Mishaal Rahman / Autoridade Android
DR
- O Google pode estar reprimindo um método conhecido de ataque à segurança do Android no Android 15.
- Aplicativos maliciosos que podem ler suas notificações podem interceptar senhas de uso único (OTPs) e sequestrar suas contas, e o Google quer evitar isso.
- O código do Android 15 sugere que o Google pode impedir que aplicativos não confiáveis leiam notificações com OTPs.
É essencial proteger suas contas online para que não caiam nas mãos de hackers, por isso você deve usar uma chave de acesso ou ativar a autenticação de dois fatores (2FA) sempre que possível. Embora algumas formas de 2FA sejam mais seguras do que outras, algumas plataformas suportam apenas os métodos mais básicos, em que suas senhas de uso único (OTPs) são enviadas por e-mail ou texto. Esses métodos são convenientes porque não requerem configuração adicional, mas também são menos seguros porque são mais fáceis de interceptar. Felizmente, o Android 15 pode adicionar um novo recurso que evita que seus OTPs sejam lidos por aplicativos Android maliciosos.
Ao pesquisar a atualização do Android 14 QPR3 Beta 1, descobri a adição de uma nova permissão chamada RECEIVE_SENSITIVE_NOTIFICATIONS
. Esta permissão tem um protectionLevel
de role|signature
, o que significa que só pode ser concedido a aplicativos com a função necessária ou a aplicativos assinados pelo OEM. Embora a função exata que concede essa permissão ainda não tenha sido definida, é provável que o Google não pretenda abrir essa permissão para aplicativos de terceiros.
<permission android:name="android.permission.RECEIVE_SENSITIVE_NOTIFICATIONS" android:protectionLevel="role|signature"/>
Acredito nisso porque essa permissão está vinculada a um novo recurso de plataforma em desenvolvimento que visa redigir notificações confidenciais de aplicativos não confiáveis que implementam um NotificationListenerService
. Esta é uma API que permite que os aplicativos leiam ou executem ações em todas as notificações. Os usuários precisam conceder manualmente permissão aos aplicativos nas Configurações antes do NotificationListenerService
A API fica disponível, no entanto.
Mishaal Rahman / Autoridade Android
Configurações de acesso a notificações no Android 14 em um Galaxy S24 Ultra.
Dado o quão poderosas são essa permissão e API, não é surpresa que o Google queira limitar o tipo de dados que os aplicativos podem obter deles. Não sabemos exatamente o que constitui um aplicativo “não confiável”, mas é provável que qualquer aplicativo que não possua a nova RECEIVE_SENSITIVE_NOTIFICATIONS
permissão. Essa permissão provavelmente se aplicaria apenas a aplicativos selecionados do sistema.
Também não sabemos exatamente quais tipos de notificações o Google considera “sensíveis”, mas temos motivos para acreditar que se referem a notificações com códigos 2FA. Ao pesquisar o código-fonte do Android 14, descobrimos um novo sinalizador chamado OTP_REDACTION
que é usado para bloquear “a redação de notificações OTP na tela de bloqueio”. No entanto, esse sinalizador não é usado no Android 14, pois é provavelmente algo que o Google pretende lançar com o Android 15.
Com a adição do OTP_REDACTION
bandeira e o RECEIVE_SENSITIVE_NOTIFICATIONS
permissão, o Android terá três maneiras de proteger os usuários contra o vazamento de seus códigos 2FA para terceiros. O OTP_REDACTION
flag sugere que o Android impedirá que os usuários vazem seus códigos 2FA na tela de bloqueio, enquanto o RECEIVE_SENSITIVE_NOTIFICATIONS
permissão sugere que o Android impedirá que aplicativos não confiáveis leiam notificações com códigos 2FA. Por fim, um recurso existente do Android 13 impede que os usuários habilitem o serviço de ouvinte de notificação de um aplicativo se ele tiver sido instalado de uma fonte não confiável.