Το Google Play Services 18.7.13 beta έχει προσθέσει μια νέα δυνατότητα "Αυτόματη συμπλήρωση κωδικού SMS" που επιτρέπει στην υπηρεσία αυτόματης συμπλήρωσης να ανακτά κωδικούς επαλήθευσης από SMS.
Η ρύθμιση του ελέγχου ταυτότητας δύο παραγόντων για τους διαδικτυακούς λογαριασμούς σας είναι απαραίτητη εάν ενδιαφέρεστε καθόλου για την ασφάλεια των δεδομένων σας. Οι περισσότεροι χρήστες που έχουν ενεργοποιημένο το 2FA χρησιμοποιούν μηνύματα προτροπής στη συσκευή, εφαρμογές ελέγχου ταυτότητας ή κωδικούς επαλήθευσης που αποστέλλονται μέσω SMS. Αν και τα δύο πρώτα θεωρούνται πιο ασφαλή από την επαλήθευση κωδικού SMS, Έρευνα της Google δείχνει ότι η επαλήθευση SMS για λογαριασμούς Google "βοήθησε στον αποκλεισμό του 100% των αυτοματοποιημένων ρομπότ, στο 96% των μαζικών επιθέσεων phishing και στο 76% των στοχευμένες επιθέσεις." Τα οφέλη είναι ξεκάθαρα, αλλά ο λόγος που πολλοί άνθρωποι εξακολουθούν να μην χρησιμοποιούν το 2FA, ακόμη και μέσω SMS, είναι επειδή το βρίσκουν άβολος. Σήμερα, η Google κυκλοφόρησε την έκδοση 18.7.13 beta των Υπηρεσιών Google Play και υπονοεί έναν νέο τρόπο για Κωδικοί επαλήθευσης για αυτόματη ανάκτηση από μηνύματα κειμένου: μέσω της ενσωματωμένης αυτόματης συμπλήρωσης του Android Υπηρεσία.
Μια απόρριψη του APK μπορεί συχνά να προβλέψει λειτουργίες που ενδέχεται να φτάσουν σε μια μελλοντική ενημέρωση μιας εφαρμογής, αλλά είναι πιθανό οποιαδήποτε από τις λειτουργίες που αναφέρουμε εδώ να μην είναι δυνατή σε μελλοντική κυκλοφορία. Αυτό συμβαίνει επειδή αυτές οι λειτουργίες δεν εφαρμόζονται επί του παρόντος στη ζωντανή έκδοση και ενδέχεται να ληφθούν ανά πάσα στιγμή από την Google σε μια μελλοντική έκδοση.
Αλλαγές beta στις Υπηρεσίες Google Play 18.7.13
Αυτήν τη στιγμή υπάρχουν μερικοί τρόποι για να παραλείψετε να ανοίξετε με μη αυτόματο τρόπο την εφαρμογή ανταλλαγής μηνυμάτων για να αντιγράψετε τον κωδικό επαλήθευσης. Πρώτον, η εφαρμογή ανταλλαγής μηνυμάτων (όπως αυτή της Google Μηνύματα) ενδέχεται να εντοπίσει και να παρουσιάσει αυτόματα τον κωδικό στην ειδοποίηση για ένα νέο μήνυμα κειμένου. Δεύτερον, η εφαρμογή που χρειάζεται τον κωδικό μπορεί να χρησιμοποιήσει το SMS Retriever API, ένα API που αποτελεί μέρος των Υπηρεσιών Google Play, για αυτόματη ανάγνωση του κωδικού SMS. Τρίτον, η εφαρμογή που χρειάζεται τον κωδικό μπορεί δημιουργήστε ένα PendingIntent του τύπου createAppSpecificSmsToken, διαθέσιμο από το Android 8.0 Oreo. Τέλος, η εφαρμογή μπορεί να ζητήσει την άδεια READ_SMS για την ανάγνωση των εισερχόμενων μηνυμάτων κειμένου για τον κωδικό επαλήθευσης, ωστόσο, η Google καταργήθηκε πρόσφατα σε εφαρμογές που χρησιμοποιούν δικαιώματα SMS όπως αυτή.
Από τις 4 μεθόδους που αναφέρονται στην τελευταία παράγραφο, η προτεινόμενη μέθοδος για την ανάκτηση του κωδικού SMS είναι το SMS Retriever API, καθώς οι Υπηρεσίες Google Play είναι σχεδόν πανταχού παρούσες. Δυστυχώς, πολλοί προγραμματιστές εφαρμογών εξακολουθούν να μην εκμεταλλεύονται αυτό το API. Ο λόγος, σύμφωνα με το XDA Recognized Developer Quinny899 που εργάζεται σε μια εφαρμογή που χρησιμοποιεί αυτό το API, επειδή η απαιτούμενη μορφή του μηνύματος κειμένου που αποστέλλεται στους χρήστες δεν είναι ιδανική. Το σώμα του μηνύματος κειμένου πρέπει να ξεκινά με και να τελειώνει με έναν κατακερματισμό που βασίζεται στην υπογραφή της εφαρμογής. Αυτός ο κατακερματισμός μπορεί να προκαλέσει σύγχυση στους χρήστες και να πιστέψουν ότι είναι στην πραγματικότητα ο εν λόγω κωδικός SMS.
Η Google θέλει οι χρήστες να υιοθετήσουν καλύτερες πρακτικές ασφάλειας, πράγμα που σημαίνει ότι θέλουν να κάνουν τον έλεγχο ταυτότητας δύο παραγόντων πιο ευχάριστο στους χρήστες. Για να γίνει αυτό, φαίνεται ότι θα ενημερώσουν την Υπηρεσία Αυτόματης Συμπλήρωσης Google για αυτόματη ανάκτηση κωδικών επαλήθευσης από μηνύματα κειμένου. Αυτό θα φέρει την αυτόματη ανάκτηση κωδικού SMS σε χρήστες των οποίων οι προεπιλεγμένες εφαρμογές ανταλλαγής μηνυμάτων δεν ανακτούν ήδη τον κωδικό αυτόματα και των οποίων οι εφαρμογές δεν χρησιμοποιούν το SMS Retriever API.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Αφού ενεργοποιήσετε την υπηρεσία αυτόματης συμπλήρωσης Google, διαθέσιμο σε οποιαδήποτε συσκευή Android 8.0+ με εγκατεστημένες τις Υπηρεσίες Google Play, ο χρήστης θα μπορεί να ενεργοποιήσει την "Αυτόματη συμπλήρωση κωδικού SMS", όπως φαίνεται παρακάτω. Αυτή η δραστηριότητα δεν έχει εξαχθεί αυτήν τη στιγμή, αλλά μπορεί να προσπελαστεί με μη αυτόματη εκκίνηση του com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity δραστηριότητα.
Δεν χρησιμοποιώ 2FA που βασίζεται σε SMS για κανέναν από τους λογαριασμούς μου ούτε χρησιμοποιώ την Υπηρεσία Αυτόματης Συμπλήρωσης της Google (Είμαι θαυμαστής του KeePass), οπότε δεν μπόρεσα να το δοκιμάσω μόνος μου. Ωστόσο, η δυνατότητα φαίνεται αρκετά απλή: Όταν λαμβάνετε έναν κωδικό μέσω SMS, η Υπηρεσία Αυτόματης Συμπλήρωσης θα σας προσφέρει να εισάγει τον κωδικό αυτόματα όπως οποιοσδήποτε κωδικός πρόσβασης που έχετε αποθηκεύσει. Παρόλο που αυτή η δυνατότητα είναι μια καλή λειτουργία προς το παρόν, θα μπορούμε να έχουμε πρόσβαση σε ιστότοπους και εφαρμογές χωρίς να χρειάζεται κωδικός πρόσβασης στο εγγύς μέλλον χάρη στην πρόσφατη πιστοποίηση FIDO2 του Android.
Μπορείτε να κάνετε λήψη της πιο πρόσφατης έκδοσης των Υπηρεσιών Play στο APK Mirror, ή μπορείτε να περιμένετε να κυκλοφορήσει σταδιακά τις επόμενες εβδομάδες.
Ευχαριστούμε το PNF Software που μας παρείχε άδεια χρήσης JEB Decompiler, ένα εργαλείο αντίστροφης μηχανικής επαγγελματικής ποιότητας για εφαρμογές Android.