De bètaversie van Google Play Services 18.7.13 heeft een nieuwe functie 'SMS-code automatisch aanvullen' toegevoegd waarmee de service voor automatisch aanvullen verificatiecodes uit sms kan ophalen.
Het instellen van tweefactorauthenticatie voor uw online accounts is een noodzaak als u zich ook maar iets bekommert om de veiligheid van uw gegevens. De meeste gebruikers die 2FA hebben ingeschakeld, gebruiken prompts op het apparaat, authenticator-apps of verificatiecodes die via sms worden verzonden. Hoewel de eerste twee als veiliger worden beschouwd dan sms-codeverificatie, Google's onderzoek laat zien dat sms-verificatie voor Google-accounts "hielp bij het blokkeren van 100% van de geautomatiseerde bots, 96% van de bulk-phishing-aanvallen en 76% van de gerichte aanvallen." De voordelen zijn duidelijk, maar de reden dat veel mensen 2FA nog steeds niet gebruiken, zelfs niet via sms, is omdat ze het vinden ongemakkelijk. Vandaag heeft Google Google Play Services versie 18.7.13 bèta uitgerold, en het duidt op een nieuwe manier om verificatiecodes die automatisch uit sms-berichten kunnen worden opgehaald: via de ingebouwde Autofill van Android Dienst.
Een APK-demontage kan vaak functies voorspellen die in een toekomstige update van een applicatie kunnen verschijnen, maar het is mogelijk dat een van de functies die we hier noemen mogelijk niet in een toekomstige release wordt opgenomen. Dit komt omdat deze functies momenteel niet zijn geïmplementeerd in de live build en op elk moment door Google kunnen worden ingetrokken in een toekomstige build.
Google Play-services 18.7.13 Bètawijzigingen
Er zijn momenteel een paar manieren om te voorkomen dat u uw berichten-app handmatig hoeft te openen om de verificatiecode te kopiëren. Ten eerste de berichten-app (zoals die van Google Berichten) kan de code automatisch detecteren en presenteren in de melding voor een nieuw sms-bericht. Ten tweede kan de app die de code nodig heeft, de SMS Retriever-API, een API die deel uitmaakt van Google Play Services, om de sms-code automatisch te lezen. Ten derde kan de app die de code nodig heeft dat wel maak een PendingIntent van het type createAppSpecificSmsToken, beschikbaar sinds Android 8.0 Oreo. Ten slotte kan de app de READ_SMS-toestemming vragen om inkomende sms-berichten te lezen voor de verificatiecode, maar Google onlangs hardhandig opgetreden tegen apps die dergelijke sms-machtigingen gebruiken.
Van de vier methoden die in de laatste paragraaf worden genoemd, is de aanbevolen methode om de sms-code op te halen de SMS Retriever API, aangezien Google Play Services bijna alomtegenwoordig is. Helaas maken veel app-ontwikkelaars nog steeds geen gebruik van deze API. De reden, volgens XDA Recognized Developer Quinny899 die aan een app werkt die deze API gebruikt, komt omdat het vereiste formaat van het sms-bericht dat naar gebruikers wordt verzonden niet ideaal is. De tekst van het sms-bericht moet beginnen met en eindigen met een hash die is gebaseerd op de handtekening van de app. Deze hash kan gebruikers in de war brengen door te denken dat het eigenlijk de betreffende sms-code is.
Google wil dat gebruikers betere beveiligingspraktijken toepassen, wat betekent dat ze tweefactorauthenticatie aangenamer willen maken voor gebruikers. Om dit te doen lijkt het erop dat ze de Google Autofill-service zullen updaten om automatisch verificatiecodes uit sms-berichten op te halen. Hierdoor wordt automatisch de sms-code opgehaald voor gebruikers van wie de standaard berichten-apps de code nog niet automatisch ophalen en wiens apps de SMS Retriever API niet gebruiken.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Nadat u de Google Autofill-service heeft ingeschakeld, beschikbaar op elk Android 8.0+ apparaat Als Google Play Services is geïnstalleerd, kan de gebruiker 'SMS-code automatisch aanvullen' inschakelen, zoals hieronder weergegeven. Deze activiteit wordt momenteel niet geëxporteerd, maar is toegankelijk door het bestand handmatig te starten com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity activiteit.
Ik gebruik geen op sms gebaseerde 2FA voor mijn accounts, noch gebruik ik de Autofill-service van Google (Ik ben een KeePass-fan), dus ik kon het niet zelf testen. De functie lijkt echter vrij eenvoudig: wanneer u een code via sms ontvangt, biedt de Autofill-service aan om de code automatisch in te voeren, net als elk wachtwoord dat u heeft opgeslagen. Hoewel dit voorlopig een leuke functie is, hebben we toegang tot websites en apps zonder dat u een wachtwoord nodig heeft in de nabije toekomst dankzij de recente FIDO2-certificering van Android.
Je kunt de nieuwste versie van Play Services downloaden op APKMirror, of u kunt wachten tot het de komende weken geleidelijk wordt uitgerold.
Met dank aan PNF Software voor het verstrekken van een gebruikslicentie JEB-decompiler, een professionele reverse engineering-tool voor Android-applicaties.