Tanto Android como iOS cuentan con sus propias soluciones que permiten a las aplicaciones detectar los SMS de la autentificación en dos pasos y verificarlo automáticamente sin necesidad de que el usuario tenga que escribir a mano los códigos de un solo uso enviados por mensaje.
A principios de este año, Apple propuso estandarizar el formato de estos mensajes para hacer el proceso aún más fluido. Y tras la noticia que publicábamos hace unos días sobre la primera colaboración de Apple y Google para luchar contra el coronavirus, hoy escuchamos noticias de una nueva unión.
Google apoya la propuesta de Apple.
La noticia de hoy es que Google aprueba la protesta de apple de hacer que los códigos OTP (códigos de acceso de un solo uso) de los SMS sean un poco más seguros y fáciles de usar.
El borrador de la especificación coeditado por Apple y Google ha sido publicado por la comunidad de Incubadoras de Plataformas Web. En él, se sugiere formatear el SMS en dos líneas, cada una de las cuales contiene la misma información – el código y el nombre del sitio emisor – pero con un formato diferente para que el código sea legible tanto por humanos como por máquinas. Aquí hay un ejemplo:
747723 es su código de autenticación Ejemplo S.L.
@ejemplo.com #747723
Mensaje de ejemplo
El cambio más significativo aquí sería hacer el mensaje más conciso e incluir el URL del sitio web en cuestión. Si la aplicación o el navegador encuentra una falta de coincidencia al rellenar el código automáticamente, puede solicitar una comprobación manual. Claramente no es una solución perfecta y deja fuera bastantes vectores de ataque basados en SMS, pero hay que reconocer que debería permitir una extracción más fácil de los códigos si se implementa de esta manera