O Google introduziu um novo recurso chamado Restaurar Credenciais para ajudar os usuários a restaurarem o acesso às suas contas em aplicativos de terceiros de forma segura após migrarem para um novo dispositivo Android.
Parte da API Credential Manager do Android, o recurso visa reduzir o incômodo de reentrar as credenciais de login para cada aplicativo durante a substituição do celular.
"Com o Restaurar Credenciais, os aplicativos podem integrar os usuários de forma contínua às suas contas em um novo dispositivo depois que eles restaurarem seus aplicativos e dados do dispositivo anterior," disse Neelansh Sahai, do Google.
O gigante da tecnologia disse que o processo ocorre automaticamente em segundo plano quando um usuário restaura aplicativos e dados de um dispositivo anterior, permitindo que os aplicativos façam os usuários voltarem às respectivas contas sem requerer nenhuma interação adicional.
Isso é alcançado por meio do que é chamado de chave de restauração, que, na verdade, é uma chave pública compatível com os padrões FIDO2, como passkeys.
Assim, quando um usuário faz login em um aplicativo que suporta esse recurso, sua chave de restauração é salva localmente no dispositivo no Credential Manager e em formato criptografado.
Opcionalmente, a chave de restauração criptografada também pode ser salva na nuvem, caso o backup na nuvem esteja habilitado.
Caso eles transitem para um novo telefone e restaurem seus aplicativos, as chaves de restauração são solicitadas como parte do processo, permitindo que eles façam login automaticamente em sua conta sem precisar reentrar suas informações de login.
"Se o usuário conectado atualmente é confiável, você pode gerar uma chave de restauração em qualquer momento depois que ele se autenticar no seu aplicativo," o Google instrui os desenvolvedores de aplicativos.
Por exemplo, isso pode ser imediatamente após o login ou durante uma verificação de rotina por uma chave de restauração existente. Também é recomendado aos desenvolvedores de aplicativos deletar a chave de restauração associada assim que o usuário se desconectar, para evitar que eles fiquem presos em um loop infinito de se desconectar intencionalmente e serem automaticamente reconectados.
Vale ressaltar que a Apple já possui um recurso similar no iOS que utiliza um atributo chamado kSecAttrAccessible para controlar o acesso de um aplicativo a uma credencial específica armazenada no iCloud Keychain.
"O atributo kSecAttrAccessible permite que você controle a disponibilidade do item em relação ao estado de bloqueio do dispositivo," a Apple nota em sua documentação.
Ele também permite que você especifique a elegibilidade para restauração em um novo dispositivo.
Se o atributo termina com a string ThisDeviceOnly, o item pode ser restaurado para o mesmo dispositivo que criou um backup, mas não é migrado quando restaurando os dados de backup de outro dispositivo.
O desenvolvimento ocorre à medida que o Google lançou a primeira Developer Preview do Android 16 com a versão mais recente do Privacy Sandbox no Android e um aprimorado Privacy Dashboard que adiciona a capacidade de visualizar quais aplicativos acessaram permissões sensíveis durante um período de sete dias.
Isso também segue o lançamento do atualizado Android Security Paper, que mergulha no conjunto de capacidades de segurança embutidas do sistema operacional, incluindo recursos como proteção contra roubo, espaço privado, sanitizadores e modo de bloqueio, que visa restringir o acesso ao dispositivo desativando o Smart Lock, desbloqueio biométrico e notificações na tela de bloqueio.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...