Robert Triggs / Autoridade Android
DR;TL
- O Google está se preparando para que o Android abra as páginas do Captive Portal em uma guia personalizada do Android em vez de um Android WebView.
- Um Portal Cativo é uma página da web que muitas redes Wi-Fi públicas apresentam antes de permitirem a conexão do seu dispositivo.
- Ao abrir essas páginas da web nas guias personalizadas do Android, eles terão acesso ao preenchimento automático e aos dados da sessão, facilitando o login quando necessário.
As redes Wi-Fi públicas estão em toda parte hoje em dia e, graças à proliferação de tecnologias como HSTS e HTTPS, são geralmente consideradas seguras para uso, mesmo sem o uso de uma VPN. Infelizmente, algumas redes Wi-Fi públicas são bastante inconvenientes de usar, pois podem solicitar que você faça login usando uma conta de mídia social ou compartilhe alguns de seus dados pessoais. Isso não seria um grande problema se o Captive Portal – a página da web que aparece quando você se conecta a uma rede Wi-Fi pública – tivesse acesso aos seus dados de preenchimento automático, mas isso não acontece. Isso pode mudar em breve, no entanto.
Você está lendo um Insights de autoridade história. Descubra o Authority Insights para obter relatórios mais exclusivos, desmontagens de aplicativos, vazamentos e cobertura técnica detalhada que você não encontrará em nenhum outro lugar.
O motivo pelo qual os portais cativos não têm acesso aos seus dados de preenchimento automático é porque eles são abertos no aplicativo Android System WebView. O Android System WebView, ou WebView, é o componente do sistema que permite que os aplicativos exibam conteúdo baseado na web sem tirar você do aplicativo. Embora seja baseado no mesmo código-fonte aberto do Google Chrome e de vários outros melhores navegadores Android, ele não compartilha nenhum preenchimento automático ou dados de sessão com eles. Como consequência, quando um Portal Cativo solicita que você faça login em uma conta de mídia social ou insira seus dados pessoais, você deverá preencher todos esses dados do zero.
Uma variedade de páginas de login simuladas do Captive Portal. Fonte: Roxo.
Porém, se os portais cativos fossem abertos em uma guia personalizada do Android, eles teriam acesso ao preenchimento automático ou aos dados da sessão, já que as guias personalizadas são simplesmente instâncias do navegador da web padrão. As guias personalizadas do Android já existem há muito tempo, embora você possa conhecê-las pelo nome anterior de guias personalizadas do Chrome, quando o recurso era compatível apenas com o Google Chrome. Embora as guias personalizadas não sejam totalmente renderizadas no aplicativo como os WebViews, elas têm acesso à sua sessão de navegação, senhas salvas, métodos de pagamento e endereços, sem mencionar outros recursos que não são suportados pelo aplicativo Android System WebView comparativamente básico . Isso torna as Guias Personalizadas ideais para Portais Cativos, pois podem ajudá-lo a inserir suas informações com mais rapidez — e assim se conectar à rede mais rapidamente.
Mishaal Rahman / Autoridade Android
Abrindo um artigo do Android Authority em uma guia personalizada do Android com tecnologia Google Chrome.
Felizmente, o Google agora está se preparando para que o Android abra essas páginas do Captive Portal em uma guia personalizada do Android em vez de um WebView. Um conjunto de patches marcados captive_portal_cct
que adiciona suporte a guias personalizadas ao Captive Portal Login – o aplicativo do sistema que contém a lógica para lidar com páginas do Captive Portal – foi mesclado há alguns meses. Os patches adicionam suporte preliminar para esse recurso, introduzindo código para abrir portais cativos em uma guia personalizada do Android, bem como agrupar o androidx.browser
biblioteca necessária para suporte à guia personalizada. No entanto, a implementação está desabilitada por padrão e protegida por um sinalizador de recurso, portanto ainda não está habilitada.
O login do Captive Portal faz parte de um módulo do Project Mainline que está disponível em todos os dispositivos que executam o Android 10 ou posterior (Network Stack), o que significa que o Google pode enviar atualizações para ele por meio das atualizações do sistema do Play. Na verdade, o último lançamento público do aplicativo Captive Portal Login já contém o código que o Google mesclou ao AOSP em agosto, mas o recurso ainda está desabilitado por padrão no momento. Não sei quando o Google planeja lançar esse recurso, mas pode demorar um pouco, já que patches adicionais relacionados à guia personalizada que foram incorporados ao AOSP em setembro ainda não chegaram ao aplicativo Captive Portal Login nos dispositivos.
Embora eu ache que a abertura de portais cativos nas guias personalizadas do Android melhorará a conveniência de acesso ao Wi-Fi público, não suspeito que isso realmente levará a melhorias de segurança significativas. Por exemplo, não vejo como essa mudança afetará a eficácia dos ataques gêmeos malignos, que ocorrem quando os invasores configuram um ponto de acesso Wi-Fi público falso com um portal cativo malicioso projetado para roubar suas credenciais. Claro, se um portal cativo falso solicitar seu login social e você reconhecer que algo está errado quando seu navegador não preencheu automaticamente os dados ou não fez login automaticamente usando o cookie salvo, você poderá evitar esse tipo de ataque. No entanto, penso que poucos utilizadores reconheceriam este cenário, o que significa que haveria pouca diferença entre as duas implementações em termos de segurança geral.
Mesmo que essa mudança não melhore realmente a segurança, não consigo ver nenhuma desvantagem importante nela, além de aumentar ligeiramente o tamanho do aplicativo Captive Portal Login. Esperamos que seja lançado em breve, para que o login em algumas redes Wi-Fi públicas seja um pouco menos doloroso.