Wygląda na to, że Android może wkrótce zrobić naprawdę duży krok naprzód w dziedzinie zwalczania szkodliwego oprogramowania. Wszystko dzięki nowemu uprawnieniu w tym systemie.
Czy weryfikacja dwuetapowa to dobre rozwiązanie? Bez wątpienia. Ale czy perfekcyjne? W żadnym wypadku. Kod, który przychodzi SMS-em bądź mailem, napastnik może przecież przejąć.
W przypadku z smartfonów z Androidem może to tak naprawdę zrobić tylko jeden trojan, który najpierw, na przykład dzięki nakładce, wyciągnie główne hasło do banku, a następnie pozyska kody 2FA z SMS-ów lub powiadomień. Niewykluczone jednak, że już wkrótce się to zmieni.
Programista Mishaal Rahman odkrył w Androidzie 14 QPR3 Beta 1 nieznane dotąd uprawnienie. RECEIVE_SENSITIVE_NOTIFICATIONS, bo o nim tu mowa, izoluje treści wrażliwe, takie jak właśnie kody 2FA i hasła jednorazowe.
Jednocześnie jednak nie odcina poszczególnych aplikacji od powiadomień w sposób całkowity, więc mogą one zachować swą zasadniczą funkcjonalność. Tylko, nie stwarzają przy tym żadnego ryzyka, że mogłyby skorzystać z danych poufnych.
Przy czym wedle przedstawionej teorii kluczowego uprawnienie nie uzyska każdy. Zamiast tego będzie ono zarezerwowane wyłącznie dla aplikacji systemowych, za które odpowiedzialność ponosi producent urządzenia. Generyczne aplikacje ze Sklepu Play nie przejdą. A na tym nie koniec.
Eksplorując źródła, Rahman odkrył też nową flagę – OTP_REDACTION. W jego opinii może ona służyć do ukrywania kodów 2FA i haseł jednorazowych na ekranie blokady, co jeszcze bardziej powinno zwiększyć bezpieczeństwo.
Źródło zdjęć: Shutterstock
Źródło tekstu: Times of India, oprac. własne