Nei giorni scorsi Google ha finalmente avviato la distribuzione dell’aggiornamento ad Android 15 per tutti gli smartphone Pixel compatibili, ponendo fine di fatto alla snervante attesa a cui sono stati sottoposti i fan del robottino; ora che l’ultima versione del sistema operativo è ufficiale in molti sono portati a pensare che tutte le novità dell’ultima versione siano ormai disponibili. In realtà, oltre ad alcune funzioni ancora latitanti e ai primi problemi di gioventù, ci sono funzionalità che non erano ancora state individuate. Oggi, grazie a Mishaal Rahman approfondiamo una di queste novità, volta ad aumentare la sicurezza degli utenti.

Android 15 protegge i codici di autenticazione a due fattori dalle app non affidabili

Le notifiche sono uno di quegli elementi con cui interagiamo maggiormente durante l’utilizzo dei nostri smartphone, esse contengono diversi dati sensibili non solo dal punto di vista dei messaggi personali, ma anche per quanto riguarda tutta una serie di codici di sicurezza inviati da servizi online per cui avevamo abilitato l’autenticazione a due fattori; diverse applicazioni con intenti malevoli richiedono l’accesso alle notifiche, anche senza averne un reale bisogno, proprio per cercare di intercettare questa tipologia di informazioni ma, fortunatamente, Android 15 rende più difficile per le app dannose estrarre i codici di autenticazione a due fattori dalle notifiche.

Il sistema operativo mobile sviluppato da Google vanta da tempo un’API chiamata Notification Listener, utilizzata dalle app di terze parti proprio per avere accesso alle notifiche a patto che l’utente conceda espressamente il permesso attraverso le Impostazioni di sistema. Quando un’app riceve questa autorizzazione può leggere, rispondere, ignorare o controllare tutte le notifiche del dispositivo, a prescindere dal loro contenuto, che sia sensibile o meno poco importa.

Android 15 però cambia le carte in tavola designando le notifiche con codici di autenticazione a due fattori come “sensibili” e consentendo solo ai servizi di Notification Listener “affidabili” di leggerle, i servizi non attendibili che tentano di ottenere l’accesso alle notifiche in cui sono presenti codici di autenticazione ricevono ora semplicemente un messaggio che indica “contenuto notifica sensibile nascosto”. Nel video qui sotto potete vedere la differenza di comportamento tra Android 14 e l’attuale ultima versione del sistema operativo.

Il compito di elaborare tutte le notifiche prima che vengano inviate ai servizi Notification Listener spetta all’app Android System Intelligence (ASI), se questa rileva che una notifica contiene un codice di autenticazione a due fattori, indicherà al sistema di contrassegnarla come “sensibile” e di bloccarne l’invio ai servizi Notification Listener “non attendibili”; questi servizi sono quelli che non dispongono della nuova autorizzazione RECEIVE_SENSITIVE_NOTIFICATIONS introdotta da Google in Android 15.

Il sistema concede questa autorizzazione esclusivamente alle app firmate con il certificato di sistema o alle app che detengono determinati ruoli, quali app di sistema, app di accompagnamento dell’orologio, app di accompagnamento degli occhiali intelligenti e al launcher predefinito. In pratica le uniche app di terze parti che possono leggere le notifiche con codici di autenticazione a due fattori in Android 15 sono le app che si collegano allo smartwatch, le app che si collegano agli occhiali intelligenti o l’app di avvio della schermata iniziale predefinita.

In conclusione Google ha deciso di apportare queste modifiche per aumentare la sicurezza degli utenti che dovrebbero così avere maggiori strumenti per tutelarsi dagli attacchi hacker, per quanto il nuovo comportamento del sistema operativo sia utile potrebbe in alcuni casi precludere il corretto funzionamento di alcune applicazioni che non hanno in realtà scopi illeciti; tuttavia, per quanto sia comunque possibile disabilitare il nuovo comportamento, non è consigliabile proseguire su questa strada.