გასულ წელს ფუნქციის ტესტირების შემდეგ, Google-მა საბოლოოდ გახადა ტექნიკის ატესტაცია SafetyNet API-ში დეველოპერებისთვის ხელმისაწვდომი. წაიკითხეთ!
ჯერ კიდევ 2020 წლის მაისში, Google-მა ჩუმად გააოცა Android-ის მოდიფიკაციის საზოგადოება SafetyNet-ის პასუხებისთვის ტექნიკით მხარდაჭერილი ატესტაციის შემოღება ზოგიერთ მოწყობილობაზე. იმის გამო, რომ Google-ის სერვერებმა სრულად არ შეწყვიტეს "BASIC" შეფასების ანგარიშების მიღება, რათა შეემოწმებინათ დისტანციური მოწყობილობების პროგრამული გარემო, ტექნიკით მხარდაჭერილი გასაღების ატესტაციის გამოჩენა უფრო მეტად ჩანდა ექსპერიმენტი. თუმცა, იმ დროს Google-მა თქვა, რომ ისინი იყვნენ "...მოწყობილობების დასაშვებობის კრიტერიუმების შეფასება და კორექტირება...,” რაც მიუთითებს ფართომასშტაბიანი გავრცელების პოტენციალზე. ისე, Google საბოლოოდ აკეთებს ზუსტად ამას.
Მიხედვით ბოლო პოსტი Google ჯგუფში "SafetyNet API კლიენტებისთვის" ველი "evaluationType" SafetyNet Attestation API-ის პასუხში უკვე გახდა ოფიციალურად მხარდაჭერილი ფუნქცია. დეველოპერისთვის ეს ნიშნავს, რომ თქვენ შეგიძლიათ გამოიყენოთ Google Play Services გასაგზავნად unmodified keystore სერთიფიკატი, რომელიც გენერირებულია მოწყობილობის სანდო აღსრულების გარემოს (TEE) გამოყენებით. ან გამოყოფილი ტექნიკის უსაფრთხოების მოდული (HSM) SafetyNet სერვერებისთვის ყოველ ჯერზე, როცა გსურთ შეამოწმოთ, არის თუ არა რაიმე სახის შელახული მოწყობილობის პროგრამული გარემო. თუმცა, არ შეიძლება ზედმეტად გამოიყენოთ ეს საშუალება, რადგან ის განკუთვნილია მხოლოდ აპლიკაციებისთვის, რომლებიც უკვე იყენებენ "ctsProfileMatch" პარამეტრს და რომლებიც საჭიროებენ მოწყობილობის მთლიანობის გარანტიების უმაღლეს დონეს.
შემოთავაზებულია ოფიციალური დოკუმენტაციით.ამის ნიშნები იყო რამდენიმე კვირის წინ, როდესაც ხალხმა შეამჩნია, რომ Google Play Services-მა დაიწყო გაცემა უპირატესობა ენიჭება ტექნიკის ატესტაციას CTS პროფილის ვალიდაციისთვის ხშირ შემთხვევაში, მაშინაც კი, როდესაც იყო ძირითადი ატესტაცია შერჩეული. გაითვალისწინეთ, რომ შეიძლება მაინც იყოს შესაძლებელია ექსპლუატაცია ტექნიკის ატესტაციის რუტინის ოპორტუნისტული ხასიათი და ასეთ სცენარებში ძირითადი ატესტაციის გავლა. მიუხედავად იმისა, რომ ეს არ არის მუდმივი გამოსწორება (და არცერთი ადრე არ დადასტურდა), მან უნდა მისცეს ხალხს საშუალება გვერდი აუარონ SafetyNet-ს, სანამ Google არ გადაწყვეტს საერთოდ უარი თქვას ძირითად შეფასებაზე. მიუხედავად ამისა, სირცხვილია ჩვენი ენთუზიასტებისა და დეველოპერების საზოგადოებისთვის, რომ Google პირველ რიგში დგამს ამ ნაბიჯებს.
თუ Google განაგრძობს ტექნიკით მხარდაჭერილი ატესტაციის განხორციელებას, ეს შეიძლება ნიშნავდეს იმ დღეების დასასრულს, სადაც ძლიერი მომხმარებლები შეეძლო Google Pay-ს და SafetyNet-ზე დაფუძნებული სხვა აპების გაშვება root წვდომასთან ერთად ნიღბის გამოყენებით ტექნიკა. იმის გამო, რომ სიტუაცია ჯერ კიდევ ვითარდება, ყველაფერი შეიძლება უფრო რთული იყოს, ვიდრე ზედაპირზე ჩანს. ჩვენ გამოვაქვეყნებთ ჩვენს მკითხველებს, თუკი ამ საკითხთან დაკავშირებით ახალი მოვლენები იქნება.
მადლობა XDA წევრს ზოგიერთი_შემთხვევითი_მომხმარებლის სახელი წვერისთვის!