Android bloqueará a apps no seguras el acceso a notificaciones de códigos 2FA

[Noticias]

Android bloqueará a apps no seguras el acceso a notificaciones de códigos 2FA

Android 14 QPR3, la última actualización beta, introduce una característica de seguridad significativa para mejorar la protección de los usuarios contra las aplicaciones no confiables. Esta actualización incluye un nuevo permiso llamado RECEIVE_SENSITIVE_NOTIFICATIONS, que posee un nivel de protección elevado, limitando su acceso a aplicaciones con roles específicos o firmadas por el fabricante del dispositivo (OEM). El propósito principal de este permiso es restringir a las aplicaciones no confiables el acceso a notificaciones sensibles, especialmente aquellas que contienen códigos de autenticación de dos factores (2FA). Las notificaciones sensibles, aunque no están completamente definidas en esta etapa, probablemente incluyen códigos 2FA, una práctica de seguridad esencial en la era digital. Estos códigos se utilizan comúnmente en formas de 2FA como contraseñas de un solo uso (OTPs), enviadas a través de correo electrónico o mensajes de texto. Aunque estos métodos son convenientes, también son menos seguros debido a su susceptibilidad a ser interceptados. La nueva funcionalidad se centra en ocultar estas notificaciones sensibles de aplicaciones que implementen NotificationListenerService, un servicio que permite a las aplicaciones leer o interactuar con todas las notificaciones. Para acceder a este servicio, los usuarios deben otorgar permisos manualmente en la configuración del dispositivo. Google, con esta medida, busca limitar el tipo de datos a los que pueden acceder las aplicaciones, especialmente aquellas consideradas no confiables.

fuente

[malkair]

Pues esto es un problema para Buzzkill y Autonotification, por decir dos apps que conozco y leen los códigos 2FA. Esperemos que solo impidan el acceso al código y no se carguen todas las demás funcionalidades de las apps.

[Juanro49]

Luego el usuario da acceso a las notificaciones a todas las apps que se lo piden y que tienen ese nuevo permiso, porque habrá apps que se cuelen, y la medida queda en nada.


Pero bueno, en realidad el problema es que en 2024 tengamos codigos 2FA por SMS o por mail sin cifrar y no por OTP... como los bancos por poner un ejemplo de desastre tecnológico.