Sommario
Android 15 si prefigge di migliorare la privacy e la sicurezza degli utenti impedendo ad app di terze parti di intercettare le notifiche di password monouso (OTP), un meccanismo chiave nell’autenticazione a due fattori (2FA). Questa mossa è volta a contrastare il rischio crescente di accessi non autorizzati agli account.
Nuove misure di protezione
Nell’aggiornamento Android 14 QPR Beta 1 è stato scoperto un nuovo permesso denominato “RECEIVE_SENSITIVE_NOTIFICATIONS”, che limiterebbe l’accesso a molte app, impedendo loro di leggere messaggi sensibili come le OTP. Questa funzione garantirebbe che solo app selezionate e firmate dall’OEM possano accedere a tali notifiche, riducendo significativamente il rischio che app maligne possano intercettarle.
Implicazioni per la sicurezza
Le OTP, inviate tramite email o SMS, sono un metodo comodo ma relativamente meno sicuro di 2FA. Molte app richiedono l’accesso alle notifiche dell’utente, esponendolo al rischio di intercettazioni. L’introduzione del permesso “RECEIVE_SENSITIVE_NOTIFICATIONS” in Android 15 mira a prevenire l’accesso non autorizzato a queste notifiche sensibili, incrementando la sicurezza degli account.
Prospettive future
Nonostante Google non abbia ancora confermato ufficialmente che le OTP e i codici 2FA siano gli specifici obiettivi di questa nuova sicurezza, indizi nel codice sorgente di Android 14 suggeriscono che le notifiche OTP potrebbero essere celate sulla schermata di blocco per una maggiore sicurezza. Ciò suggerisce che Android 15 potrebbe implementare queste funzionalità di sicurezza avanzate.
Impatto sullo sviluppo di Android 15
La preview per sviluppatori di Android 15 è stata rilasciata di recente, evidenziando la privacy e la sicurezza come aree chiave di focus per Google e l’introduzione di questa protezione aggiuntiva per le notifiche OTP rappresenta un passo significativo nel ridurre le minacce alla sicurezza legate all’intercettazione delle OTP, migliorando la protezione degli utenti contro potenziali attacchi.
Android 15 è atteso per essere svelato pubblicamente più avanti quest’anno, durante il Google I/O 2024, dove verranno probabilmente condivisi ulteriori dettagli su queste e altre nuove funzionalità di sicurezza.
