Андрей Смирнов
Время чтения: ~6 мин.
Просмотров: 0

Автозаполнение в Android 8.0 Oreo и безопасность данных

18.09.2019GooglePixel13-750x422.jpg

Android научился автоматически заполнять коды верификации

Google выпустила обновление “Сервисов ” с поддержкой функци автозаполнения паролей из входящих сообщений. Её активация позволит приложениям, которые установлены на устройстве, копировать коды верификации, которые поступают в виде СМС, в автоматическом режиме. Таким образом удастся сократить время на подтверждение операций вне зависимости от приложения или сервиса, которому требуется верификация.

Автозаполнение паролей на Android

Вероятно, кто-то скажет, что такая функция была доступна на Android всегда, однако это утверждение верно лишь отчасти. Действительно, некоторые приложения и раньше умели автоматически копировать коды верификации, однако эта возможность была предусмотрена разработчиками этих приложений. Поэтому автозаполнением можно было воспользоваться в WhatsApp, но нельзя, например, в “Сбербанк Онлайн”.

Как включить функцию автозаполнения

  • Чтобы включить системную функцию автозаполнения паролей, перейдите в “Настройки”;

imsnt-736x750.jpg

Автозаполнение паролей из СМС

  • Отыщите в списке доступных параметров раздел “Google”;
  • В открывшемся окне выберите вкладку с автозаполнением кодов верификации и активируйте эту функцию.

Читайте также: Функции Android 10, которые вы точно будете использовать

Поскольку обновление “Сервисов Google Play” распространяется постепенно, функция автозаполнения может быть доступна не всем пользователям. По этой причине пока сложно сказать, будет ли она работать со всеми приложениями без исключения или как-то ограничивать их число. Но, так или иначе, при всём удобстве функции автозаполнения паролей она может стать одним из инструментов обмана пользователей в руках мошенников.

Опасность автозаполнения паролей

Из-за того, что многие пользователи довольно халатно относятся к системе разрешений, возникает вероятность того, что мошенническое ПО, получив привилегию на доступ к СМС, сможет копировать коды верификации, предназначенные для других приложений. Возможно, эту проблему можно было решить использованием доверенных номеров, но я не думаю, что Google дала такое поручение разработчикам, а значит, опасность есть, и скорее всего в ближайшей перспективе никуда не денется. Поэтому будьте осторожны.

Гениальное решение этой проблемы ещё несколько лет назад предложила Apple. Вместо того, чтобы вставлять пароль верификации в форму сразу и тут же отправлять её, iOS выводит его над клавиатурой, предлагая обязательно нажать на него. В результате пользователи получают возможность ещё раз перепроверить, какую именно операцию они подтверждают, и в случае ошибки просто отказаться от неё. Но Google, к сожалению, слишком буквально восприняла термин «автозаполнение», а потому лишила пользователей промежуточного этапа, не дав им возможности отказаться от подтверждения операции.

Автозаполнение — функция, которая автоматически подставляет данные в формы, помогая экономить время.

До недавнего времени под автозаполнением чаще всего подразумевалась связка «браузер — сайт», но после выхода обновлений Android 8.0 Oreo и iOS11 автозаполнение заработало в мобильных приложениях. К iOS ещё вернёмся, а сейчас — речь об Android.

Как работает автозаполнение в Android?

Данные пользователя запрашиваются приложениями через API. Из приложения с формой Android отправляет данные сервису, который в ответ предлагает информацию для автозаполнения и сохраняет новые данные на будущее. Схематично автозаполнение в Android 8.0 Oreo можно представить следующим образом:

  1. Приложение, с которым работает пользователь
  2. Сервис автозаполнения
  3. Android, как посредник между ними

Источник: github.com/commonsguy

Удобнее и быстрее

Автозаполнение ускоряет заполнение форм на 30%. Мы к этому добавим и упрощение авторизации в приложениях — API автозаполнения позволяет использовать сервисы, которые автоматически создают и хранят пароли, которые не придётся запоминать.

Особенно актуально это может показаться после проблемы с клавиатурой Ai.Type. Пользователям больше не придётся вводить свои пароли и бояться, что они утекут в открытый доступ.

Угроза безопасности

Но существует серьезная уязвимость — попутно с видимыми полями автоматически заполняются скрытые:

  • помеченные как невидимые (android:visibility=»invisible»);
  • с нулевым (width и height 0dp) или неразличимым (width и height of 1dp) размером;
  • с отрицательными значениями margin, сдвигающими поля за пределы экрана;
  • спрятанные под другими, видимыми (смещение по оси Z).

Воспроизведение проблемы есть на GitHub. Сами инженеры по безопасности Google признают, что надёжной защиты от такой угрозы пока нет.

Как защитить данные

По умолчанию в Android 8.0 Oreo включен сервис автозаполнения от Google, но можно поставить другие или отключить опцию.

Чтобы выключить автозаполнение, перейдите в Настройки → Система → Язык и ввод → Автозаполнение. По тапу на пункт откроется выбор поставщика сервиса:

Выберите «Нет», чтобы выключить автозаполнение.

Совет радикальный, поэтому подходит не всем. Если часто заполняете формы — выбирайте надёжный сервис. Google выделяет несколько моментов, которые добавляют несколько очков к безопасности.

1. Сегментация данных

Запросы автозаполнения можно разбивать на сегменты и передавать по отдельности. Например:

  • адрес и телефон;
  • данные кредитки;
  • логин и пароль.

Допустим, в форме есть: адрес, номер телефона и детали кредитной карты. Вместо того, чтобы отдавать сразу все данные:

  • определяется выбранное поле;
  • уточняется, к какому сегменту относится (адрес+телефон или кредитка);
  • отдаются только эти данные.

2. Отказ от переиспользования конфиденциальных данных

Google рекомендует не переиспользовать автозаполнение логина и пароля из одного приложения в другом, а заполнять отдельно для каждого. Для этого используется applicationId («package») и публичный ключ приложения.

3. Идентификация пользователя перед автозаполнением

Каждая отправка данных может подтверждаться сканером отпечатка или глобальным паролем.

Подробнее — на developer.android.com.

Использовать или нет?

Получается, что автозаполнение — это удобно, но небезопасно. Если готовы на небольшой риск ради комфорта — пользуйтесь, а если защита данных превыше всего — не забудьте выключить функцию.

yE8gOxkQUlGvnZz2CdRz2z0jsCsoKGz1HbOepcq7.jpg13425.11.19

Выбираем беспроводные наушники: проверено музыкой

Если у вас уже есть беспроводные наушники, вы наверняка понимаете, какой тип и вид вам лучше подходит — личный опыт важнее советов экспертов. А вот те, кто только планируют обзавестись модным гаджетом, точно нуждаются в помощи. Мы расскажем на примере конкретных моделей, на что следует обратить внимание, выбирая беспроводные наушники для нескольких сценариев использования.

В далее

yE8gVmEGkNS7IrOm1az2Tz0U8SpNsXXTKMGmJx.jpg1422.12.19

Пользователи нашли лазейку для бесплатного обновления до Windows 10

В течение продолжительного времени Microsoft позволяла владельцам лицензионных версий Windows 7 и Windows 8.1 провести бесплатное обновление до Windows 10. Официально акция софтверного гиганта закончилась в декабре 2017 года — но предприимчивые пользователи нашли способ обойти это ограничение в 2019-м.

В далее

yE8gSNoDwr96HJdGny3Ro6Kg4Zaiy8rbE3jO.jpg17627.11.19

«Нам нечего доказывать». Ford отказалась от матча-реванша с пикапом Tesla

Во время презентации «броневика» Cybertruck компания Tesla продемонстрировала видеоролик, демонстрирующий победу новинки надВ пикапом Ford F-150 в соревновании по перетягиванию каната. В ответ один из топ-менеджеров конкурента предложил Илону Маску провести матч-реванш, на что тот немедленно согласился. Но уже на следующий день представители автоконцерна изменили своё решение.

В далее

yE8gTGCsm4oCW8TP68HsVhPtnoFEffchLv4z2.jpg22723.11.19

Новый российский суперкомпьютер оказался одним из самых мощных в мире

В начале ноября «Сбербанк»В сообщил о вводе в эксплуатацию самого быстрого суперкомпьютера в России. Согласно официальным данным, он должен был стать в 2,7 раза быстрее наиболееВ производительного отечественного компьютера. После оглашения результатов нового рейтинга Top500 эти данные подтвердились.

В далее

yE8gSt2DQb1Ip6cJtpRdKvqwCNMn9vElVelz0.jpg5421.11.19

Русский геймер построил в Death Stranding огромное шоссе и стал героем интернета

Геймер по имениВ Илья БударинВ из России стал героем интернета, опубликовав на Reddit скриншот построенной им дороги в Death Stranding. Шоссе сконструировано из 40 секций и 84 тысяч материалов.В Пост самоотверженного строителя собрал почти 2,5 тысячи лайковВ на форуме. Сам герой оказался настолько скромным, что не понимает, почему о нём все пишут.

В далее

Используемые источники:

  • https://androidinsider.ru/polezno-znat/kak-vklyuchit-avtozapolnenie-parolej-iz-sms-na-android.html
  • https://magora-systems.ru/avtozapolnenie-android-oreo/
  • https://4pda.ru/2014/07/23/168336/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации