Oto, jak Android 15 chroni kody uwierzytelniania dwuskładnikowego przed złośliwymi aplikacjami

prawica.net 2 tygodni temu

Mishaal Rahman / Android AuthorityTL;DR Android 15 blokuje niezaufanym aplikacjom możliwość odczytywania poufnych powiadomień, choćby jeżeli mają one uprawnienia do odczytu wszystkich powiadomień. Przed Androidem 15 aplikacje z dostępem do powiadomień mogły czytać wszystkie przychodzące powiadomienia, choćby te z kodami OTP. Jednak teraz tylko niektóre zaufane aplikacje mogą odczytywać kody OTP z powiadomień. Panel powiadomień Twojego telefonu to skarbnica wrażliwych danych, ponieważ zawiera nie tylko wiadomości osobiste, ale także kody zabezpieczające wysyłane z usług online, dla których włączono uwierzytelnianie dwuskładnikowe. Dlatego wiele złośliwych aplikacji próbuje nakłonić Cię do przyznania im dostępu do powiadomień, aby mogły ukraść kody uwierzytelniania dwuskładnikowego. Na szczęście aktualizacja Androida 15 utrudnia złośliwym aplikacjom wyodrębnianie kodów uwierzytelniania dwuskładnikowego z powiadomień. Android od dawna oferuje interfejs API o nazwie Notification Listener, który umożliwia aplikacjom innych firm dostęp do Twoich powiadomień. Ponieważ powiadomienia mogą zawierać poufne dane, aplikacje nie mogą korzystać z interfejsu API odbiornika powiadomień, chyba iż uzyskają Twoją zgodę. Musisz manualnie przyznać aplikacji dostęp do powiadomień za pośrednictwem aplikacji Ustawienia, a jedyne, co aplikacje mogą zrobić, aby pomóc w tym procesie, to otworzyć stronę Ustawienia, na której możesz przyznać dostęp.Mishaal Rahman / Android AuthorityPo przyznaniu aplikacji dostępu do powiadomień może ona czytać, odpowiadać, odrzucać lub kontrolować wszystkie powiadomienia na Twoim telefonie lub podzbiór powiadomień, do których przyznałeś jej dostęp. Nie ma znaczenia, czy to powiadomienie zawiera coś naprawdę wrażliwego, na przykład dwuskładnikowy kod uwierzytelniający — dzięki interfejsowi API Notification Listener aplikacje mogą je odczytać i w ten sposób wyodrębnić. Android 15 zmienia sytuację, oznaczając powiadomienia z kodami uwierzytelniania dwuskładnikowego jako „ wrażliwe” i zezwalające na ich odczytanie jedynie „zaufanym” usługom odbiornika powiadomień. Każda „niezaufana” usługa nasłuchiwania powiadomień, która spróbuje odczytać powiadomienia dzięki kodów uwierzytelniania dwuskładnikowego, otrzyma po prostu komunikat o treści „Ukryta poufna treść powiadomienia”. Oto krótki film pokazujący, jak ta zmiana wpływa na nasłuchiwanie powiadomień w systemie Android 14 w porównaniu z Androidem 15 W tym filmie możesz zobaczyć, iż aplikacja, której przyznałem dostęp do powiadomień na urządzeniu z systemem Android 14, może czytać powiadomienia zawierające kody uwierzytelniania dwuskładnikowego. Natomiast ta sama aplikacja z tymi samymi uprawnieniami na urządzeniu z systemem Android 15 nie może czytać powiadomień zawierających kody uwierzytelniania dwuskładnikowego. Pod maską znajduje się aplikacja Android System Intelligence (ASI), która przetwarza wszystkie powiadomienia, zanim zostaną wysłane do usług odbiornika powiadomień. jeżeli ASI wykryje, iż powiadomienie zawiera dwuskładnikowy kod uwierzytelniający, poinformuje system, aby oznaczył je jako „poufne” i zablokował wysyłanie do „niezaufanych” usług odbiornika powiadomień. „Niezaufane” usługi nasłuchiwania powiadomień należą do aplikacji, które nie posiadają nowego uprawnienia RECEIVE_SENSITIVE_NOTIFICATIONS dodanego przez Google w systemie Android 15. To uprawnienie można przyznać tylko aplikacjom podpisanym certyfikatem systemu lub aplikacjom pełniącym określone role. Większość ról, którym przyznano uprawnienie RECEIVE_SENSITIVE_NOTIFICATIONS, może pełnić tylko aplikacje systemowe, ale są też takie, które mogą pełnić aplikacje innych firm, np. COMPANION_DEVICE_WATCH, COMPANION_DEVICE_GLASSES i HOME. Odpowiednio role te przypisane są aplikacjom towarzyszącym do oglądania, aplikacjom towarzyszącym na inteligentne okulary i domyślnemu programowi uruchamiającemu. Innymi słowy, jedynymi aplikacjami innych firm, które na Androidzie 15 mogą odczytywać powiadomienia zawierające kody uwierzytelniania dwuskładnikowego, są aplikacje łączące się z Twoim smartwatchem, aplikacje łączące się z Twoimi inteligentnymi okularami lub domyślna aplikacja uruchamiająca ekran główny.Przykładowe okno dialogowe aplikacji żądającej przyjęcia roli COMPANION_DEVICE_WATCH. Zablokowanie aplikacjom innych firm możliwości odczytywania powiadomień zawierających kody uwierzytelniania dwuskładnikowego, miejmy nadzieję, powstrzyma niektóre próby włamań, ale zakłóci także działanie niektórych narzędzi automatyzacji i wygody, takich jak „Kopiuj Kod SMS” – bezpłatna aplikacja o otwartym kodzie źródłowym, której użyłem do zademonstrowania tych zmian. Istnieje łatwe obejście umożliwiające przywrócenie starego zachowania, ale nie jest to coś, co polecam. Polega na wyłączeniu „Ulepszone powiadomienia” pod Ustawienia > Powiadomienia. Uniemożliwia to ASI analizowanie powiadomień i oznaczanie tych z kodami uwierzytelniania dwuskładnikowego jako „wrażliwych”, ale także uniemożliwia mu generowanie sugerowanych działań lub odpowiedzi. Inne obejście wymaga skonfigurowania i użycia ADB do manualnego przyznania uprawnienia RECEIVE_SENSITIVE_NOTIFICATIONS dzięki następującego polecenia: CodeCopy Textadb powłoki cmd appops set –user 0 RECEIVE_SENSITIVE_NOTIFICATIONS zezwolenie Tutaj znajduje się nazwa pakietu dla aplikacji, której chcesz przyznać uprawnienia. Powinieneś to robić tylko wtedy, gdy jesteś zaawansowanym użytkownikiem i istnieje jakieś narzędzie, w przeciwnym razie ta zmiana ulegnie awarii. Wspaniale jest widzieć, jak Android wprowadza takie drobne poprawki, które poprawiają bezpieczeństwo, ale byłoby miło, gdyby Google udokumentował gdzieś tę zmianę, szczególnie ponieważ wpływa to na zachowanie aplikacji. Byłoby również miło, gdyby Android selektywnie blokował wyświetlanie wrażliwych powiadomień na ekranie blokady, co Google testowało, gdy po raz pierwszy informowałem o tej zmianie w lutym — być może pojawi się to w przyszłej aktualizacji Androida.
Masz wskazówkę? Porozmawiaj z nami! Wyślij e-mail do naszych pracowników na adres [email protected]. Możesz pozostać anonimowy lub uzyskać uznanie za informacje, to Twój wybór.Komentarze

Idź do oryginalnego materiału