Les services Google Play 18.7.13 bêta ont ajouté une nouvelle fonctionnalité « Remplissage automatique du code SMS » qui permet au service de remplissage automatique de récupérer les codes de vérification à partir des SMS.
La mise en place d'une authentification à deux facteurs pour vos comptes en ligne est une nécessité si vous vous souciez de la sécurité de vos données. La plupart des utilisateurs qui ont activé 2FA utilisent des invites sur l'appareil, des applications d'authentification ou des codes de vérification envoyés par SMS. Bien que les deux premiers soient considérés comme plus sécurisés que la vérification du code SMS, Les recherches de Google montre que la vérification par SMS des comptes Google "a permis de bloquer 100 % des robots automatisés, 96 % des attaques de phishing en masse et 76 % des attaques ciblées." Les avantages sont clairs, mais la raison pour laquelle de nombreuses personnes n'utilisent toujours pas la 2FA, même par SMS, est qu'elles le trouvent incommode. Aujourd'hui, Google a déployé la version bêta 18.7.13 des services Google Play, et cela laisse entrevoir une nouvelle façon de codes de vérification à récupérer automatiquement à partir des messages texte: via la saisie automatique intégrée à Android Service.
Un démontage d'un APK peut souvent prédire des fonctionnalités qui pourraient arriver dans une future mise à jour d'une application, mais il est possible que l'une des fonctionnalités que nous mentionnons ici ne soit pas disponible dans une version future. En effet, ces fonctionnalités ne sont actuellement pas implémentées dans la version live et peuvent être supprimées à tout moment par Google dans une version future.
Modifications de la version bêta des services Google Play 18.7.13
Il existe actuellement plusieurs façons d'éviter d'avoir à ouvrir manuellement votre application de messagerie pour copier le code de vérification. Premièrement, l'application de messagerie (comme celle de Google messages) peut détecter et présenter automatiquement le code dans la notification d'un nouveau message texte. Deuxièmement, l'application ayant besoin du code peut utiliser le API de récupération de SMS, une API qui fait partie des services Google Play, pour lire automatiquement le code SMS. Troisièmement, l'application qui a besoin du code peut créer un PendingIntent du type createAppSpecificSmsToken, disponible depuis Android 8.0 Oreo. Enfin, l'application peut demander l'autorisation READ_SMS pour lire les messages texte entrants pour le code de vérification. Cependant, Google récemment réprimé les applications qui utilisent des autorisations SMS comme celle-ci.
Parmi les 4 méthodes mentionnées dans le dernier paragraphe, la méthode recommandée pour récupérer le code SMS est l'API SMS Retriever puisque les services Google Play sont presque omniprésents. Malheureusement, de nombreux développeurs d'applications ne profitent toujours pas de cette API. La raison, selon XDA Recognized Developer Quinny899 qui travaille sur une application qui utilise cette API, c'est parce que le format requis du message texte envoyé aux utilisateurs n'est pas idéal. Le corps du message texte doit commencer par et se terminer par un hachage basé sur la signature de l'application. Ce hachage pourrait amener les utilisateurs à penser qu'il s'agit en fait du code SMS en question.
Google souhaite que les utilisateurs adoptent de meilleures pratiques de sécurité, ce qui signifie qu'ils souhaitent rendre l'authentification à deux facteurs plus acceptable pour les utilisateurs. Pour ce faire, il semble qu'ils mettront à jour le service de remplissage automatique de Google pour récupérer automatiquement les codes de vérification des messages texte. Cela apportera la récupération automatique du code SMS aux utilisateurs dont les applications de messagerie par défaut ne récupèrent pas déjà le code automatiquement et dont les applications n'utilisent pas l'API SMS Retriever.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Après avoir activé le service de remplissage automatique de Google, disponible sur n'importe quel appareil Android 8.0+ une fois les services Google Play installés, l'utilisateur pourra activer le « remplissage automatique du code SMS », comme indiqué ci-dessous. Cette activité n'est actuellement pas exportée mais est accessible en lançant manuellement le com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity activité.
Je n'utilise pas le 2FA par SMS pour aucun de mes comptes et je n'utilise pas non plus le service de saisie automatique de Google (Je suis fan de KeePass), je n'ai donc pas pu le tester moi-même. Cependant, la fonctionnalité semble assez simple: lorsque vous recevez un code par SMS, le service de saisie automatique vous proposera de saisir automatiquement le code, comme n'importe quel mot de passe que vous avez enregistré. Bien qu'il s'agisse d'une fonctionnalité intéressante pour le moment, nous pourrons accéder à des sites Web et à des applications. sans avoir besoin d'un mot de passe dans un futur proche grâce à la récente certification FIDO2 d'Android.
Vous pouvez télécharger la dernière version des services Play sur APKMiroir, ou vous pouvez attendre qu'il se déploie progressivement au cours des prochaines semaines.
Merci à PNF Software de nous avoir fourni une licence d'utilisation Décompilateur JEB, un outil d'ingénierie inverse de qualité professionnelle pour les applications Android.