Android impedirá a apps no fiables leer notificaciones con códigos de doble factor
Una de las mejores prácticas de seguridad es el uso de una contraseña segura junto con la activación de la autenticación de dos factores (2FA) siempre que sea posible.
Aunque algunas formas de 2FA son más seguras que otras, ciertas plataformas solo admiten métodos básicos, como el envío de contraseñas de un solo uso (OTPs) a través de correo electrónico o mensajes de texto. Estos métodos son cómodos, ya que no requieren una configuración adicional, pero también son menos seguros al ser más susceptibles a ser interceptadas.
En la actualización beta 1 de Android 14 QPR3, se ha identificado la incorporación de un nuevo permiso denominado RECEIVE_SENSITIVE_NOTIFICATIONS.
Este permiso cuenta con un nivel de protección de role|signature, lo que significa que solo puede otorgarse a aplicaciones con el rol necesario o a aplicaciones firmadas por el OEM. Aunque el rol exacto que concede este permiso aún no ha sido definido, es probable que Google no tenga la intención de abrir este permiso a aplicaciones de terceros.
Dentro de esta nueva funcionalidad, se busca ocultar notificaciones sensibles a aplicaciones no fiables que implementan un NotificationListenerService. Este servicio permite a las aplicaciones leer o tomar medidas sobre todas las notificaciones, siendo necesario que los usuarios otorguen permisos manualmente en la configuración antes de que la API de NotificationListenerService esté disponible.
Dada la potencia de este permiso, no sorprende que Google busque limitar el tipo de datos al que las aplicaciones pueden acceder. Aunque no conocemos con precisión qué constituye una aplicación «no confiable», es probable que esta etiqueta se aplique a aquellas que no posean el nuevo permiso RECEIVE_SENSITIVE_NOTIFICATIONS. Este permiso probablemente solo se aplique a ciertas aplicaciones del sistema.
La naturaleza de las notificaciones consideradas «sensibles» tampoco está completamente definida, pero hay indicios que sugieren que se refiere a notificaciones que contienen códigos de 2FA. Todo apunta a que Android impedirá a las aplicaciones no confiables leer notificaciones con códigos 2FA.