Nach dem Testen der Funktion im letzten Jahr hat Google Entwicklern endlich die Hardware-Bescheinigung in der SafetyNet-API zugänglich gemacht. Weiter lesen!
Bereits im Mai 2020 überraschte Google die Android-Modding-Community im Stillen Einführung einer hardwaregestützten Bescheinigung für SafetyNet-Antworten auf einigen Geräten. Aufgrund der Tatsache, dass die Server von Google nicht ganz aufgehört haben, „BASIC“-Bewertungsberichte zur Überprüfung der Integrität zu akzeptieren In der Softwareumgebung von Remote-Geräten schien das Aufkommen der hardwaregestützten Schlüsselbescheinigung eher eine Herausforderung zu sein Experiment. Damals sagte Google jedoch, sie seien „...Bewertung und Anpassung der Zulassungskriterien für Geräte...,„, was auf das Potenzial einer groß angelegten Einführung hinweist. Nun, Google macht endlich genau das.
Entsprechend ein aktueller Beitrag In der Google-Gruppe für „SafetyNet API Clients“ ist das Feld „evaluationType“ in der Antwort der SafetyNet Attestation API nun eine offiziell unterstützte Funktion. Für einen Entwickler bedeutet dies, dass Sie Google Play Services nutzen können, um ein unverändertes Keystore-Zertifikat zu senden, das mit der Trusted Execution Environment (TEE) des Geräts generiert wurde. oder ein dediziertes Hardware-Sicherheitsmodul (HSM) an SafetyNet-Server senden, wann immer Sie überprüfen möchten, ob die Softwareumgebung des Geräts in irgendeiner Weise manipuliert wurde. Allerdings sollte man die Funktion nicht überbeanspruchen, da sie ausschließlich für Apps gedacht ist, die bereits den Parameter „ctsProfileMatch“ verwenden und die höchste Stufe an Geräteintegritätsgarantien erfordern, wie z
durch die offizielle Dokumentation vorgeschlagen.Anzeichen dafür gab es vor ein paar Wochen, als die Leute bemerkten, dass die Google Play-Dienste mit der Bereitstellung begonnen hatten In vielen Fällen wird der Hardware-Nachweis für die CTS-Profilvalidierung bevorzugt, selbst wenn dies bei einem Basis-Nachweis der Fall war ausgewählt. Denken Sie daran, dass dies möglicherweise immer noch der Fall ist möglich auszunutzen die opportunistische Natur der Hardware-Nachweisroutine und bestehen in solchen Szenarien den Basisnachweis. Obwohl dies keine dauerhafte Lösung ist (und auch keine, die sich zuvor als solche erwiesen hat), sollte es den Leuten ermöglichen, SafetyNet zu umgehen, bis Google beschließt, die grundlegende Bewertung ganz aufzugeben. Dennoch ist es für unsere Enthusiasten- und Entwickler-Community eine Schande, dass Google diese Schritte überhaupt unternimmt.
Wenn Google weiterhin die hardwaregestützte Bescheinigung durchsetzt, könnte dies das Ende der Tage bedeuten, in denen Power-User tätig waren könnte Google Pay und andere SafetyNet-basierte Apps in Verbindung mit Root-Zugriff durch den Einsatz von Maskierung ausführen Techniken. Da sich die Situation noch entwickelt, könnten die Dinge komplexer sein, als sie auf den ersten Blick erscheinen. Wir werden unsere Leser auf dem Laufenden halten, wenn es zu diesem Thema neue Entwicklungen gibt.
Vielen Dank an XDA-Mitglied Some_Random_Username für den Tipp!