Google Play Services 18.7.13 beta ha aggiunto una nuova funzionalità di "Compilazione automatica codice SMS" che consente al servizio di compilazione automatica di recuperare i codici di verifica dagli SMS.
Configurare l'autenticazione a due fattori per i tuoi account online è una necessità se hai a cuore la sicurezza dei tuoi dati. La maggior parte degli utenti che hanno abilitato la 2FA utilizzano istruzioni sul dispositivo, app di autenticazione o codici di verifica inviati tramite SMS. Sebbene i primi due siano considerati più sicuri della verifica del codice SMS, La ricerca di Google mostra che la verifica tramite SMS per gli account Google "ha contribuito a bloccare il 100% dei bot automatizzati, il 96% degli attacchi di phishing in massa e il 76% degli attacchi attacchi mirati." I vantaggi sono chiari, ma il motivo per cui molte persone ancora non utilizzano la 2FA, anche tramite SMS, è perché la trovano sconveniente. Oggi Google ha lanciato la versione beta 18.7.13 di Google Play Services e suggerisce un nuovo modo di codici di verifica da recuperare automaticamente dai messaggi di testo: tramite la compilazione automatica integrata di Android Servizio.
Uno smontaggio dell'APK può spesso prevedere funzionalità che potrebbero essere presenti in un futuro aggiornamento di un'applicazione, ma è possibile che qualcuna delle funzionalità menzionate qui non sia presente in una versione futura. Questo perché queste funzionalità non sono attualmente implementate nella build live e potrebbero essere recuperate in qualsiasi momento da Google in una build futura.
Modifiche alla versione beta di Google Play Services 18.7.13
Al momento esistono alcuni modi per evitare di dover aprire manualmente l'app di messaggistica per copiare il codice di verifica. Innanzitutto, l'app di messaggistica (come quella di Google Messaggi) potrebbe rilevare e presentare automaticamente il codice nella notifica di un nuovo SMS. In secondo luogo, l'app che necessita del codice può utilizzare il file API di recupero SMS, un'API che fa parte di Google Play Services, per leggere automaticamente il codice SMS. In terzo luogo, l'app che necessita del codice può farlo creare un PendingIntent del tipo createAppSpecificSmsToken, disponibile a partire da Android 8.0 Oreo. Infine, l'app può richiedere l'autorizzazione READ_SMS per leggere i messaggi di testo in arrivo per il codice di verifica, però, di Google recentemente bloccato sulle app che utilizzano autorizzazioni SMS come questa.
Dei 4 metodi menzionati nell'ultimo paragrafo, il metodo consigliato per recuperare il codice SMS è l'API SMS Retriever poiché Google Play Services è quasi onnipresente. Purtroppo, molti sviluppatori di app non sfruttano ancora questa API. Il motivo, secondo XDA Recognized Developer Quinny899 chi lavora su un'app che utilizza questa API, è perché il formato richiesto del messaggio di testo inviato agli utenti non è l'ideale. Il corpo del messaggio di testo deve iniziare con e terminare con un hash basato sulla firma dell'app. Questo hash potrebbe confondere gli utenti facendogli credere che sia effettivamente il codice SMS in questione.
Google vuole che gli utenti adottino migliori pratiche di sicurezza, il che significa che vogliono rendere l'autenticazione a due fattori più appetibile per gli utenti. Per fare ciò, sembra che aggiorneranno il servizio di compilazione automatica di Google per recuperare automaticamente i codici di verifica dai messaggi di testo. Ciò consentirà il recupero automatico del codice SMS agli utenti le cui app di messaggistica predefinite non recuperano già il codice automaticamente e le cui app non utilizzano l'API SMS Retriever.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Dopo aver attivato il servizio di compilazione automatica di Google, disponibile su qualsiasi dispositivo Android 8.0+ con Google Play Services installato, l'utente potrà abilitare la "Compilazione automatica codice SMS", come mostrato di seguito. Questa attività non è attualmente esportata ma è possibile accedervi avviando manualmente il file com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity attività.
Non utilizzo la 2FA basata su SMS per nessuno dei miei account né utilizzo il servizio di compilazione automatica di Google (Sono un fan di KeePass), quindi non ho potuto testarlo personalmente. Tuttavia, la funzione sembra piuttosto semplice: quando ricevi un codice via SMS, il servizio di compilazione automatica ti offrirà di inserire automaticamente il codice proprio come qualsiasi password che hai salvato. Sebbene questa sia una funzionalità interessante da avere per ora, saremo in grado di accedere a siti Web e app senza bisogno di una password nel prossimo futuro grazie alla recente certificazione FIDO2 di Android.
Puoi scaricare l'ultima versione di Play Services su APKMirroroppure puoi attendere che venga implementato gradualmente nelle prossime settimane.
Grazie a PNF Software per averci fornito una licenza d'uso Decompilatore JEB, uno strumento di reverse engineering di livello professionale per applicazioni Android.