Google Play Services si prepara a consentire al servizio di compilazione automatica di estrarre automaticamente i codici di verifica SMS

La configurazione dell'autenticazione a due fattori per i tuoi account online è una necessità se ti preoccupi della sicurezza dei tuoi dati.
La maggior parte degli utenti che hanno abilitato 2FA utilizza prompt sul dispositivo, app di autenticazione o codici di verifica inviati tramite SMS.
Sebbene i primi due siano considerati più sicuri della verifica del codice SMS, la ricerca di Google mostra che la verifica SMS per gli account Google "ha contribuito a bloccare il 100% dei bot automatizzati, il 96% degli attacchi di phishing in blocco e il 76% degli attacchi mirati".
I vantaggi sono evidenti.
, ma il motivo per cui molte persone non usano ancora 2FA, anche via SMS, è perché lo trovano scomodo.
Oggi Google ha lanciato la versione 18.7.13 beta di Google Play Services e suggerisce un nuovo modo per recuperare automaticamente i codici di verifica dai messaggi di testo: tramite il servizio di compilazione automatica di Android.
Uno smontaggio dell'APK può spesso prevedere le funzionalità che potrebbero arrivare in un futuro aggiornamento di un'applicazione, ma è possibile che una qualsiasi delle funzionalità che menzioniamo qui non possa farcela in una versione futura.
Questo perché al momento queste funzioni non sono implementate nella build live e potrebbero essere estratte in qualsiasi momento da Google in una build futura.
Google Play Services 18.7.13 Modifiche beta Attualmente ci sono alcuni modi per saltare la necessità di aprire manualmente l'app di messaggistica per copiare il codice di verifica.
Innanzitutto, l'app di messaggistica (come i messaggi di Google) può rilevare e presentare automaticamente il codice nella notifica per un nuovo messaggio di testo.
In secondo luogo, l'app che richiede il codice può utilizzare l'API di SMS Retriever, un'API che fa parte di Google Play Services, per leggere automaticamente il codice SMS.
In terzo luogo, l'app che necessita del codice può creare un PendingIntent del tipo createAppSpecificSmsToken, disponibile da Android 8.0 Oreo.
Infine, l'app può richiedere l'autorizzazione READ_SMS per leggere i messaggi di testo in arrivo per il codice di verifica, tuttavia Google ha recentemente analizzato le app che utilizzano autorizzazioni SMS come questa.
Dei 4 metodi menzionati nell'ultimo paragrafo, il metodo consigliato per recuperare il codice SMS è l'API di SMS Retriever poiché Google Play Services è quasi onnipresente.
Purtroppo, molti sviluppatori di app non sfruttano ancora questa API.
Il motivo, secondo lo sviluppatore riconosciuto XDA Quinny899 che lavora su un'app che utilizza questa API, è perché il formato richiesto del messaggio di testo inviato agli utenti non è l'ideale.
Il corpo del messaggio di testo deve iniziare con <#> e terminare con un hash basato sulla firma dell'app.
Questo hash potrebbe confondere gli utenti nel pensare che sia effettivamente il codice SMS in questione.
Prova a indovinare quale sia il formato di verifica iOS.
Ho sfocato l'hash secondo la richiesta di Quinny899.
Google vuole che gli utenti adottino migliori pratiche di sicurezza, il che significa che vogliono rendere più appetibile l'autenticazione a due fattori per gli utenti.
A tal fine, sembra che aggiorneranno il servizio di riempimento automatico di Google per recuperare automaticamente i codici di verifica dai messaggi di testo.
Ciò porterà il recupero automatico del codice SMS agli utenti le cui app di messaggistica predefinite non recuperano già automaticamente il codice e le cui app non utilizzano l'API di SMS Retriever.
Puoi modificare le impostazioni in Impostazioni → Google → Riempimento automatico del codice di verifica.
Consenti a% s di inserire automaticamente i codici di verifica dai messaggi di testo? Riempimento automatico codice SMS La compilazione automatica deve essere abilitata per riempire automaticamente i codici SMS.
È possibile abilitare il riempimento automatico in Impostazioni → Sistema → Lingue e input → Avanzate → Servizio di riempimento automatico.
Compilazione automatica dei codici SMS Consenti al servizio di compilazione automatica di accedere ai messaggi SMS per recuperare il codice di verifica autofill_permission_state dummy_for_description Dopo aver abilitato il servizio di riempimento automatico di Google, disponibile su qualsiasi dispositivo Android 8.0+ con installato Google Play Services, l'utente sarà in grado di abilitare il "Riempimento automatico del codice SMS", come mostrato di seguito.
Questa attività non è attualmente esportata ma è possibile accedervi avviando manualmente l'attività com.google.android.gms.auth.api.phone.ui.AutofillSettingsActivity.
Non utilizzo 2FA basati su SMS per nessuno dei miei account né utilizzo il servizio di compilazione automatica di Google (sono un fan di KeePass), quindi non sono stato in grado di testarlo da solo.
Tuttavia, la funzionalità sembra piuttosto semplice: quando ricevi un codice via SMS, il servizio di riempimento automatico ti offrirà di inserire il codice automaticamente proprio come qualsiasi password che hai salvato.
Anche se questa è una bella funzionalità per ora, saremo in grado di accedere a siti Web e app senza bisogno di una password nel prossimo futuro grazie alla recente certificazione FIDO2 di Android.
Puoi scaricare la versione più recente di Play Services su APKMirror oppure puoi aspettare che si estenda gradualmente nelle prossime settimane.
Grazie al software PNF per averci fornito una licenza per utilizzare JEB Decompiler, uno strumento di reverse engineering di livello professionale per applicazioni Android.
Il post Google Play Services si prepara a consentire al servizio di compilazione automatica di estrarre automaticamente i codici di verifica SMS apparsi per primi sugli sviluppatori xda.