Gli sviluppatori di Android stanno gia’ provando la prossima versione della piattaforma mobile di Google, Android O, attraverso le Developer Preview per loro disponibili, e mano a mano che il tempo passa novità in arrivo con Android O trapelano. Un’API recentemente individuata da XDA ha portato alla luce che Android O renderà disponibile un nuovo metodo di autenticazione via SMS per le applicazioni.
Attualmente, l’autenticazione via SMS è complicata in alcuni casi in quanto quando un’app prova a verificare il numero di telefono inviando un SMS (tipo Whatsapp o Facebook Messenger) l’utente ha bisogno di mettere in background l’app che richiede l’accesso per andare ad aprire l’app Messaggi, cercare l’SMS ricevuto e aprirlo, quindi copiare il codice e tornare nell’app dove deve inserirlo; oppure perchè tutto questo avvenga l’app ha bisogno del permesso di poter accedere ai messaggi dell’utente, tutti. Tramite la nuova API che viene introdotta in Android O, invece, l’app che ha bisogno del codice di verifica via SMS sarà in grado di ottenerlo senza avere bisogno del consenso di accesso a tutti i messaggi.
Entrando piu’ nel dettaglio, come descritto nella documentazione sul sito di Android Developers:
Android O: tutte le novita’ importanti
http://www.pianetacellulare.it/Articoli/Android/44184_Android-O-riepilogo-novita-post-Google-IO-2017-Versione-.php
In breve, tramite questa nuova API le applicazioni avranno il permesso di leggere solo il messaggio in entrata tramite il quale hanno richiesto la verifica del dispositivo senza che l’utente ne conceda il permesso di accesso a tutti i messaggi, oppure non si dovranno piu’ compiere diversi passaggi per andare a copiare manualmente un codice di verifica ricevuto via SMS.
Come ogni API che Google mette a disposizione degli sviluppatori, tuttavia, resta a discrezione dello sviluppatore inserirla o meno nelle proprie applicazioni – solo perchè Android O supporterà questo sistema non significa che tutte le app che necessitano di un codice di verifica via SMS lo integreranno.
"Create a single use app specific incoming SMS request for the the calling package. This method returns a token that if included in a subsequent incoming SMS message will cause intent to be sent with the SMS data. The token is only good for one use, after an SMS has been received containing the token all subsequent SMS messages with the token will be routed as normal. An app can only have one request at a time, if the app already has a request pending it will be replaced with a new request.".
In pratica, gli sviluppatori potranno utilizzare nelle loro app il comando createAppSpecificSmsToken per creare una token che, se incluso in un messaggio SMS in arrivo, darà il permesso all’app di accedere a quel solo SMS e leggere il codice di verifica in esso contenuto. Il token di sicurezza resta valido solo per un utilizzo, e non resterà visibile nell’app dei Messaggi in quanto all’utente non servirà piu’. Un’applicazione ha il permesso di avere un solo token attivo alla volta, e se l’applicazione ha già una richiesta in attesa di essere verificata dovrà essere sostituita quella in attesa (che scadrà) con una nuova richiesta.