Følg oss her

Teknologi

Android skjuler nå bankkodene dine fra andre apper i tre timer: Slik fungerer den nye SMS-bremsen

Google har strammet inn hvilke apper som kan lese engangskoder fra SMS, og endringen er allerede aktiv på nye Pixel-modeller.

Publisert

d.

Android skjuler nå bankkodene dine fra andre apper i tre timer: Slik fungerer den nye SMS-bremsen

Beskyttelsen forsinker tilgangen til SMS-meldinger med engangskoder for de fleste apper i tre timer etter at meldingen er mottatt. Hensikten er å stenge ute apper som har snappet til seg SMS-tillatelsen og forsøker å snappe opp koden før du selv rekker å bruke den.

Funksjonen ble presentert som en del av en større oppdatering av Android-sikkerheten i mai, og er nå rullet ut sammen med Android 17. Den krever ingen handling fra brukeren og slås på automatisk.

Slik fungerer den tre timer lange bremsen

I tidligere Android-versjoner gjaldt forsinkelsen i hovedsak meldinger som fulgte det såkalte SMS Retriever-formatet, altså koder bygget for automatisk innlesing av én bestemt app. Nå utvides beskyttelsen til både WebOTP-koder, som brukes ved innlogging i nettleseren, og helt vanlige SMS-meldinger med engangskoder, ifølge Androids utviklerdokumentasjon.

Konkret betyr det at hvis en tilfeldig app har tillatelse til å lese SMS, men ikke er den faktiske mottakeren av koden, så får den ikke se meldingen før det har gått tre timer. Standardappen for SMS, taleassistenter og apper for tilkoblede enheter som smartklokker er unntatt, slik at vanlig bruk ikke blir rammet.

Beskyttelsen inngår i en pakke nye sikkerhetsfunksjoner Google la frem i mai. Avsløringen kom samtidig med en rekke andre tiltak, blant annet automatisk aktivering av tyverilås på nye enheter, skriver Android Authority.

Retter seg mot kode-tyveri via skadelige apper

Bakgrunnen er en velkjent svindelmetode der angripere lurer ofre til å installere apper som spør om SMS-tillatelse for andre formål, og deretter bruker tilgangen til å fange opp bankkoder. Med tre timers forsinkelse blir engangskoden verdiløs lenge før den uvedkommende appen får tak i den, siden koder typisk utløper i løpet av minutter.

Tiltaket beskrives som en automatisk tre-timers skjuling av engangskoder fra de fleste apper for å blokkere kodetyveri, og knyttes til en bredere innsats mot kontoovertakelser, skriver Help Net Security.

Endringen er relevant også i Norge, der tjenester som BankID, Vipps og en rekke nettbutikker fortsatt sender engangskoder på SMS som en del av innloggingen. Vanlige brukere merker ingen forskjell selv, men apper som har skaffet seg SMS-tilgang under tvilsomme forutsetninger får brått en mye mindre nytte av den.

Utviklere må skifte teknikk

For utviklere som av legitime grunner trenger SMS-koden, anbefaler Google to alternativer: SMS Retriever-grensesnittet, som leverer koden direkte til den appen den er ment for, og SMS User Consent, som ber brukeren godkjenne lesing i én enkelt dialog. Begge løsningene unngår å be om den brede SMS-tillatelsen som hele beskyttelsen er ment å stramme inn på.

For apper som retter seg mot Android 17 eller nyere, gjelder tre-timersforsinkelsen også for helt vanlige SMS-er med engangskoder, ikke bare meldinger i et bestemt format. Endringen merkes derfor først og fremst hos appleverandører som har lent seg på å lese rå SMS, og som nå må bygge om integrasjonen sin.

Android 17-oppdateringen ruller ut til Pixel-modeller først og kommer til øvrige produsenter i løpet av høsten, sammen med flere sikkerhetstiltak rettet mot banksvindel og tyveri.

Annonse