Google Play Services 18.7.13 בטא הוסיפה תכונה חדשה של "מילוי אוטומטי של קוד SMS" המאפשרת לשירות המילוי האוטומטי לאחזר קודי אימות מ-SMS.
הגדרת אימות דו-שלבי עבור החשבונות המקוונים שלך היא הכרח אם אכפת לך בכלל מאבטחת הנתונים שלך. רוב המשתמשים ש-2FA מופעל להם משתמשים בהנחיות במכשיר, באפליקציות מאמת או בקודי אימות שנשלחים באמצעות SMS. למרות שהשניים הראשונים נחשבים בטוחים יותר מאשר אימות קוד SMS, המחקר של גוגל מראה שאימות SMS עבור חשבונות Google "עזר לחסום 100% מהבוטים האוטומטיים, 96% מהתקפות הדיוג בכמות גדולה ו-76% התקפות ממוקדות." היתרונות ברורים, אבל הסיבה שאנשים רבים עדיין לא משתמשים ב-2FA, אפילו באמצעות SMS, היא בגלל שהם מוצאים את זה לֹא נוֹחַ. היום, גוגל השיקה את שירותי Google Play גרסה 18.7.13 בטא, והיא מרמזת על דרך חדשה עבור קודי אימות לאחזור אוטומטי מהודעות טקסט: באמצעות המילוי האוטומטי המובנה של אנדרואיד שֵׁרוּת.
פירוק APK יכול לעתים קרובות לחזות תכונות שעשויות להגיע בעדכון עתידי של אפליקציה, אך ייתכן שכל אחת מהתכונות שאנו מזכירים כאן לא תגיע אליה במהדורה עתידית. הסיבה לכך היא שתכונות אלה אינן מיושמות כרגע ב-build החי ועשויות להימשך בכל עת על ידי Google ב-build עתידי.
שירותי Google Play 18.7.13 שינויים בגרסת ביטא
יש כרגע כמה דרכים לדלג על הצורך לפתוח ידנית את אפליקציית ההודעות שלך כדי להעתיק את קוד האימות. ראשית, אפליקציית ההודעות (כמו של גוגל הודעות) עשוי לזהות ולהציג באופן אוטומטי את הקוד בהתראה על הודעת טקסט חדשה. שנית, האפליקציה הזקוקה לקוד יכולה להשתמש ב- SMS Retriever API, API המהווה חלק משירותי Google Play, לקריאת קוד ה-SMS באופן אוטומטי. שלישית, האפליקציה שצריכה את הקוד יכולה צור PendingIntent מהסוג createAppSpecificSmsToken, זמין מאז אנדרואיד 8.0 אוראו. לבסוף, האפליקציה יכולה לבקש את הרשאת READ_SMS לקרוא הודעות טקסט נכנסות עבור קוד האימות, עם זאת, Google פצחו לאחרונה באפליקציות שמשתמשים בהרשאות SMS כמו זה.
מתוך 4 השיטות שהוזכרו בפסקה האחרונה, השיטה המומלצת לאחזור קוד ה-SMS היא ה-SMS Retriever API מכיוון ששירותי Google Play נמצאים כמעט בכל מקום. למרבה הצער, מפתחי אפליקציות רבים עדיין לא מנצלים את ה-API הזה. הסיבה, על פי XDA Recognized Developer קוויני899 מי שעובד על אפליקציה שמשתמשת ב-API הזה, נובע מכך שהפורמט הנדרש של הודעת הטקסט שנשלחת למשתמשים אינו אידיאלי. גוף הודעת הטקסט חייב להתחיל ב- ולהסתיים ב-hash המבוסס על החתימה של האפליקציה. הגיבוב הזה עלול לבלבל את המשתמשים לחשוב שזה בעצם קוד ה-SMS המדובר.
גוגל רוצה שהמשתמשים יאמצו שיטות אבטחה טובות יותר, מה שאומר שהם רוצים להפוך את האימות הדו-גורמי לטעים יותר למשתמשים. כדי לעשות זאת, נראה שהם יעדכנו את שירות המילוי האוטומטי של Google כדי לאחזר אוטומטית קודי אימות מהודעות טקסט. זה יביא שליפה אוטומטית של קוד SMS למשתמשים שאפליקציות ברירת המחדל שלהם להעברת הודעות עדיין לא מאחזרות את הקוד באופן אוטומטי ושהאפליקציות שלהם לא משתמשות ב-SMS Retriever API.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>לאחר הפעלת שירות המילוי האוטומטי של Google, זמין בכל מכשיר אנדרואיד 8.0+ עם שירותי Google Play מותקנים, המשתמש יוכל להפעיל "מילוי אוטומטי של קוד SMS", כפי שמוצג להלן. פעילות זו אינה מיוצאת כעת, אך ניתן לגשת אליה על ידי הפעלה ידנית של com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity פעילות.
אני לא משתמש ב-2FA מבוסס SMS עבור אף אחד מהחשבונות שלי וגם לא בשירות המילוי האוטומטי של Google (אני מעריץ של KeePass), אז לא הצלחתי לבדוק את זה בעצמי. עם זאת, התכונה נראית די פשוטה: כאשר אתה מקבל קוד באמצעות SMS, שירות המילוי האוטומטי יציע להזין את הקוד באופן אוטומטי בדיוק כמו כל סיסמה ששמרת. למרות שזו תכונה נחמדה שיש לעת עתה, נוכל לגשת לאתרים ואפליקציות ללא צורך בסיסמא בעתיד הקרוב הודות לאישור ה-FIDO2 האחרון של אנדרואיד.
אתה יכול להוריד את הגרסה העדכנית ביותר של שירותי Play ב- APKMirror, או שאתה יכול להמתין עד שהוא יתגלגל בהדרגה במהלך השבועות הקרובים.
תודה ל-PNF Software שסיפקה לנו רישיון שימוש Decompiler של JEB, כלי הנדסה לאחור ברמה מקצועית עבור יישומי אנדרואיד.