtigungen wie diese verwenden.
Von den vier im letzten Absatz erwähnten Methoden ist die SMS Retriever API die empfohlene Methode zum Abrufen des SMS-Codes, da Google Play Services nahezu allgegenwärtig ist. Leider nutzen viele App-Entwickler diese API immer noch nicht. Der Grund, laut XDA Recognized Developer Quinny899 Wer an einer App arbeitet, die diese API nutzt, liegt daran, dass das erforderliche Format der Textnachricht, die an Benutzer gesendet wird, nicht ideal ist. Der Text der Textnachricht muss mit beginnen und mit einem Hash enden, der auf der Signatur der App basiert. Dieser Hash könnte Benutzer zu der Annahme verleiten, dass es sich tatsächlich um den fraglichen SMS-Code handelt.
Google möchte, dass Benutzer bessere Sicherheitspraktiken anwenden, und möchte daher die Zwei-Faktor-Authentifizierung für Benutzer schmackhafter machen. Zu diesem Zweck werden sie offenbar den Google Autofill-Dienst aktualisieren, um automatisch Bestätigungscodes aus Textnachrichten abzurufen. Dies ermöglicht den automatischen SMS-Code-Abruf für Benutzer, deren Standard-Messaging-Apps den Code nicht bereits automatisch abrufen und deren Apps die SMS-Retriever-API nicht verwenden.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Nachdem Sie den Google Autofill-Dienst aktiviert haben, Verfügbar auf jedem Android 8.0+-Gerät Wenn die Google Play-Dienste installiert sind, kann der Benutzer das automatische Ausfüllen von SMS-Codes aktivieren, wie unten gezeigt. Diese Aktivität ist derzeit nicht exportiert, kann jedoch durch manuelles Starten von aufgerufen werden com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity Aktivität.
Ich verwende für keines meiner Konten SMS-basierte 2FA und verwende auch nicht den Autofill-Dienst von Google (Ich bin ein KeePass-Fan), daher konnte ich es nicht selbst testen. Die Funktion scheint jedoch ziemlich einfach zu sein: Wenn Sie einen Code per SMS erhalten, bietet der Autofill-Service an, den Code genau wie jedes gespeicherte Passwort automatisch einzugeben. Während dies vorerst eine nette Funktion ist, können wir auf Websites und Apps zugreifen ohne ein Passwort zu benötigen in naher Zukunft dank der jüngsten FIDO2-Zertifizierung von Android.
Sie können die neueste Version der Play Services unter herunterladen APKMirror, oder Sie können warten, bis es in den kommenden Wochen schrittweise eingeführt wird.
Vielen Dank an PNF Software für die Bereitstellung einer Nutzungslizenz JEB-Decompiler, ein professionelles Reverse-Engineering-Tool für Android-Anwendungen.