Android 15 impede acesso a notificações com códigos 2FA

O Android 15 passa a aplicar nova protecções a notificações com informação sensível, como códigos de validação 2FA, impedindo que qualquer app as possa ver.

O Android 15 vem com diversas novidades e melhorias em termos de segurança, incluindo uma que complica a vida a apps maliciosas que tentam roubar códigos de autenticação de dois fatores (2FA) a partir das notificações. Com esta actualização, praticamente todas as apps ficam bloqueadas de aceder a notificações sensíveis, mesmo que tenham a permissão habitual para ler todas as notificações.

Anteriormente, qualquer app com acesso a notificações podia ler todas as notificações recebidas, incluindo aquelas que contêm códigos de utilização para autenticação. A API Notification Listener do Android permitia que estas apps lessem, respondessem e controlassem as notificações, uma vez concedida a permissão pelo utilizador. No entanto, o Android 15 agora classifica as notificações com códigos 2FA como "sensíveis", restringindo o seu acesso apenas a apps consideradas de confiança.

Este novo mecanismo de segurança funciona através do Android System Intelligence (ASI), que analisa as notificações antes de serem anunciadas às apps. Se uma notificação contiver um código 2FA, o ASI marca-a como "sensível" e impede que apps que não tenham a nova permissão "RECEIVE_SENSITIVE_NOTIFICATIONS" a possam ler. E, para que isto não se torne apenas mais uma permissão que uma app maliciosa possa pedir, apenas um grupo restrito de apps poderá ter acesso a esta permissão: nomeadamente, apps de interligação a smartwatches, interligação a smart glasses, ou launchers - categorias que são pouco prováveis que os utilizadores instalem sem estarem bem conscientes do que estão a instalar.

Claro que esta alteração irá ter alguns efeitos secundários indesejados, podendo afectar ferramentas de automação, e outras, que pudessem fazer um uso legítimo da leitura de códigos OTP das notificações. No entanto, tendo em conta a relação conveniência/segurança, é uma medida que será bem vinda para combater o malware de leitura de códigos 2FA. Para os utilizadores que quiserem mesmo que uma determinada app tenha acesso às notificações sensíveis, existe forma de o fazer via ADB (adb shell cmd appops set --user 0 <PACKAGE_NAME> RECEIVE_SENSITIVE_NOTIFICATIONS allow), ou desligando as "Enhanced notifications" em Settings > Notifications (mas perdendo-se as acções e respostas sugeridas).