اندروید 15 ممکن است برای ایمن نگه داشتن اطلاعات کاربر، تقویت امنیت احراز هویت دو مرحله ای را ارائه دهد: گزارش

اندروید 15 هنوز در حال توسعه است، اما در روز جمعه، 16 فوریه، گوگل اولین پیش نمایش توسعه دهندگان از سیستم عامل آینده را منتشر کرد. این غول فناوری گفت که نرم افزار جدید اندروید تا حد زیادی بر امنیت تمرکز خواهد کرد و گزارش جدید ادعا می کند که سه راه جدید کشف کرده است که گوشی هوشمند و داده های حساس شما را ایمن تر می کند. به گفته وی، اندروید 15 می تواند بهتر از نوتیفیکیشن های ناشی از احراز هویت دو مرحله ای (2FA) محافظت کند تا یک برنامه مخرب یا بدافزار نتواند برای سرقت اطلاعات کاربر به آنها دسترسی داشته باشد.

طبق گزارش میشال رحمان از Android Authority، اندروید 15 راه‌های جدیدی را برای پوشش شکاف‌های پیشینیان خود پیاده‌سازی خواهد کرد. در حال حاضر، اکثر روش‌های احراز هویت دو مرحله‌ای برای حساب‌های رسانه‌های اجتماعی، ایمیل و برنامه‌های بانکی از پیامک برای ارسال رمز عبور یک‌بار مصرف (OTP) استفاده می‌کنند. با این حال، اگر یک برنامه شخص ثالث مخرب بتواند این اعلان را بخواند و از آن برای هک کردن داده های حساس یا ورود به برنامه های بانکی شما و سرقت پول استفاده کند، این خطر وجود دارد.

برای کاهش خطر، گوگل قبلاً شروع به قرار دادن رشته‌هایی از کدها در نسخه فعلی سیستم عامل کرده است. این گزارش یک خط کد را در به‌روزرسانی Android 14 QPR3 Beta 1 یافت که مجوز جدیدی به نام RECEIVE_SENSITIVE_NOTIFICATIONS را ذکر می‌کند. این مجوز با سطح حفاظتی بالاتری همراه است و فقط می‌تواند به برنامه‌هایی اعطا شود که Google شخصاً آنها را بررسی می‌کند. نقش دقیق این مجوز مشخص نیست، اما با توجه به نام آن، به نظر می رسد که با دسته خاصی از اعلان ها سروکار دارد که توسط برنامه های شخص ثالث قابل خواندن نیستند.

این گزارش نشان می‌دهد که احتمالاً اعلان‌های مربوط به 2FA را هدف قرار می‌دهد. این اعتقاد از یک رشته کد جداگانه که توسط رحمان یافت شده است، به یک ویژگی پلتفرم غیر توسعه ای اشاره می کند که مجوز به آن گره خورده است. این تابع NotificationListenerService نامیده می‌شود و یک API است که به برنامه‌ها اجازه می‌دهد تا اعلان‌ها را بخوانند یا روی آن اقدام کنند. یکی از موارد استفاده رایج این است که چه تعداد از برنامه‌ها می‌خواهند هنگام ایجاد حساب جدید به اعلان‌های تکمیل خودکار OTP دسترسی داشته باشند. با این حال، زمانی که این API فعال شود (نه در نسخه اندروید 14)، کار دشوارتر خواهد شد.

این API از کاربر می‌خواهد به تنظیمات برود و سپس به‌طور دستی به برنامه‌ها اجازه می‌دهد تا بتوانند فعال شوند. چنین اقدامات سختگیرانه ای احتمالاً برای احراز هویت دو عاملی است. اما حتی در مورد دوم نیز نمی توان با اطمینان گفت.

رحمان سرنخ سومی را پیدا کرد که احتمالاً همه تحولات را به هم مرتبط می کند. یک پرچم جدید در کدهایی با برچسب OTP_REDACTION مشاهده شد. اعلان‌های OTP را روی صفحه قفل گوشی هوشمند ویرایش می‌کند. گوگل در حال حاضر از این پرچم استفاده نمی‌کند، اما گزارش نشان می‌دهد که می‌توان آن را با اندروید 15 فعال کرد. هر سه پیشرفت جداگانه به محافظت از اعلان‌های OTP از برنامه‌های شخص ثالث اشاره می‌کنند و این احتمال وجود دارد که غول فناوری از آنها برای محافظت استفاده کند. برنامه های مالی و سایر برنامه های مهم که ممکن است حاوی اطلاعات حساس باشند.