לאחר בדיקת התכונה בשנה שעברה, גוגל סוף סוף הפכה את אישור החומרה ב-SafetyNet API לנגיש למפתחים. תמשיך לקרוא!
עוד במאי 2020, גוגל הפתיעה את קהילת המודדים של אנדרואיד בשקט הצגת אישור מגובה חומרה לתגובות SafetyNet במכשירים מסוימים. בשל העובדה שהשרתים של גוגל לא הפסיקו לחלוטין לקבל דוחות הערכה "BASIC" כדי לבדוק את תקינות בסביבת התוכנה של מכשירים מרוחקים, הופעתה של אישור מפתח מגובה חומרה נראתה כמו יותר לְנַסוֹת. עם זאת, באותו זמן, גוגל אמרה שהם "...הערכה והתאמת קריטריוני הזכאות למכשירים...,"מציין את הפוטנציאל של השקה בקנה מידה רחב. ובכן, גוגל סוף סוף עושה בדיוק את זה.
לפי פוסט אחרון ב-Google Group for "SafetyNet API Clients", השדה "evaluationType" בתגובת SafetyNet Attestation API הפך כעת לתכונה נתמכת רשמית. עבור מפתח, זה אומר שאתה יכול להשתמש בשירותי Google Play כדי לשלוח אישור מאגר מפתחות ללא שינוי שנוצר באמצעות סביבת הביצוע המהימנה של המכשיר (TEE) או מודול אבטחת חומרה ייעודי (HSM) לשרתי SafetyNet בכל פעם שאתה רוצה לוודא אם בוצעה שיבוש בסביבת התוכנה של המכשיר בדרך כלשהי. עם זאת, אין לעשות שימוש יתר במתקן, מכיוון שהוא מיועד אך ורק לאפליקציות שכבר משתמשות בפרמטר "ctsProfileMatch" ואשר דורשות את הרמה הגבוהה ביותר של ערבויות שלמות המכשיר, כמו
מוצע על ידי התיעוד הרשמי.היו סימנים לכך לפני כמה שבועות כאשר אנשים שמו לב ששירותי Google Play התחילו לתת העדפה לאימות חומרה עבור אימות פרופיל CTS במקרים רבים, גם כאשר הייתה אישור בסיסי נבחר. זכור שזה עדיין יכול להיות אפשרי לנצל אופיו האופורטוניסטי של שגרת אישור החומרה ולעבור אישור בסיסי בתרחישים כאלה. אמנם זה לא תיקון קבוע (ואף אחד לפני כן לא הוכיח), הוא אמור לאפשר לאנשים לעקוף את SafetyNet עד שגוגל מחליטה לנטוש לחלוטין את ההערכה הבסיסית. עם זאת, חבל לקהילת החובבים והמפתחים שלנו שגוגל נוקטת בצעדים אלה מלכתחילה.
אם גוגל תמשיך לאכוף אישור מגובה חומרה, זה עשוי להיות סוף הימים שבהם משתמשים חזקים יכול להפעיל את Google Pay ואפליקציות אחרות המבוססות על SafetyNet בשילוב עם גישת שורש על ידי שימוש במיסוך טכניקות. מכיוון שהמצב עדיין מתפתח, הדברים עשויים להיות מורכבים יותר ממה שהם נראים על פני השטח. אנו נעדכן את הקוראים שלנו אם יהיו התפתחויות חדשות בנושא.
תודה לחבר XDA שם משתמש_אקראי על הטיפ!