Android 15 introduce un significativo avanzamento nella sicurezza dell’autenticazione a due fattori, rendendo più complesso l’accesso ai codici di sicurezza da parte di applicazioni dannose. Questa nuova modalità impedisce che app malevole, eventualmente installate, possano visualizzare i codici di autenticazione. Si tratta di un progresso rilevante nel campo della protezione della privacy e della sicurezza degli utenti.
La questione: il rischio di accesso ai codici da parte delle app
Funzionamento dell’autenticazione a due fattori
Per chiarire, l’autenticazione a due fattori (2FA) è un sistema di sicurezza che richiede due elementi identificativi per accedere a dati e risorse. Quando si accede a un’app o un sito, oltre al nome utente e alla password, è necessario inserire un codice numerico. Questo codice può essere ricevuto tramite:
- SMS
- App generatrici di codici, come Microsoft Authenticator o Google Authenticator
- Dispositivi fisici
Pertanto, anche se un malintenzionato riesce a ottenere la password, non potrà accedere ai servizi senza il codice di autenticazione.
Rischi di accessibilità per app indesiderate
Il problema emerge nel fatto che, se il codice di autenticazione non è generato da un dispositivo esterno o app dedicate, esso viene inviato come notifica sul telefono. Ciò consente ad app malevole di richiedere l’accesso alle notifiche per leggere e inviare questi codici a un attaccante.
Meccanismo di accesso alle notifiche
In Android, esiste un’API nota come Notification Listener che permette a app di terze parti di accedere alle notifiche. Se è stato concesso il permesso, queste app possono leggere il contenuto delle notifiche. Situazione nota fino ad Android 14, come dimostrato da prove effettuate con un’app chiamata Copy SMS Code.
Con Android 15, l’accesso ai codici è limitato
Notifiche “sensibili” in Android 15
In Android 15, un cambiamento significativo è stato implementato. Installando Copy SMS Code e concedendo gli stessi permessi, non è più possibile leggere il codice. Questo grazie a un nuovo strumento, Android System Intelligence, che gestisce le notifiche identificandole come “sensibili”.
Limitazioni per le app di terze parti
Questa regola non si applica a tutte le app, ma soltanto a quelle catalogate come “non affidabili”. Le app di sistema e alcune limitate di terze parti, come quelle per smartwatch e launcher predefiniti, possono accedere ai codici di autenticazione.
Modifiche alle impostazioni di Android 15
Alcuni utenti potrebbero desiderare di disattivare questa nuova funzionalità. Esiste un metodo per farlo, che implica un certo rischio per la sicurezza, poiché disattiva una misura protettiva. Per procedere, le impostazioni possono essere modificate accedendo alla sezione notifiche e disattivando Notifiche potenziate.
Incrementare la sicurezza dei propri account
La sicurezza degli account rimane una priorità. Per migliorarla, di seguito alcuni argomenti che possono risultare utili:
- Creazione di passkey
- Utilizzo di password manager e loro funzionalità
- Accesso al password manager su Android
Lascia un commento