डेटा सुरक्षा के लिए 2FA नोटिफिकेशन को बेहतर ढंग से सुरक्षित करने के लिए एंड्रॉइड 15

एंड्रॉइड 15 अभी भी विकास में है, लेकिन शुक्रवार 16 फरवरी को, Google जारी किया आगामी ऑपरेटिंग सिस्टम का पहला डेवलपर पूर्वावलोकन। टेक दिग्गज ने कहा कि नया एंड्रॉइड सॉफ्टवेयर काफी हद तक सुरक्षा पर ध्यान केंद्रित करेगा, और एक नई रिपोर्ट में आपके स्मार्टफोन और संवेदनशील डेटा को और अधिक सुरक्षित करने के तीन नए तरीके खोजने का दावा किया गया है। उनके अनुसार, एंड्रॉइड 15 दो-कारक प्रमाणीकरण (2FA) से उत्पन्न सूचनाओं को बेहतर ढंग से सुरक्षित रखने में सक्षम होगा ताकि कोई दुर्भावनापूर्ण ऐप या मैलवेयर उपयोगकर्ता डेटा चोरी करने के लिए उन तक नहीं पहुंच सके।

एक के अनुसार प्रतिवेदन एंड्रॉइड अथॉरिटी के मिशाल रहमान के अनुसार, एंड्रॉइड 15 अपने पूर्ववर्तियों द्वारा छोड़े गए अंतराल को भरने के लिए नए तरीकों को लागू करेगा। वर्तमान में, सोशल मीडिया प्रोफाइल, ईमेल और बैंकिंग ऐप्स के लिए अधिकांश दो-कारक प्रमाणीकरण विधियां वन-टाइम पासवर्ड (ओटीपी) भेजने के लिए एसएमएस का उपयोग करती हैं। हालाँकि, जोखिम है अगर कोई दुर्भावनापूर्ण तृतीय-पक्ष ऐप इस अधिसूचना को पढ़ सकता है और इसका उपयोग संवेदनशील डेटा को हैक करने या आपके बैंकिंग ऐप्स तक पहुंचने और पैसे चुराने के लिए कर सकता है।

जोखिम को कम करने के लिए, गूगल ऑपरेटिंग सिस्टम के वर्तमान संस्करण में कोड स्ट्रिंग्स रखना शुरू कर दिया है। रिपोर्ट में एंड्रॉइड 14 QPR3 बीटा 1 अपडेट में कोड की एक पंक्ति मिली जिसमें RECEIVE_SENSITIVE_NOTIFICATIONS नामक एक नई अनुमति का उल्लेख है। यह अनुमति उच्च स्तर की सुरक्षा के साथ आती है और केवल उन्हीं ऐप्स को दी जा सकती है जिन्हें Google व्यक्तिगत रूप से सत्यापित करता है। इस अनुमति की सटीक भूमिका अज्ञात है, लेकिन इसके नाम को देखते हुए, यह सूचनाओं की एक विशेष श्रेणी से संबंधित प्रतीत होता है जो तृतीय-पक्ष ऐप्स के लिए पहुंच योग्य नहीं होगी।

रिपोर्ट इस बात पर प्रकाश डालती है कि इसका उद्देश्य संभवतः 2FA-संबंधित अधिसूचनाएँ हैं। यह विश्वास रहमान द्वारा पाए गए कोड की एक अलग स्ट्रिंग से आता है, जो विकास के तहत एक प्लेटफ़ॉर्म सुविधा की ओर इशारा करता है, जिससे प्राधिकरण जुड़ा हुआ है। इस सुविधा को नोटिफिकेशनलिस्टनरसर्विस कहा जाता है और यह एक एपीआई है जो एप्लिकेशन को सूचनाओं को पढ़ने या उन पर कार्य करने की अनुमति देता है। एक सामान्य उपयोग का मामला नया खाता बनाते समय ओटीपी को स्वचालित रूप से पॉप्युलेट करने के लिए सूचनाओं तक पहुंच का अनुरोध करने वाले ऐप्स की संख्या होगी। हालाँकि, एक बार जब यह API सक्रिय हो जाएगा (यह Android 14 में नहीं है), तो यह और अधिक कठिन हो जाएगा।

रिपोर्ट में बताया गया है कि इस एपीआई के लिए उपयोगकर्ता को सेटिंग्स दर्ज करने और फिर ऐप्स को सक्रिय करने से पहले मैन्युअल रूप से अनुमति देने की आवश्यकता होगी। दो-कारक प्रमाणीकरण के लिए भी इसी तरह के सख्त कदम उठाए जाने की संभावना है। हालाँकि, दूसरे मामले में भी यह बात निश्चित तौर पर नहीं कही जा सकती.

रहमान को एक तीसरा सुराग मिला जो संभवतः सभी घटनाक्रमों को जोड़ता है। OTP_REDACTION नामक कोड में एक नया ध्वज देखा गया। यह स्मार्टफोन लॉक स्क्रीन पर ओटीपी नोटिफिकेशन हटा देता है। Google वर्तमान में इस ध्वज का उपयोग नहीं कर रहा है, लेकिन रिपोर्ट से पता चलता है कि इसे एंड्रॉइड 15 के साथ सक्रिय किया जा सकता है। तीन अलग-अलग विकासों का उद्देश्य ओटीपी सूचनाओं को तीसरे पक्ष के ऐप्स से सुरक्षित रखना है, जिससे यह संभावना है कि तकनीकी दिग्गज उनका उपयोग वित्त की सुरक्षा के लिए करेंगे। और अन्य महत्वपूर्ण एप्लिकेशन जिनमें संवेदनशील जानकारी हो सकती है।