Usługi Google Play w wersji 18.7.13 beta dodały nową funkcję „Autouzupełniania kodu SMS”, która umożliwia usłudze automatycznego uzupełniania pobieranie kodów weryfikacyjnych z wiadomości SMS.
Skonfigurowanie uwierzytelniania dwuskładnikowego dla swoich kont internetowych jest koniecznością, jeśli w ogóle zależy Ci na bezpieczeństwie swoich danych. Większość użytkowników, którzy mają włączoną funkcję 2FA, korzysta z monitów na urządzeniu, aplikacji uwierzytelniających lub kodów weryfikacyjnych wysyłanych SMS-em. Chociaż te dwa pierwsze są uważane za bezpieczniejsze niż weryfikacja kodem SMS, Badania Google pokazuje, że weryfikacja SMS-em dla kont Google „pomogła zablokować 100% automatycznych botów, 96% masowych ataków phishingowych i 76% ukierunkowane ataki.” Korzyści są oczywiste, ale powodem, dla którego wiele osób nadal nie korzysta z 2FA, nawet za pośrednictwem SMS-ów, jest to, że je znajdują niewygodny. Dzisiaj Google udostępniło wersję beta Usług Google Play 18.7.13, która wskazuje nowy sposób kody weryfikacyjne, które mają być automatycznie pobierane z wiadomości tekstowych: poprzez wbudowaną funkcję automatycznego wypełniania w systemie Android Praca.
Porzucenie pakietu APK często pozwala przewidzieć funkcje, które mogą pojawić się w przyszłej aktualizacji aplikacji, ale możliwe jest, że którakolwiek z funkcji, o których tutaj wspominamy, może nie zostać uwzględniona w przyszłej wersji. Dzieje się tak, ponieważ te funkcje nie są obecnie zaimplementowane w aktualnej wersji i mogą zostać pobrane przez Google w dowolnym momencie w przyszłej wersji.
Usługi Google Play 18.7.13 Zmiany w wersji beta
Obecnie istnieje kilka sposobów na uniknięcie konieczności ręcznego otwierania aplikacji do przesyłania wiadomości w celu skopiowania kodu weryfikacyjnego. Po pierwsze, aplikacja do przesyłania wiadomości (taka jak Google Wiadomości) może automatycznie wykryć i zaprezentować kod w powiadomieniu o nowej wiadomości tekstowej. Po drugie, aplikacja potrzebująca kodu może użyć pliku API pobierania SMS-ów, interfejs API będący częścią Usług Google Play, umożliwiający automatyczne odczytanie kodu SMS. Po trzecie, aplikacja wymagająca kodu może to zrobić utwórz PendingIntent typu createAppSpecificSmsToken, dostępny od wersji Androida 8.0 Oreo. Na koniec aplikacja może poprosić o pozwolenie READ_SMS na czytanie przychodzących wiadomości tekstowych w celu uzyskania kodu weryfikacyjnego, jednak Google niedawno zaatakował aplikacje które korzystają z takich uprawnień SMS.
Spośród 4 metod wymienionych w ostatnim akapicie zalecaną metodą odzyskiwania kodu SMS jest API SMS Retriever, ponieważ Usługi Google Play są niemal wszechobecne. Niestety wielu twórców aplikacji nadal nie korzysta z tego interfejsu API. Powód, według uznanego programisty XDA Quinny899 który pracuje nad aplikacją korzystającą z tego interfejsu API, wynika z tego, że wymagany format wiadomości tekstowej wysyłanej do użytkowników nie jest idealny. Treść wiadomości tekstowej musi zaczynać się od i kończyć skrótem opartym na podpisie aplikacji. Ten skrót może zmylić użytkowników i pomyśleć, że jest to rzeczywiście kod SMS, o którym mowa.
Google chce, aby użytkownicy przyjęli lepsze praktyki bezpieczeństwa, co oznacza, że chcą, aby uwierzytelnianie dwuskładnikowe było dla nich wygodniejsze. Wygląda na to, że w tym celu zaktualizują usługę Google Autofill, aby automatycznie pobierać kody weryfikacyjne z wiadomości tekstowych. Spowoduje to automatyczne pobieranie kodów SMS dla użytkowników, których domyślne aplikacje do przesyłania wiadomości nie pobierają jeszcze kodu automatycznie i których aplikacje nie korzystają z interfejsu API SMS Retriever.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>Po włączeniu usługi autouzupełniania Google, dostępne na każdym urządzeniu z Androidem 8.0 lub nowszym po zainstalowaniu Usług Google Play użytkownik będzie mógł włączyć „automatyczne uzupełnianie kodu SMS”, jak pokazano poniżej. To działanie nie jest obecnie eksportowane, ale można uzyskać do niego dostęp, uruchamiając ręcznie plik com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity działalność.
Nie korzystam z weryfikacji dwuetapowej opartej na SMS-ach na żadnym z moich kont ani usługi autouzupełniania Google (Jestem fanem KeePass), więc nie mogłem sam tego przetestować. Jednak funkcja ta wydaje się całkiem prosta: gdy otrzymasz kod w wiadomości SMS, usługa automatycznego uzupełniania zaproponuje automatyczne wprowadzenie kodu, tak jak w przypadku każdego zapisanego hasła. Chociaż na razie jest to fajna funkcja, będziemy mogli uzyskać dostęp do stron internetowych i aplikacji bez konieczności podawania hasła w najbliższej przyszłości dzięki niedawnej certyfikacji FIDO2 systemu Android.
Najnowszą wersję Usług Play możesz pobrać na APKMirrorlub możesz poczekać, aż będzie wprowadzane stopniowo w nadchodzących tygodniach.
Dziękujemy firmie PNF Software za udostępnienie nam licencji na użytkowanie Dekompilator JEB, profesjonalne narzędzie inżynierii wstecznej dla aplikacji na Androida.