DAJ CYNK

Poufne kody w smartfonie. Drobna zmiana i będzie bezpieczniej

Piotr Urbaniak (gtxxor)

Bezpieczeństwo

Poufne kody w smartfonie. Drobna zmiana i będzie bezpieczniej

Wygląda na to, że Android może wkrótce zrobić naprawdę duży krok naprzód w dziedzinie zwalczania szkodliwego oprogramowania. Wszystko dzięki nowemu uprawnieniu w tym systemie.

Dalsza część tekstu pod wideo
 

Czy weryfikacja dwuetapowa to dobre rozwiązanie? Bez wątpienia. Ale czy perfekcyjne? W żadnym wypadku. Kod, który przychodzi SMS-em bądź mailem, napastnik może przecież przejąć.

W przypadku z smartfonów z Androidem może to tak naprawdę zrobić tylko jeden trojan, który najpierw, na przykład dzięki nakładce, wyciągnie główne hasło do banku, a następnie pozyska kody 2FA z SMS-ów lub powiadomień. Niewykluczone jednak, że już wkrótce się to zmieni.

Poufne kody tylko dla sprawdzonych aplikacji

Programista Mishaal Rahman odkrył w Androidzie 14 QPR3 Beta 1 nieznane dotąd uprawnienie. RECEIVE_SENSITIVE_NOTIFICATIONS, bo o nim tu mowa, izoluje treści wrażliwe, takie jak właśnie kody 2FA i hasła jednorazowe.

Jednocześnie jednak nie odcina poszczególnych aplikacji od powiadomień w sposób całkowity, więc mogą one zachować swą zasadniczą funkcjonalność. Tylko, nie stwarzają przy tym żadnego ryzyka, że mogłyby skorzystać z danych poufnych. 

Przy czym wedle przedstawionej teorii kluczowego uprawnienie nie uzyska każdy. Zamiast tego będzie ono zarezerwowane wyłącznie dla aplikacji systemowych, za które odpowiedzialność ponosi producent urządzenia. Generyczne aplikacje ze Sklepu Play nie przejdą. A na tym nie koniec.

Eksplorując źródła, Rahman odkrył też nową flagę – OTP_REDACTION. W jego opinii może ona służyć do ukrywania kodów 2FA i haseł jednorazowych na ekranie blokady, co jeszcze bardziej powinno zwiększyć bezpieczeństwo.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Shutterstock

Źródło tekstu: Times of India, oprac. własne