A Google decidiu abandonar uma característica de segurança integrada nos seus telefones, a Android Protected Confirmation, que não conseguiu ganhar tração entre os utilizadores e fabricantes de dispositivos. Esta função de segurança, lançada com o Android 9, permitia confirmar transações sensíveis através de uma interface de utilizador protegida. No entanto, a Google decidiu prescindir desta função nos dispositivos Android, alegando que não foi adotada pelos fabricantes e, consequentemente, não foi utilizada.
A Android Protected Confirmation baseava-se no uso de uma chave do Android Keystore para assinar uma mensagem que era exibida num diálogo protegido. Esta chave só podia ser usada se o utilizador aceitasse a declaração que aparecia no diálogo, indicando, com um alto grau de confiança, que o utilizador tinha visto e consentido a ação (normalmente uma transação) que estava prestes a ser realizada.
Esta função oferecia uma segurança superior aos métodos tradicionais de confirmação, como o PIN, a palavra-passe ou a autenticação biométrica, pois impedia que as aplicações maliciosas ou o sistema operativo comprometido pudessem manipular ou intercetar as transações sem que o utilizador se apercebesse.
No entanto, de acordo com Mishaal Rhaman no Twitter, a principal razão para a eliminação da Android Protected Confirmation é que não era uma função muito utilizada nem solicitada pelos desenvolvedores ou pelos utilizadores. Na verdade, apenas algumas aplicações a implementaram, como a aplicação de pagamentos móveis do BBVA ou a de identidade digital.
Google wants to deprecate Android Protected Confirmation due to low adoption from OEMs.
Android Protected Confirmation is a security feature introduced in Android 9 that "leverages a hardware protected user interface (Trusted UI) to perform critical transactions completely… pic.twitter.com/KMqqRVwqGF
— Mishaal Rahman (@MishaalRahman) January 3, 2024
Além disso, existem outras formas de garantir a segurança e a privacidade das transações, como o uso da autenticação biométrica ou a encriptação de extremo a extremo, que são mais confortáveis e rápidas para o utilizador.
Apesar da Android Protected Confirmation parecer uma boa ideia no papel, a realidade é que não foi adotada nos dispositivos fora dos Google Pixel. A Google já iniciou o processo de eliminação da Android Protected Confirmation nos Google Pixel 8 e 8 Pro, bem como em todos os outros dispositivos que lançou. Isto foi feito através de atualizações exclusivas para os telefones da Google.
A decisão da Google de abandonar a função de segurança Android Protected Confirmation é um reflexo da sua falta de adoção tanto por parte dos fabricantes de dispositivos como dos utilizadores. Embora a função oferecesse um nível de segurança superior aos métodos tradicionais de confirmação, a sua complexidade e falta de demanda levaram à sua descontinuação.
No entanto, existem outras alternativas para garantir a segurança e a privacidade das transações, como a autenticação biométrica e a encriptação de extremo a extremo, que são mais user-friendly e rápidas para o utilizador. Na minha opinião, a eliminação desta função é um lembrete de que a segurança deve ser equilibrada com a facilidade de uso e a demanda do utilizador. Afinal, uma função de segurança só é eficaz se for utilizada.
Fonte: Androidpolice
