Μετά τη δοκιμή της δυνατότητας πέρυσι, η Google έκανε επιτέλους την πιστοποίηση υλικού στο SafetyNet API προσβάσιμη στους προγραμματιστές. Συνέχισε να διαβάζεις!
Τον Μάιο του 2020, η Google εξέπληξε σιωπηλά την κοινότητα τροποποιήσεων Android εισαγωγή βεβαίωσης που υποστηρίζεται από υλικό για απαντήσεις SafetyNet σε ορισμένες συσκευές. Λόγω του γεγονότος ότι οι διακομιστές της Google δεν σταμάτησαν εντελώς να δέχονται αναφορές αξιολόγησης "BASIC" για να ελέγξουν την ακεραιότητα του το περιβάλλον λογισμικού των απομακρυσμένων συσκευών, η έλευση της βεβαίωσης κλειδιού με υποστήριξη υλικού φαινόταν σαν κάτι περισσότερο πείραμα. Εκείνη την εποχή, ωστόσο, η Google είπε ότι ήταν "...αξιολόγηση και προσαρμογή των κριτηρίων επιλεξιμότητας για συσκευές...," υποδεικνύοντας τις δυνατότητες μιας ευρείας κλίμακας διάθεσης. Λοιπόν, η Google επιτέλους κάνει ακριβώς αυτό.
Σύμφωνα με πρόσφατη ανάρτηση στην Ομάδα Google για "Πελάτες API SafetyNet", το πεδίο "evaluationType" στην απόκριση API βεβαίωσης SafetyNet έχει γίνει πλέον μια επίσημα υποστηριζόμενη λειτουργία. Για έναν προγραμματιστή, σημαίνει ότι μπορείτε να χρησιμοποιήσετε τις Υπηρεσίες Google Play για να στείλετε ένα μη τροποποιημένο πιστοποιητικό αποθήκευσης κλειδιών που δημιουργήθηκε χρησιμοποιώντας το Trusted Execution Environment (TEE) της συσκευής ή αποκλειστική μονάδα ασφαλείας υλικού (HSM) σε διακομιστές SafetyNet κάθε φορά που θέλετε να επαληθεύετε εάν το περιβάλλον λογισμικού της συσκευής έχει παραβιαστεί με οποιονδήποτε τρόπο. Ωστόσο, δεν πρέπει να γίνεται υπερβολική χρήση της εγκατάστασης, καθώς προορίζεται αποκλειστικά για εφαρμογές που χρησιμοποιούν ήδη την παράμετρο "ctsProfileMatch" και οι οποίες απαιτούν το υψηλότερο επίπεδο εγγυήσεων ακεραιότητας της συσκευής, όπως
προτείνεται από την επίσημη τεκμηρίωση.Υπήρχαν ενδείξεις ότι αυτό συνέβη πριν από μερικές εβδομάδες, όταν οι άνθρωποι παρατήρησαν ότι οι Υπηρεσίες Google Play είχαν αρχίσει να παρέχουν Προτίμηση στη βεβαίωση υλικού για την επικύρωση προφίλ CTS σε πολλές περιπτώσεις, ακόμη και όταν ήταν η βασική βεβαίωση επιλεγμένο. Λάβετε υπόψη ότι μπορεί να είναι ακόμα είναι δυνατή η εκμετάλλευση την ευκαιριακή φύση της ρουτίνας βεβαίωσης υλικού και να περάσουν τη βασική πιστοποίηση σε τέτοια σενάρια. Αν και αυτό δεν είναι μια μόνιμη λύση (και καμία πριν έχει αποδειχθεί ότι είναι), θα πρέπει να επιτρέπει στους χρήστες να παρακάμπτουν το SafetyNet έως ότου η Google αποφασίσει να εγκαταλείψει εντελώς τη βασική αξιολόγηση. Ωστόσο, είναι κρίμα για την κοινότητα των ενθουσιωδών και προγραμματιστών μας που η Google κάνει αυτά τα βήματα εξαρχής.
Εάν η Google συνεχίσει να επιβάλλει βεβαιώσεις που υποστηρίζονται από υλικό, αυτό μπορεί να σημαίνει το τέλος των ημερών όπου οι ισχυροί χρήστες θα μπορούσε να εκτελεί το Google Pay και άλλες εφαρμογές που βασίζονται στο SafetyNet σε συνδυασμό με πρόσβαση root χρησιμοποιώντας κάλυψη τεχνικές. Εφόσον η κατάσταση εξακολουθεί να εξελίσσεται, τα πράγματα μπορεί να είναι πιο περίπλοκα από αυτό που φαίνονται στην επιφάνεια. Θα κρατάμε ενήμερους τους αναγνώστες μας εάν υπάρξουν νέες εξελίξεις σχετικά με το θέμα.
Χάρη στο μέλος του XDA Κάποιο_Τυχαίο_Όνομα_χρήστη για το φιλοδώρημα!