A Google Play Services 18.7.13 bétaverziója hozzáadott egy új "SMS-kód automatikus kitöltése" funkciót, amely lehetővé teszi az automatikus kitöltési szolgáltatás számára az ellenőrző kódok SMS-ből való lekérését.
A kétfaktoros hitelesítés beállítása az online fiókokhoz elengedhetetlen, ha egyáltalán törődik adatai biztonságával. A legtöbb felhasználó, aki engedélyezte a 2FA-t, az eszközön lévő felszólításokat, hitelesítő alkalmazásokat vagy SMS-ben küldött ellenőrző kódokat használ. Bár az előbbi kettő biztonságosabbnak tekinthető, mint az SMS-kódos ellenőrzés, A Google kutatása azt mutatja, hogy a Google-fiókok SMS-ellenőrzése „az automatizált robotok 100%-át, a tömeges adathalász támadások 96%-át és a célzott támadások." Az előnyök egyértelműek, de sokan még mindig nem használják a 2FA-t még SMS-ben sem, mert megtalálják kényelmetlen. Ma a Google kiadta a Google Play Szolgáltatások 18.7.13 bétaverzióját, és ez egy új módszerre utal a szöveges üzenetekből automatikusan lekérendő ellenőrző kódok: az Android beépített automatikus kitöltésével Szolgáltatás.
Az APK lebontása gyakran megjósolhatja azokat a funkciókat, amelyek egy alkalmazás jövőbeli frissítésében érkezhetnek meg, de előfordulhat, hogy az itt említett funkciók bármelyike nem fog megjelenni egy jövőbeli kiadásban. Ennek az az oka, hogy ezek a funkciók jelenleg nincsenek implementálva az élő buildben, és a Google bármikor lekérheti őket egy jövőbeli buildben.
Google Play Szolgáltatások 18.7.13 Béta módosításai
Jelenleg néhány módja van annak, hogy kihagyja az üzenetküldő alkalmazás manuális megnyitását az ellenőrző kód másolásához. Először is az üzenetküldő alkalmazás (mint a Google üzenetek) automatikusan észlelheti és megjelenítheti a kódot az új szöveges üzenet értesítésében. Másodszor, a kódot igénylő alkalmazás használhatja a SMS Retriever API, egy API, amely a Google Play Services része, és automatikusan beolvassa az SMS-kódot. Harmadszor, a kódot igénylő alkalmazás képes hozzon létre egy függőben lévő szándékot, amelynek típusa createAppSpecificSmsToken, Android 8.0 Oreo óta elérhető. Végül az alkalmazás kérheti a READ_SMS engedélyt a bejövő szöveges üzenetek elolvasásához az ellenőrző kódhoz, azonban a Google nemrégiben lecsaptak az alkalmazásokra amelyek ehhez hasonló SMS-engedélyeket használnak.
Az utolsó bekezdésben említett 4 módszer közül az SMS-kód lekérésének javasolt módja az SMS Retriever API, mivel a Google Play-szolgáltatások szinte mindenhol jelen vannak. Sajnos sok alkalmazásfejlesztő még mindig nem használja ki ezt az API-t. Az ok az XDA Recognized Developer szerint Quinny899 aki ezt az API-t használó alkalmazáson dolgozik, annak az az oka, hogy a felhasználóknak küldött szöveges üzenet szükséges formátuma nem ideális. A szöveges üzenet törzsének karakterrel kell kezdődnie, és az alkalmazás aláírásán alapuló hash-sel kell végződnie. Ez a hash megzavarhatja a felhasználókat abban, hogy azt gondolják, hogy valójában ez a kérdéses SMS-kód.
A Google azt akarja, hogy a felhasználók jobb biztonsági gyakorlatokat alkalmazzanak, ami azt jelenti, hogy a kéttényezős hitelesítést kellemesebbé akarják tenni a felhasználók számára. Ennek érdekében úgy tűnik, hogy frissítik a Google automatikus kitöltési szolgáltatását, hogy automatikusan lekérje az ellenőrző kódokat a szöveges üzenetekből. Ez lehetővé teszi az automatikus SMS-kód lekérését azoknak a felhasználóknak, akiknek az alapértelmezett üzenetküldő alkalmazásai még nem kérik le automatikusan a kódot, és akiknek az alkalmazásai nem használják az SMS Retriever API-t.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>A Google automatikus kitöltési szolgáltatásának engedélyezése után bármely Android 8.0+ eszközön elérhető Ha a Google Play Services telepítve van, a felhasználó engedélyezni tudja az "SMS-kód automatikus kitöltését" az alábbiak szerint. Ez a tevékenység jelenleg nincs exportálva, de a következő kézi indításával érhető el com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity tevékenység.
Nem használok SMS-alapú 2FA-t egyik fiókomhoz sem, és nem használom a Google automatikus kitöltési szolgáltatását sem (KeePass rajongó vagyok), így nem tudtam magam tesztelni. A funkció azonban meglehetősen egyszerűnek tűnik: Ha SMS-ben kap egy kódot, az Automatikus kitöltési szolgáltatás felajánlja a kód automatikus bevitelét, akárcsak bármely elmentett jelszót. Noha ez egy jó funkció egyelőre, hozzáférhetünk majd webhelyekhez és alkalmazásokhoz jelszó nélkül a közeljövőben, köszönhetően az Android legutóbbi FIDO2 tanúsítványának.
A Play-szolgáltatások legfrissebb verzióját itt töltheti le APKMirror, vagy megvárhatja, hogy az elkövetkező hetekben fokozatosan megjelenjen.
Köszönet a PNF Software-nek, hogy engedélyt adott nekünk a használatra JEB Decompiler, egy professzionális minőségű visszafejtő eszköz Android alkalmazásokhoz.