Het Android OS-ecosysteem heeft een nieuwe app “System Key Verifier” ontvangen. Deze service op systeemniveau helpt gebruikers van Android-apparaten de identiteit vast te stellen en te verifiëren van de persoon met wie ze chatten.
‘System Key Verifier’-app voor Android uitgerold via een Google Play Store-update
Google helpt berichten te beschermen met end-to-end-codering (E2EE). Berichten die zijn beveiligd met E2EE kunnen worden onderschept, maar kunnen niet worden gelezen (ontcijferd) door kwaadwillenden. Google heeft onlangs toegevoegd dat RCS E2EE tussen Android en iOS in de maak is.
Hoewel E2EE in verschillende apps en diensten bestaat, is het moeilijk om de identiteit van de persoon aan de andere kant echt vast te stellen of te bevestigen. Verschillende online accounts worden regelmatig gekaapt. Hackers gebruiken deze gecompromitteerde accounts om andere mensen op te lichten die in de contactlijst van hun slachtoffers staan.
Om ervoor te zorgen dat er sprake is van een echte contactpersoon en niet van een kwaadwillende actor aan de andere kant, heeft Google een nieuwe app uitgebracht met de naam ‘Android System Key Verifier’, die is opgenomen in een Google Play Store-update. Hiermee kunnen Android-gebruikers verifiëren of de persoon aan de andere kant degene is die ze sms’en. De app werkt op Android 10 en hoger.
Hoe helpt de nieuwe app op systeemniveau bij het vaststellen van identiteit?
Google werd voor het eerst opgemerkt door Mishaal Rahman en heeft nu de Android System Key Verifier-app uitgerold. Het bedrijf heeft de app op systeemniveau opgenomen in de Google Play-systeemupdate van vorige week. Volgens de release-opmerkingen laat de Android System Key Verifier-app “ontwikkelaars end-to-end-coderingssleutels opslaan.”
Het is zeer waarschijnlijk dat de app de functie Contactsleutels gebruikt. Met andere woorden, het zou vergelijkbaar kunnen zijn met de Contactsleutelverificatie die aanwezig is in iOS. Deze app op systeemniveau geeft een waarschuwing weer in de Apple Berichten-app wanneer een onbekend apparaat aan een contact wordt toegevoegd. Door op de waarschuwing te tikken, kunnen gebruikers een alternatief nummer gebruiken om offline of via spraak met de persoon te verifiëren.
Als alternatief kan de app apparaten verifiëren wanneer een van de partijen de QR-code van de andere persoon deelt en scant. Hierdoor wordt er een sleutel op dat apparaat aangemaakt, die kan worden geverifieerd. Het spreekt voor zich dat hierdoor het apparaat wordt gekoppeld aan het contact dat de gebruiker heeft aangemaakt. Google adviseert dat beide gebruikers de QR-code van de ander moeten scannen om beide apparaten te verifiëren.
Als in de toekomst een ander apparaat wordt gebruikt, zullen de gesynchroniseerde sleutels niet overeenkomen. Dit kan erop wijzen dat de persoon die chat, mogelijk niet de daadwerkelijke contactpersoon is. Dit kan ook betekenen dat ze een nieuw apparaat gebruiken om te chatten, waardoor de QR-code opnieuw moet worden gescand.
Android-systeemsleutelverificatie (Google Play Store)