Androide 15 todavía está en desarrollo, pero el viernes 16 de febrero, Google liberado la primera vista previa para desarrolladores del próximo sistema operativo. El gigante tecnológico dijo que el nuevo software de Android se centrará en gran medida en la seguridad, y un nuevo informe afirma haber encontrado tres nuevas formas de hacer que su teléfono inteligente y sus datos confidenciales sean más seguros. Según él, Android 15 podrá proteger mejor las notificaciones que surgen de las autenticaciones de dos factores (2FA) para que una aplicación maliciosa o malware no pueda acceder a ellas para robar datos del usuario.
De acuerdo a un informe Según Mishaal Rahman de Android Authority, Android 15 implementará nuevas formas de cubrir los vacíos que dejaron sus predecesores. Actualmente, la mayoría de los métodos de autenticación de dos factores para perfiles de redes sociales, correos electrónicos y aplicaciones bancarias utilizan SMS para enviar una contraseña de un solo uso (OTP). Sin embargo, existe un riesgo si una aplicación maliciosa de terceros puede leer esta notificación y usarla para piratear datos confidenciales o ingresar a sus aplicaciones bancarias y robar dinero.
Para reducir el riesgo, Google ya ha comenzado a colocar cadenas de códigos en la edición actual del sistema operativo. El informe encontró una línea de código en la actualización de Android 14 QPR3 Beta 1 que menciona un nuevo permiso llamado RECEIVE_SENSITIVE_NOTIFICATIONS. Este permiso viene con un nivel de protección más alto y solo se puede otorgar a aplicaciones que Google verifica personalmente. Se desconoce la función exacta de este permiso, pero dado su nombre, parece tratar con una categoría especial de notificaciones a las que las aplicaciones de terceros no podrán acceder para leer.
El informe destaca que probablemente esté dirigido a notificaciones relacionadas con 2FA. La creencia proviene de una cadena de código separada encontrada por Rahman, que apunta a una característica de la plataforma en desarrollo, a la que está vinculado el permiso. La función se llama NotificationListenerService y es una API que permite a las aplicaciones leer o actuar sobre las notificaciones. Un caso de uso general sería cuántas aplicaciones solicitan acceso a notificaciones para autocompletar OTP al crear una nueva cuenta. Sin embargo, una vez que esta API se active (no está en la versión de Android 14), esto se volverá más difícil.
Esta API requerirá que el usuario ingrese a Configuración y luego otorgue permiso manualmente a las aplicaciones antes de que puedan activarse, destaca el informe. Es probable que medidas tan estrictas se apliquen a la autenticación de dos factores. Sin embargo, ni siquiera en el segundo caso se puede afirmar con seguridad.
Rahman encontró una tercera pista que probablemente une todos los acontecimientos. Se vio una nueva bandera en los códigos etiquetados OTP_REDACTION. Redacta notificaciones OTP en la pantalla de bloqueo del teléfono inteligente. Google actualmente no usa esta bandera, pero el informe sugiere que se puede activar con Android 15. Los tres desarrollos separados apuntan a proteger las notificaciones OTP de aplicaciones de terceros, lo que hace probable que el gigante tecnológico las use para proteger las finanzas. y otras aplicaciones importantes que pueden contener información confidencial.