Etter å ha testet funksjonen i fjor, har Google endelig gjort maskinvareattestering i SafetyNet API tilgjengelig for utviklere. Les videre!
Tilbake i mai 2020 overrasket Google Android-moddingfellesskapet ved å stille introduserer maskinvarestøttet attestasjon for SafetyNet-svar på noen enheter. På grunn av det faktum at Googles servere ikke helt sluttet å akseptere «BASIC»-evalueringsrapporter for å sjekke integriteten til programvaremiljøet til eksterne enheter, virket fremkomsten av maskinvarestøttet nøkkelattest som mer en eksperiment. På det tidspunktet sa imidlertid Google at de var "...evaluere og justere kvalifikasjonskriteriene for enheter...," som indikerer potensialet for en bredskala utrulling. Vel, Google gjør endelig akkurat det.
I følge et nylig innlegg i Google-gruppen for "SafetyNet API-klienter" har feltet "evaluationType" i SafetyNet Attestation API-svaret nå blitt en offisielt støttet funksjon. For en utvikler betyr det at du kan bruke Google Play Services til å sende et umodifisert nøkkellagersertifikat generert ved hjelp av enhetens Trusted Execution Environment (TEE) eller dedikert maskinvaresikkerhetsmodul (HSM) til SafetyNet-servere hver gang du vil verifisere om programvaremiljøet til enheten har blitt tuklet med på noen måte. Man bør imidlertid ikke overbruke funksjonen, siden den kun er beregnet på apper som allerede bruker "ctsProfileMatch"-parameteren og som krever det høyeste nivået av enhetsintegritetsgarantier, som
foreslått av den offisielle dokumentasjonen.Det var tegn på at dette skjedde for noen uker siden da folk la merke til at Google Play-tjenester hadde begynt å gi preferanse til maskinvareattestering for CTS-profilvalidering i mange tilfeller, selv når grunnleggende attestering var valgt. Husk at det fortsatt kan være det mulig å utnytte den opportunistiske karakteren til maskinvareattesteringsrutinen og bestå grunnleggende attestering i slike scenarier. Selv om dette ikke er en permanent løsning (og ingen før det har vist seg å være det), bør det tillate folk å omgå SafetyNet til Google bestemmer seg for å forlate grunnleggende evaluering helt. Likevel er det en skam for entusiast- og utviklerfellesskapet vårt at Google tar disse trinnene i utgangspunktet.
Hvis Google fortsetter å håndheve maskinvarestøttet attestering, kan dette bety slutten på dagene hvor superbrukere kunne kjøre Google Pay og andre SafetyNet-baserte apper i forbindelse med root-tilgang ved å bruke maskering teknikker. Siden situasjonen fortsatt er under utvikling, kan ting være mer komplekse enn det de ser ut på overflaten. Vi vil holde våre lesere oppdatert hvis det er ny utvikling i saken.
Takk til XDA-medlem Some_Random_Username for tipset!