Android 15 rende l’autenticazione a due fattori molto più sicura, impedendo anche ad app malevole che potremmo aver installato sul telefono di leggere i codici di sicurezza. 

Un momento, ma l’autenticazione a due fattori non è la funzione più sicura? Quella da utilizzare per avere la certezza che nessun altro possa accedere alle nostre app e servizi oltre alle password? Sì e no: scopriamo perché e come è stata implementata questa novità. 

Come funziona l’autenticazione a due fattori

Per chi non lo ricordasse l’autenticazione a due fattori (2FA) è un metodo di sicurezza di gestione dell’identità e degli accessi che richiede due forme di identificazione per accedere a risorse e dati.

Questo significa che quando si accede a un sito o a un’app (come per esempio Gmail), oltre al proprio nome utente e password si inserisce anche un codice numerico. Il codice può provenire, in ordine di sicurezza, da:

Quindi anche se un malintenzionato ha indovinato o trafugato la nostra password, non potrà accedervi, perché non ha il codice di accesso per la 2FA.

Alcune app però sono in grado di leggere questo codice, e usarlo di conseguenza

Il problema è che, se non generato da un dispositivo esterno o da un’app dedicata, il codice di autenticazione verrà inviato come notifica al telefono.

Per questo motivo molte app dannose richiedono l’accesso alle notifiche: per leggere questi codici e inviarli al malintenzionato in modo che possa accedere al servizio da violare. 

Come funziona questo meccanismo

Il funzionamento è molto semplice: su Android c’è un’API chiamata Notification Listener che consente alle app di terze parti di accedere alle notifiche.

Se noi concediamo attivamente il permesso per accedervi, queste app potranno leggere qualsiasi notifica, che sia sensibile o meno. E quindi estrarne il contenuto. 

Questo però fino ad Android 14: Mishaal Rahman ha scoperto che con Android 15 le cose sono un po’ diverse, e per dimostrarlo ha usato un’app gratuita e open source chiamata Copy SMS code.

Dopo aver concesso l’accesso alle notifiche, ha dimostrato che in Android 14 questa app può leggere il contenuto della notifica e salvarlo nella sua cronologia. 

Android 15 riconosce le notifiche “sensibili”

E in Android 15? È molto più difficile: come si vede nelle immagini qui sotto, installando Copy SMS Code su un telefono aggiornato all’ultima versione del robottino e avendole concesso gli stessi permessi, non può leggere il codice. 

Questo è possibile perché in Android 15 uno strumento chiamato Android System Intelligence (ASI) è in grado di processare tutte le notifiche prima che vadano al servizio Notification Listener. 

Se le notifiche vengono catalogate come “sensibili”, anche se l’utente ha concesso a un’app l’accesso alle notifiche, non potrà leggere i codici di autenticazione a due fattori. La nuova funzione è chiamata Notifiche potenziate (Enhanced notifications) e in questo caso mostrerà il messaggio “Contenuto della notifica sensibile nascosto“.

Solo alcune app possono accedere a queste notifiche

La regola non vale per tutte le app, ovviamente, ma solo per quelle considerate come “non attendibili“. Ma quali sono quelle “affidabili” allora?

Fondamentalmente tutte quelle di sistema e pochissime di terze parti. Rahman ha scoperto che le uniche app di terze parti che possono leggere le notifiche con codici di autenticazione a due fattori su Android 15 sono le app che si connettono allo smartwatch, agli occhiali intelligenti o il launcher predefinito.   

A febbraio di quest’anno, Rahman aveva anche scoperto che Google stava lavorando a un modo per bloccare eventualmente le notifiche sensibili sulla schermata di blocco, ma al momento non è ancora stata implementata.

Qualche utente però potrebbe non apprezzare la novità: un’app come Copy SMS code è molto utile per automatizzare la lettura dei codici e rendere più veloce l’accesso ai servizi. 

Per questo c’è un trucco per disattivare il comportamento di Android 15, che però esponiamo a solo titolo informativo in quanto disattiva una funzione di sicurezza molto importante del telefono.

Per farlo, bisogna andare nelle Impostazioni del telefono, toccare Notifiche e qui disattivare l’interruttore di fianco a Notifiche potenziate. 

In questo modo il sistema non catalogherà più le notifiche in sensibili o meno. In alternativa, si può utilizzare il seguente comando ADB, che concede l’autorizzazione RECEIVE_SENSITIVE_NOTIFICATIONS: 

Come vedete, i nostri account sono sempre a rischio intrusione, ma come renderli più sicuri? Ecco alcuni approfondimenti che potrebbero interessarvi.