Na het testen van de functie vorig jaar heeft Google eindelijk hardwareattestatie in de SafetyNet API toegankelijk gemaakt voor ontwikkelaars. Lees verder!
In mei 2020 verraste Google de Android-moddinggemeenschap door in stilte introductie van door hardware ondersteunde attestatie voor SafetyNet-reacties op sommige apparaten. Vanwege het feit dat de servers van Google niet helemaal zijn gestopt met het accepteren van 'BASIC'-evaluatierapporten om de integriteit van In de softwareomgeving van externe apparaten leek de komst van door hardware ondersteunde sleutelattestatie meer een probleem experiment. Op dat moment zei Google echter dat ze "...het evalueren en aanpassen van de geschiktheidscriteria voor apparaten...," wat het potentieel van een grootschalige uitrol aangeeft. Nou, Google doet eindelijk precies dat.
Volgens een recent bericht in de Google Group voor 'SafetyNet API Clients' is het veld 'evaluationType' in het SafetyNet Attestation API-antwoord nu een officieel ondersteunde functie geworden. Voor een ontwikkelaar betekent dit dat u Google Play Services kunt gebruiken om een ongewijzigd keystore-certificaat te verzenden dat is gegenereerd met behulp van de Trusted Execution Environment (TEE) van het apparaat. of een speciale hardwarebeveiligingsmodule (HSM) naar SafetyNet-servers elke keer dat u wilt verifiëren of er op enigerlei wijze met de softwareomgeving van het apparaat is geknoeid. Men moet deze faciliteit echter niet overmatig gebruiken, aangezien deze uitsluitend bedoeld is voor apps die al gebruik maken van de parameter "ctsProfileMatch" en die het hoogste niveau van garanties voor apparaatintegriteit vereisen, aangezien
voorgesteld door de officiële documentatie.Een paar weken geleden waren er tekenen dat dit gebeurde toen mensen merkten dat Google Play-services begon te doneren in veel gevallen de voorkeur boven hardware-attestering voor CTS-profielvalidatie, zelfs als dat basisattestatie was geselecteerd. Houd er rekening mee dat dit nog steeds het geval kan zijn mogelijk te exploiteren het opportunistische karakter van de hardware-attesteringsroutine en slagen in dergelijke scenario's voor basisattesten. Hoewel dit geen permanente oplossing is (en dat is ook niet eerder gebleken), zou het mensen in staat moeten stellen SafetyNet te omzeilen totdat Google besluit de basisevaluatie helemaal achterwege te laten. Desalniettemin is het voor onze enthousiastelingen- en ontwikkelaarsgemeenschap een schande dat Google überhaupt deze stappen zet.
Als Google doorgaat met het afdwingen van door hardware ondersteunde attesten, zou dit het einde kunnen betekenen van de dagen van hoofdgebruikers zou Google Pay en andere op SafetyNet gebaseerde apps kunnen uitvoeren in combinatie met root-toegang door gebruik te maken van maskering technieken. Omdat de situatie zich nog steeds aan het ontwikkelen is, kunnen de zaken complexer zijn dan ze op het eerste gezicht lijken. Wij houden onze lezers op de hoogte als er nieuwe ontwikkelingen ter zake zijn.
Met dank aan XDA-lid Een_willekeurige_gebruikersnaam voor de fooi!