Resumo
- O Android pode aumentar a segurança restringindo o acesso a notificações confidenciais a aplicativos autorizados, evitando a interceptação de OTP por aplicativos de terceiros.
- A nova permissão para “receber notificações confidenciais” no Android 14 QPR3 Beta 1 pode ser um passo em direção à proteção de informações confidenciais, como OTPs.
- A possível medida do Google para impedir que aplicativos não confiáveis visualizem notificações OTP mostra o compromisso com a segurança e a privacidade do usuário.
Senhas de uso único (OTPs) por SMS se tornaram uma opção de segurança comum em quase todos os principais aplicativos e serviços. Embora básicos e menos seguros do que usar um aplicativo 2FA, eles são populares devido à sua simplicidade e facilidade de uso. Além disso, muitos sites e serviços não oferecem suporte a métodos alternativos de autenticação de dois fatores. O problema é que no Android, quando você concede acesso de notificação a um aplicativo, ele também pode interceptar OTPs confidenciais, representando um risco significativo à segurança. Isso pode mudar no Android 15, com o Google impedindo que aplicativos não confiáveis acessem tais SMSes.
O guru do Android Mishaal Rahman, escrevendo para Android Authority, revela ter encontrado uma nova permissão RECEIVE_SENSITIVE_NOTIFICATIONS no Android 14 QPR3 Beta 1. Com um “protectionLevel” de “role|signature”, apenas aplicativos selecionados OEM assinados ou especificados podem visualizar a notificação.
Embora ainda não esteja claro, Rahman especula que é improvável que o Google forneça a aplicativos de terceiros acesso a essa permissão. Isso se deve ao fato de a permissão estar vinculada a um novo recurso em desenvolvimento que impediria que aplicativos não confiáveis acessassem notificações confidenciais.
O Google não menciona explicitamente textos com códigos 2FA como confidenciais em nenhuma das permissões. No entanto, Rahman destaca a descoberta de um sinalizador “OTP_REDACTION” no Android 14 para “a redação de notificações OTP na tela de bloqueio”. Este sinalizador não está ativo no Android 14, mas o Google poderá habilitá-lo com o Android 15 ainda este ano. Todas essas mudanças supostamente apontam para a empresa restringir o acesso a textos OTP a aplicativos autorizados selecionados.
O Google fez grandes avanços na melhoria da segurança e privacidade dos usuários do Android nos últimos anos. Impedir que aplicativos de terceiros interceptem textos OTP pode ser outro passo nessa direção, especialmente porque o malware Android tende a abusar desse método.
No momento, qualquer aplicativo Android com acesso a notificações pode interceptar e ler textos contendo uma senha de uso único, representando um grande risco à privacidade. No entanto, esse recurso de segurança provavelmente impedirá que aplicativos de terceiros leiam e preencham OTPs automaticamente em uma página de pagamento. Este é um comportamento comum em muitos aplicativos, incluindo a Amazon, em países onde uma OTP é necessária para confirmação do pagamento.
Poderíamos ver o Google falar sobre esse novo recurso de segurança quando anunciar publicamente o Android 15 no Google I/O 2024 ainda este ano.
