Бета-версія Google Play Services 18.7.13 додала нову функцію «Автозаповнення коду SMS», яка дозволяє службі автозаповнення отримувати коди підтвердження з SMS.
Налаштування двофакторної автентифікації для ваших облікових записів в Інтернеті є необхідністю, якщо ви взагалі дбаєте про безпеку своїх даних. Більшість користувачів, які ввімкнули 2FA, використовують підказки на пристрої, програми автентифікації або коди підтвердження, надіслані через SMS. Хоча перші два вважаються більш безпечними, ніж перевірка коду SMS, Дослідження Google показує, що SMS-підтвердження облікових записів Google "допомогло заблокувати 100% автоматичних ботів, 96% масових фішингових атак і 76% цілеспрямовані атаки." Переваги очевидні, але причина, чому багато людей досі не використовують 2FA, навіть через SMS, полягає в тому, що вони знаходять незручно. Сьогодні Google випустив бета-версію Google Play Services 18.7.13, яка натякає на новий спосіб для коди підтвердження, які автоматично отримуються з текстових повідомлень: через вбудовану функцію автозаповнення Android Сервіс.
Розбирання APK часто може передбачити функції, які можуть з’явитися в майбутньому оновленні програми, але можливо, що жодна з функцій, які ми тут згадуємо, може не потрапити в майбутній випуск. Це пояснюється тим, що ці функції наразі не реалізовані в поточній збірці, і Google може будь-коли видалити їх у майбутній збірці.
Зміни бета-версії служб Google Play 18.7.13
Наразі існує кілька способів не відкривати програму обміну повідомленнями вручну, щоб скопіювати код підтвердження. По-перше, додаток для обміну повідомленнями (як у Google Повідомлення) може автоматично виявити та представити код у сповіщенні про нове текстове повідомлення. По-друге, програма, якій потрібен код, може використовувати API отримання SMS, API, який є частиною Google Play Services, для автоматичного зчитування коду SMS. По-третє, програма, якій потрібен код, може створити PendingIntent типу createAppSpecificSmsToken, доступний з Android 8.0 Oreo. Нарешті, програма може запитувати дозвіл READ_SMS на читання вхідних текстових повідомлень для коду підтвердження, однак Google нещодавно зламав додатки які використовують такі дозволи на SMS.
Із 4 методів, згаданих в останньому абзаці, рекомендованим методом отримання коду SMS є API отримання SMS, оскільки сервіси Google Play є майже всюдисущими. На жаль, багато розробників програм досі не користуються цим API. Причина, згідно з XDA Recognized Developer Quinny899 хто працює над програмою, яка використовує цей API, тому що необхідний формат текстового повідомлення, яке надсилається користувачам, не ідеальний. Тіло текстового повідомлення має починатися з і закінчуватися хешем, який базується на підписі програми. Цей хеш може змусити користувачів подумати, що це справді SMS-код.
Google хоче, щоб користувачі запровадили кращі методи безпеки, що означає, що вони хочуть зробити двофакторну автентифікацію більш приємною для користувачів. Здається, для цього вони оновлять службу автозаповнення Google, щоб автоматично отримувати коди підтвердження з текстових повідомлень. Це забезпечить автоматичне отримання коду SMS для користувачів, чиї програми обміну повідомленнями за умовчанням ще не отримують код автоматично та чиї програми не використовують API отримання SMS.
<stringname="sms_code_autofill_consent_message">You can change the settings in Settings → Google → Verification code autofill.string>
<stringname="sms_code_autofill_consent_title">Allow %s to automatically enter verification codes from text messages?string>
<stringname="sms_code_autofill_settings_title">SMS Code Autofillstring>
<stringname="sms_code_autofill_settings_toggle_description">Autofill must be enabled to automatically fill SMS codes. You can enable autofill in Settings → System → Languages & Input → Advanced → Autofill service.string>
<stringname="sms_code_autofill_settings_toggle_primary">Autofill SMS Codesstring>
<stringname="sms_code_autofill_settings_toggle_secondary">Allow autofill service to access SMS messages to retrieve verification codestring>
<stringname="sms_code_pref_key_autofill_permission_state">autofill_permission_statestring>
<stringname="sms_code_pref_key_dummy_for_description">dummy_for_descriptionstring>
Увімкнувши службу автозаповнення Google, доступний на будь-якому пристрої Android 8.0+ після встановлення служб Google Play користувач зможе ввімкнути «Автозаповнення коду SMS», як показано нижче. Ця активність наразі не експортована, але до неї можна отримати доступ, запустивши вручну com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity
діяльність.
Я не використовую 2FA на основі SMS для жодного зі своїх облікових записів і не використовую службу автозаповнення Google (Я фанат KeePass), тому я не зміг перевірити це самостійно. Однак ця функція здається досить простою: коли ви отримуєте код через SMS, служба автозаповнення запропонує ввести код автоматично, як і будь-який збережений вами пароль. Хоча зараз це приємна функція, ми матимемо доступ до веб-сайтів і програм без необхідності введення пароля у найближчому майбутньому завдяки нещодавній сертифікації Android FIDO2.
Ви можете завантажити останню версію Play Services на APKMirror, або ви можете дочекатися його поступового розгортання протягом наступних тижнів.
Дякуємо PNF Software за надання нам ліцензії на використання Декомпілятор JEB, професійний інструмент зворотного проектування для програм Android.