Google Play usluge 18.7.13 testiraju automatsko popunjavanje SMS kodova

Google Play usluge 18.7.13 beta dodale su novu značajku "Automatsko popunjavanje SMS koda" koja omogućuje usluzi automatskog popunjavanja dohvaćanje kontrolnih kodova iz SMS-a.

Postavljanje dvofaktorske provjere autentičnosti za vaše online račune nužno je ako vam je uopće stalo do sigurnosti vaših podataka. Većina korisnika koji imaju omogućen 2FA koriste se upitima na uređaju, aplikacijama za autentifikaciju ili kontrolnim kodovima poslanim putem SMS-a. Iako se prva dva smatraju sigurnijima od SMS provjere koda, Googleovo istraživanje pokazuje da je provjera SMS-om za Google račune "pomogla blokirati 100% automatiziranih botova, 96% masovnih phishing napada i 76% ciljane napade." Prednosti su jasne, ali razlog zašto mnogi ljudi još uvijek ne koriste 2FA, čak ni putem SMS-a, jest taj što ga nezgodan. Google je danas izbacio Google Play Services verziju 18.7.13 beta i nagovještava novi način za kontrolni kodovi koji se automatski dohvaćaju iz tekstualnih poruka: putem ugrađenog automatskog popunjavanja Androida Servis.

Rastavljanje APK-a često može predvidjeti značajke koje bi mogle stići u budućem ažuriranju aplikacije, ali moguće je da bilo koja od značajki koje ovdje spominjemo neće biti dostupna u budućem izdanju. To je zato što ove značajke trenutno nisu implementirane u live build-u i Google ih može povući u bilo kojem trenutku u budućoj verziji.

Google Play usluge 18.7.13 Beta promjene

Trenutačno postoji nekoliko načina da preskočite potrebu za ručnim otvaranjem aplikacije za slanje poruka radi kopiranja kontrolnog koda. Prvo, aplikacija za razmjenu poruka (poput Googleove Poruke) može automatski otkriti i predstaviti kod u obavijesti za novu SMS poruku. Drugo, aplikacija kojoj je potreban kôd može koristiti SMS Retriever API, API koji je dio Google Play usluga, za automatsko čitanje SMS koda. Treće, aplikacija koja treba kôd može kreirajte PendingIntent tipa createAppSpecificSmsToken, dostupan od Android 8.0 Oreo. Na kraju, aplikacija može zatražiti dopuštenje READ_SMS za čitanje dolaznih tekstualnih poruka za kontrolni kod, međutim, Google nedavno razbio aplikacije koji koriste ovakve SMS dozvole.

Od 4 metode spomenute u zadnjem paragrafu, preporučena metoda za dohvaćanje SMS koda je SMS Retriever API budući da su usluge Google Play gotovo sveprisutne. Nažalost, mnogi programeri aplikacija još uvijek ne iskorištavaju ovaj API. Razlog, prema XDA Recognized Developer Quinny899 koji radi na aplikaciji koja koristi ovaj API, jer traženi format tekstualne poruke koja se šalje korisnicima nije idealan. Tijelo tekstualne poruke mora započeti s i završiti hashom koji se temelji na potpisu aplikacije. Ovaj hash bi mogao zbuniti korisnike da pomisle da se zapravo radi o SMS kodu.

Pogodite koji je format za provjeru iOS-a. Zamutio sam hash prema zahtjevu Quinny899.

Google želi da korisnici usvoje bolje sigurnosne prakse, što znači da žele učiniti autentifikaciju u dva faktora prihvatljivijom za korisnike. Kako bi to učinili, čini se da će ažurirati Google Autofill Service kako bi automatski dohvaćao kontrolne kodove iz tekstualnih poruka. Ovo će donijeti automatsko dohvaćanje SMS koda korisnicima čije zadane aplikacije za razmjenu poruka već ne dohvaćaju automatski kod i čije aplikacije ne koriste API za dohvaćanje SMS-a.

<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>

Nakon što omogućite Googleovu uslugu automatskog popunjavanja, dostupno na bilo kojem Android 8.0+ uređaju s instaliranim Google Play uslugama, korisnik će moći omogućiti "automatsko popunjavanje SMS koda", kao što je prikazano u nastavku. Ova aktivnost trenutno nije izvezena, ali joj se može pristupiti ručnim pokretanjem com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity aktivnost.

Ne koristim 2FA temeljen na SMS-u ni za jedan od svojih računa niti koristim Googleovu uslugu automatskog popunjavanja (Obožavatelj sam KeePassa), pa ga nisam mogao sam testirati. Međutim, značajka se čini prilično jednostavnom: kada primite kod putem SMS-a, usluga automatskog popunjavanja ponudit će vam automatski unos koda, kao i svaku lozinku koju ste spremili. Iako je ovo dobra značajka za sada, moći ćemo pristupiti web stranicama i aplikacijama bez potrebe za lozinkom u bliskoj budućnosti zahvaljujući Androidovoj nedavnoj certifikaciji FIDO2.

Najnoviju verziju Play usluga možete preuzeti na APK Mirror, ili možete pričekati da se postupno uvede tijekom sljedećih tjedana.


Zahvaljujemo PNF softveru što nam je dao licencu za korištenje JEB Decompiler, profesionalni alat za obrnuti inženjering za Android aplikacije.