Mishaal Rahman / Android AuthorityTL;DR Google puede estar tomando medidas enérgicas contra un conocido método de ataque a la seguridad de Android en Android 15. Las aplicaciones maliciosas que pueden leer sus notificaciones pueden interceptar contraseñas de un solo uso (OTP) y secuestrar sus cuentas, y Google quiere evitar esto. . El código de Android 15 sugiere que Google podría impedir que las aplicaciones que no son de confianza lean notificaciones con OTP. Es esencial proteger sus cuentas en línea para que no caigan en manos de piratas informáticos, por lo que debe utilizar una clave de acceso o habilitar la autenticación de dos factores (2FA) siempre que sea posible. Si bien algunas formas de 2FA son más seguras que otras, algunas plataformas solo admiten los métodos más básicos, en los que sus contraseñas de un solo uso (OTP) se envían por correo electrónico o mensaje de texto. Estos métodos son convenientes ya que no requieren configuración adicional, pero también son menos seguros ya que son más fáciles de interceptar. Afortunadamente, Android 15 podría estar agregando una nueva función que evita que aplicaciones maliciosas de Android lean sus OTP. Mientras investigaba la actualización de Android 14 QPR3 Beta 1, descubrí la adición de un nuevo permiso llamado RECEIVE_SENSITIVE_NOTIFICATIONS. Este permiso tiene un nivel de protección de rol|firma, lo que significa que solo se puede otorgar a aplicaciones con el rol requerido o a aplicaciones que firma el OEM. Si bien aún no se ha definido la función exacta que otorga este permiso, es probable que Google no tenga la intención de abrir este permiso a aplicaciones de terceros.En cuanto a por qué creo eso, es porque este permiso está vinculado a una nueva característica de la plataforma en desarrollo que tiene como objetivo redactar notificaciones confidenciales de aplicaciones no confiables que implementan un NotificationListenerService. Esta es una API que permite a las aplicaciones leer o realizar acciones en todas las notificaciones. Sin embargo, los usuarios deben otorgar manualmente permiso a las aplicaciones en Configuración antes de que la API NotificationListenerService esté disponible. Mishaal Rahman / Android AuthorityConfiguración de acceso a notificaciones en Android 14 en un Galaxy S24 Ultra. Dado lo poderosos que son este permiso y esta API, no sorprende que Google quiera para limitar el tipo de datos que las aplicaciones pueden obtener de ellos. No sabemos exactamente qué constituye una aplicación «no confiable», pero es probable que se trate de aplicaciones que no tengan el nuevo permiso RECEIVE_SENSITIVE_NOTIFICATIONS. Este permiso probablemente solo se aplicaría a determinadas aplicaciones del sistema. Tampoco sabemos exactamente qué tipos de notificaciones Google considera «sensibles», pero tenemos motivos para creer que se refieren a notificaciones con códigos 2FA. Mientras investigaba el código fuente de Android 14, descubrimos una nueva bandera llamada OTP_REDACTION que se utiliza para controlar «la redacción de notificaciones OTP en la pantalla de bloqueo». Sin embargo, esta bandera no se usa actualmente en Android 14, ya que es probable que Google tenga la intención de lanzar con Android 15. Con la adición de la bandera OTP_REDACTION y el permiso RECEIVE_SENSITIVE_NOTIFICATIONS, Android tendrá tres formas de proteger a los usuarios para que no filtren sus códigos 2FA a terceros. La bandera OTP_REDACTION sugiere que Android impedirá que los usuarios filtren sus códigos 2FA en la pantalla de bloqueo, mientras que el permiso RECEIVE_SENSITIVE_NOTIFICATIONS sugiere que Android impedirá que las aplicaciones que no son de confianza lean notificaciones con códigos 2FA. Finalmente, una característica existente de Android 13 impide que los usuarios habiliten el servicio de escucha de notificaciones de una aplicación si se instaló desde una fuente que no es de confianza. ¿Tienes un consejo? ¡Háblanos! Envíe un correo electrónico a nuestro personal a news@androidauthority.com. Puedes permanecer en el anonimato u obtener crédito por la información, es tu elección.Comentarios

Source link