Google ha introdotto una nuova funzionalità chiamata Restore Credentials (Ripristino Credenziali) per aiutare gli utenti a ripristinare l’accesso ai propri account su app di terze parti in modo sicuro dopo la migrazione a un nuovo dispositivo Android.
Restore Credentials, non è solo il classico “memorizzatore” già presente su Google
Parte dell’API Credential Manager di Android, Restore Credentials mira a ridurre il fastidio di dover reinserire le credenziali di accesso per ogni app durante la sostituzione del telefono.
“Con Restore Credentials, le app possono integrare senza problemi gli utenti nei loro account su un nuovo dispositivo dopo che hanno ripristinato le app e i dati dal loro dispositivo precedente“, ha dichiarato Neelansh Sahai di Google.
Il colosso della tecnologia ha spiegato che il processo avviene automaticamente in background quando un utente ripristina le app e i dati da un dispositivo precedente, consentendo alle app di effettuare nuovamente l’accesso senza richiedere ulteriori interazioni.
Restore Credentials e la chiave di ripristino
Questo è reso possibile grazie a una cosiddetta chiave di ripristino (restore key), che in realtà è una chiave pubblica compatibile con gli standard FIDO2, come le passkey.
Quando un utente accede a un’app che supporta questa funzionalità, la sua chiave di ripristino viene salvata localmente nel Credential Manager del dispositivo in formato crittografato. Facoltativamente, la chiave crittografata può essere salvata anche nel cloud, se il backup nel cloud è abilitato.
Nel caso in cui l’utente passi a un nuovo telefono e ripristini le proprie app, le chiavi di ripristino vengono richieste come parte del processo, permettendo un accesso automatico agli account senza dover reinserire le informazioni di accesso.
“Se l’utente attualmente connesso è considerato attendibile, è possibile generare una chiave di ripristino in qualsiasi momento dopo che si è autenticato nella tua app“, spiega Google agli sviluppatori di app. “Ad esempio, ciò potrebbe avvenire immediatamente dopo l’accesso o durante un controllo di routine per una chiave di ripristino esistente.”
Google raccomanda inoltre agli sviluppatori di app di eliminare la chiave di ripristino associata non appena l’utente si disconnette, per evitare che rimanga bloccato in un ciclo infinito di disconnessioni intenzionali e accessi automatici.
Restore Credentials non è proprio una novità, Apple possedeva già una funzione analoga
Vale la pena notare che Apple ha già una funzionalità simile in iOS, che sfrutta un attributo chiamato kSecAttrAccessible per controllare l’accesso di un’app a credenziali specifiche memorizzate in iCloud Keychain.
“L’attributo kSecAttrAccessible ti consente di controllare la disponibilità degli elementi in relazione allo stato di blocco del dispositivo“, scrive Apple nella sua documentazione, sulla quale aggiunge: “Inoltre, permette di specificare l’idoneità al ripristino su un nuovo dispositivo. Se l’attributo termina con la stringa ThisDeviceOnly, l’elemento può essere ripristinato solo sullo stesso dispositivo che ha creato il backup, ma non viene trasferito durante il ripristino dei dati di backup su un altro dispositivo.”
La funzione Restore Credentials potrebbe arrivare già con Android 16
Lo sviluppo arriva mentre Google ha rilasciato la prima Developer Preview di Android 16, che include l’ultima versione del Privacy Sandbox su Android e un migliorato Privacy Dashboard, che aggiunge la possibilità di visualizzare quali app hanno avuto accesso a permessi sensibili in un periodo di sette giorni.
Questo segue anche la pubblicazione del nuovo Android Security Paper, che analizza le funzionalità di sicurezza integrate nel sistema operativo, inclusi strumenti come la protezione contro i furti, lo spazio privato e la modalità lockdown e quest’ultima mira a limitare l’accesso al dispositivo disattivando Smart Lock, lo sblocco biometrico e le notifiche sulla schermata di blocco.
Insomma, un vero e proprio toccasana per la propria “salute” digitale o è un’arma a doppio taglio perché se qualcuno ruba il tuo telefono o Chromebook ti ritrovi inerme perché il malintenzionato ha accesso ai tuoi dati?
Sia come sia, scrivi sui commenti cosa ne pensi.