Prawica

Mishaal Rahman / Android AuthorityTL;DR Google może rozprawiać się ze znaną metodą ataku na bezpieczeństwo Androida w Androidzie 15. Złośliwe aplikacje, które potrafią czytać powiadomienia, mogą przechwytywać hasła jednorazowe (OTP) i przejmować Twoje konta, a Google chce temu zapobiec . Kod w Androidzie 15 sugeruje, że Google może uniemożliwić niezaufanym aplikacjom czytanie powiadomień zawierających hasła jednorazowe. Ochrona kont internetowych jest niezbędna, aby nie wpadły w ręce hakerów, dlatego też, jeśli to możliwe, należy używać hasła lub włączać uwierzytelnianie dwuskładnikowe (2FA). Chociaż niektóre formy 2FA są bezpieczniejsze niż inne, niektóre platformy obsługują tylko najbardziej podstawowe metody, w których hasła jednorazowe (OTP) są wysyłane e-mailem lub SMS-em. Metody te są wygodne, ponieważ nie wymagają dodatkowej konfiguracji, ale są również mniej bezpieczne, ponieważ łatwiej je przechwycić. Na szczęście w systemie Android 15 może zostać dodana nowa funkcja, która uniemożliwia odczytywanie haseł jednorazowych przez złośliwe aplikacje na Androida. Przeglądając aktualizację Androida 14 QPR3 Beta 1, odkryłem dodanie nowego uprawnienia o nazwie RECEIVE_SENSITIVE_NOTIFICATIONS. To uprawnienie ma poziom ochrony w postaci roli|sygnatury, co oznacza, że ​​może zostać przyznane tylko aplikacjom posiadającym wymaganą rolę lub aplikacjom podpisanym przez producenta OEM. Chociaż dokładna rola przyznająca to uprawnienie nie została jeszcze zdefiniowana, prawdopodobnie Google nie zamierza udostępniać tego uprawnienia aplikacjom innych firm.Moim zdaniem jest tak dlatego, że to uprawnienie jest powiązane z nową, opracowywaną funkcją platformy, której celem jest redagowanie poufnych powiadomień z niezaufanych aplikacji, które implementują usługę NotificationListenerService. Jest to interfejs API, który umożliwia aplikacjom odczytywanie wszystkich powiadomień i podejmowanie działań w związku z nimi. Użytkownicy muszą jednak ręcznie przyznać aplikacjom uprawnienia w Ustawieniach, zanim interfejs API NotificationListenerService stanie się dostępny.Mishaal Rahman / Android AuthorityNotification ustawienia dostępu w Androidzie 14 na Galaxy S24 Ultra. Biorąc pod uwagę, jak potężne są te uprawnienia i interfejs API, nic dziwnego, że Google chce ograniczyć rodzaj danych, jakie aplikacje mogą z nich pobierać. Nie wiemy dokładnie, co oznacza „niezaufana” aplikacja, ale prawdopodobnie są to aplikacje, które nie mają nowego uprawnienia RECEIVE_SENSITIVE_NOTIFICATIONS. To uprawnienie prawdopodobnie dotyczyłoby tylko wybranych aplikacji systemowych. Nie wiemy też dokładnie, jakie powiadomienia Google uważa za „wrażliwe”, ale mamy powody sądzić, że odnoszą się one do powiadomień z kodami 2FA. Przeglądając kod źródłowy Androida 14, odkryliśmy nową flagę o nazwie OTP_REDACTION, która służy do blokowania „redagowania powiadomień OTP na ekranie blokady”. Ta flaga nie jest jednak obecnie używana w systemie Android 14, ponieważ prawdopodobnie Google zamierza wypuścić ją w systemie Android 15. Po dodaniu flagi OTP_REDACTION i uprawnienia RECEIVE_SENSITIVE_NOTIFICATIONS system Android będzie miał trzy sposoby ochrony użytkowników przed wyciekiem kodów 2FA do osoby trzecie. Flaga OTP_REDACTION sugeruje, że Android uniemożliwi użytkownikom wyciekanie kodów 2FA na ekranie blokady, podczas gdy uprawnienie RECEIVE_SENSITIVE_NOTIFICATIONS sugeruje, że Android uniemożliwi niezaufanym aplikacjom czytanie powiadomień z kodami 2FA. Wreszcie istniejąca funkcja Androida 13 uniemożliwia użytkownikom włączenie usługi nasłuchiwania powiadomień w aplikacji, jeśli została ona zainstalowana z niezaufanego źródła.
Masz wskazówkę? Mów do nas! Wyślij e-mail do naszych pracowników na adres [email protected]. Możesz zachować anonimowość lub uzyskać uznanie za informacje, to Twój wybór.Komentarze