Efter at have testet funktionen sidste år, har Google endelig gjort hardwareattestering i SafetyNet API tilgængelig for udviklere. Læs videre!
Tilbage i maj 2020 overraskede Google Android-modding-fællesskabet ved lydløst introduktion af hardware-understøttet attestation for SafetyNet-svar på nogle enheder. På grund af det faktum, at Googles servere ikke helt holdt op med at acceptere "BASIC"-evalueringsrapporter for at kontrollere integriteten af softwaremiljøet for fjerntliggende enheder, fremkomsten af hardware-understøttet nøgleattestering virkede mere som en eksperiment. På det tidspunkt sagde Google imidlertid, at de var "...evaluering og justering af berettigelseskriterierne for enheder...,", hvilket indikerer potentialet i en bredskala udrulning. Nå, Google gør endelig præcis det.
Ifølge et nyligt indlæg i Google-gruppen for "SafetyNet API-klienter" er feltet "evaluationType" i SafetyNet Attestation API-svaret nu blevet en officielt understøttet funktion. For en udvikler betyder det, at du kan bruge Google Play Services til at sende et umodificeret nøglelagercertifikat genereret ved hjælp af enhedens Trusted Execution Environment (TEE) eller dedikeret hardwaresikkerhedsmodul (HSM) til SafetyNet-servere, hver gang du vil verificere, om enhedens softwaremiljø er blevet manipuleret på nogen måde. Man bør dog ikke overbruge faciliteten, da den udelukkende er beregnet til apps, der allerede bruger parameteren "ctsProfileMatch", og som kræver det højeste niveau af enhedsintegritetsgarantier, som
foreslået af den officielle dokumentation.Der var tegn på, at dette skete for et par uger siden, da folk bemærkede, at Google Play Services var begyndt at give præference for hardwareattestering til CTS-profilvalidering i mange tilfælde, selv når grundlæggende attestering var det valgte. Husk på, at det muligvis stadig er det muligt at udnytte den opportunistiske karakter af hardware-attesteringsrutinen og bestå grundlæggende attestation i sådanne scenarier. Selvom dette ikke er en permanent rettelse (og ingen før det har vist sig at være det), bør det give folk mulighed for at omgå SafetyNet, indtil Google beslutter sig for helt at opgive den grundlæggende evaluering. Ikke desto mindre er det en skam for vores entusiast- og udviklerfællesskab, at Google tager disse skridt i første omgang.
Hvis Google fortsætter med at håndhæve hardware-understøttet attestation, kan det betyde enden på de dage, hvor superbrugere kunne køre Google Pay og andre SafetyNet-baserede apps i forbindelse med root-adgang ved at anvende maskering teknikker. Da situationen stadig er under udvikling, kan tingene være mere komplekse end hvad de ser ud på overfladen. Vi vil holde vores læsere orienteret, hvis der er nye udviklinger i sagen.
Tak til XDA-medlem Some_Random_Username for tippet!