Google Play Services 18.7.13 เบต้าได้เพิ่มฟีเจอร์ "ป้อนรหัส SMS อัตโนมัติ" ใหม่ ซึ่งให้บริการป้อนอัตโนมัติดึงรหัสยืนยันจาก SMS
การตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัยสำหรับบัญชีออนไลน์ของคุณเป็นสิ่งจำเป็นหากคุณใส่ใจในเรื่องความปลอดภัยของข้อมูลของคุณ ผู้ใช้ส่วนใหญ่ที่เปิดใช้งาน 2FA จะใช้ข้อความแจ้งบนอุปกรณ์ แอปตรวจสอบสิทธิ์ หรือรหัสยืนยันที่ส่งทาง SMS แม้ว่าทั้งสองแบบแรกจะถือว่าปลอดภัยกว่าการยืนยันรหัส SMS การวิจัยของ Google แสดงให้เห็นว่าการยืนยันทาง SMS สำหรับบัญชี Google "ช่วยบล็อกบอทอัตโนมัติ 100%, การโจมตีแบบฟิชชิ่งจำนวนมาก 96% และ 76% ของ การโจมตีแบบกำหนดเป้าหมาย" ประโยชน์นั้นชัดเจน แต่เหตุผลที่หลายคนยังไม่ใช้ 2FA แม้จะผ่านทาง SMS ก็เพราะพวกเขาพบว่า ไม่สะดวก วันนี้ Google เปิดตัวบริการ Google Play เวอร์ชัน 18.7.13 เบต้า และแนะนำวิธีใหม่สำหรับ รหัสยืนยันที่จะดึงมาจากข้อความโดยอัตโนมัติ: ผ่านการป้อนอัตโนมัติในตัวของ Android บริการ.
การแยกส่วน APK มักจะสามารถคาดเดาคุณสมบัติที่อาจมาถึงในการอัปเดตแอปพลิเคชันในอนาคต แต่เป็นไปได้ว่าคุณสมบัติใดๆ ที่เรากล่าวถึงในที่นี้อาจไม่ปรากฏในรุ่นอนาคต เนื่องจากขณะนี้ฟีเจอร์เหล่านี้ยังไม่มีการใช้งานในเวอร์ชันที่ใช้งานจริง และ Google อาจดึงมาใช้ในเวอร์ชันต่อๆ ไปเมื่อใดก็ได้
การเปลี่ยนแปลงบริการ Google Play 18.7.13 เบต้า
ขณะนี้มีหลายวิธีในการไม่ต้องเปิดแอปส่งข้อความด้วยตนเองเพื่อคัดลอกรหัสยืนยัน ขั้นแรก แอปส่งข้อความ (เช่น Google ข้อความ) อาจตรวจจับและแสดงรหัสในการแจ้งเตือนเมื่อมีข้อความใหม่โดยอัตโนมัติ ประการที่สอง แอปที่ต้องการรหัสสามารถใช้ SMS รีทรีฟเวอร์ APIซึ่งเป็น API ที่เป็นส่วนหนึ่งของบริการ Google Play เพื่ออ่านรหัส SMS โดยอัตโนมัติ ประการที่สาม แอปที่ต้องใช้โค้ดสามารถทำได้ สร้าง PendingIntent ประเภท createAppSpecificSmsTokenใช้งานได้ตั้งแต่ Android 8.0 Oreo สุดท้ายนี้ แอปสามารถขอสิทธิ์ READ_SMS เพื่ออ่านข้อความขาเข้าสำหรับรหัสยืนยันได้ อย่างไรก็ตาม Google เพิ่งปราบปรามแอป ที่ใช้การอนุญาต SMS เช่นนี้
จาก 4 วิธีที่กล่าวถึงในย่อหน้าสุดท้าย วิธีที่แนะนำในการดึงรหัส SMS คือ SMS Retriever API เนื่องจากบริการ Google Play เกือบจะแพร่หลาย น่าเศร้าที่นักพัฒนาแอปจำนวนมากยังคงไม่ใช้ประโยชน์จาก API นี้ เหตุผลตาม XDA Recognized Developer ควินนี่899 ที่ทำงานบนแอปที่ใช้ API นี้ เนื่องจากรูปแบบข้อความที่ต้องการที่ส่งถึงผู้ใช้ไม่เหมาะ เนื้อหาข้อความต้องขึ้นต้นด้วย และลงท้ายด้วยแฮชที่อิงตามลายเซ็นของแอป แฮชนี้อาจทำให้ผู้ใช้สับสนโดยคิดว่าจริงๆ แล้วเป็นรหัส SMS ที่เป็นปัญหา
Google ต้องการให้ผู้ใช้นำแนวทางปฏิบัติด้านความปลอดภัยที่ดีขึ้น ซึ่งหมายความว่าพวกเขาต้องการทำให้การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นที่พอใจของผู้ใช้มากขึ้น ในการดำเนินการดังกล่าว ดูเหมือนว่าพวกเขาจะอัปเดตบริการป้อนอัตโนมัติของ Google เพื่อดึงรหัสยืนยันจากข้อความตัวอักษรโดยอัตโนมัติ การดำเนินการนี้จะนำการดึงรหัส SMS อัตโนมัติมาสู่ผู้ใช้ที่แอพส่งข้อความเริ่มต้นไม่ได้ดึงรหัสโดยอัตโนมัติและแอพที่ไม่ได้ใช้ SMS Retriever API
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>หลังจากเปิดใช้งานบริการป้อนอัตโนมัติของ Google แล้ว ใช้งานได้บนอุปกรณ์ Android 8.0+ ทุกรุ่น เมื่อติดตั้งบริการ Google Play แล้ว ผู้ใช้จะสามารถเปิดใช้งาน "ป้อนรหัส SMS อัตโนมัติ" ดังที่แสดงด้านล่าง กิจกรรมนี้ยังไม่ได้ส่งออกในขณะนี้ แต่สามารถเข้าถึงได้โดยการเปิดใช้ด้วยตนเอง com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity กิจกรรม.
ฉันไม่ได้ใช้ 2FA ที่ใช้ SMS สำหรับบัญชีใดๆ ของฉัน และฉันไม่ได้ใช้บริการป้อนข้อความอัตโนมัติของ Google (ฉันเป็นแฟนคีพาส) ดังนั้นฉันจึงไม่สามารถทดสอบด้วยตัวเองได้ อย่างไรก็ตาม คุณลักษณะนี้ดูค่อนข้างตรงไปตรงมา: เมื่อคุณได้รับรหัสทาง SMS บริการป้อนอัตโนมัติจะเสนอให้ป้อนรหัสโดยอัตโนมัติเหมือนกับรหัสผ่านที่คุณบันทึกไว้ แม้ว่านี่จะเป็นคุณสมบัติที่ดีในตอนนี้ แต่เราจะสามารถเข้าถึงเว็บไซต์และแอพต่างๆ ได้ โดยไม่ต้องใช้รหัสผ่าน ในอนาคตอันใกล้นี้ต้องขอบคุณการรับรอง FIDO2 ล่าสุดของ Android
คุณสามารถดาวน์โหลด Play Services เวอร์ชันล่าสุดได้ที่ APKMirrorหรือคุณสามารถรอให้ทยอยเปิดตัวในอีกไม่กี่สัปดาห์ข้างหน้า
ขอขอบคุณซอฟต์แวร์ PNF ที่ให้ใบอนุญาตแก่เรา โปรแกรมถอดรหัส JEBซึ่งเป็นเครื่องมือวิศวกรรมย้อนกลับระดับมืออาชีพสำหรับแอปพลิเคชัน Android