Depois de testar o recurso no ano passado, o Google finalmente tornou o atestado de hardware na API SafetyNet acessível aos desenvolvedores. Leia!
Em maio de 2020, o Google surpreendeu a comunidade de mods Android ao silenciosamente introduzindo atestado apoiado por hardware para respostas SafetyNet em alguns dispositivos. Devido ao fato de os servidores do Google não terem parado totalmente de aceitar relatórios de avaliação "BASIC" para verificar a integridade do No ambiente de software de dispositivos remotos, o advento do atestado de chave apoiado por hardware parecia mais um experimentar. Naquela época, porém, o Google disse que eles eram "...avaliando e ajustando os critérios de elegibilidade dos dispositivos...," indicando o potencial de uma implementação em larga escala. Bem, o Google finalmente está fazendo exatamente isso.
De acordo com uma postagem recente no Grupo do Google para "Clientes da API SafetyNet", o campo "evaluationType" na resposta da API SafetyNet Attestation agora se tornou um recurso com suporte oficial. Para um desenvolvedor, isso significa que você pode utilizar o Google Play Services para enviar um certificado de keystore não modificado gerado usando o Trusted Execution Environment (TEE) do dispositivo. ou módulo de segurança de hardware dedicado (HSM) aos servidores SafetyNet sempre que desejar verificar se o ambiente de software do dispositivo foi violado de alguma forma. No entanto, não se deve abusar do recurso, pois ele se destina exclusivamente a aplicativos que já utilizam o parâmetro "ctsProfileMatch" e que exigem o mais alto nível de garantias de integridade do dispositivo, como
sugerido pela documentação oficial.Houve sinais de que isso estava acontecendo há algumas semanas, quando as pessoas perceberam que o Google Play Services havia começado a oferecer preferência ao atestado de hardware para validação de perfil CTS em muitos casos, mesmo quando o atestado básico era selecionado. Tenha em mente que ainda pode ser possível explorar a natureza oportunista da rotina de atestado de hardware e passar no atestado básico em tais cenários. Embora esta não seja uma solução permanente (e nenhuma antes disso provou ser), deve permitir que as pessoas contornem o SafetyNet até que o Google decida abandonar completamente a avaliação básica. No entanto, é uma pena para a nossa comunidade de entusiastas e desenvolvedores que o Google esteja tomando essas medidas em primeiro lugar.
Se o Google continuar aplicando atestados baseados em hardware, isso pode significar o fim dos dias em que usuários avançados poderia executar o Google Pay e outros aplicativos baseados em SafetyNet em conjunto com acesso root, empregando mascaramento técnicas. Como a situação ainda está em desenvolvimento, as coisas podem ser mais complexas do que parecem superficialmente. Manteremos nossos leitores informados se houver novos desenvolvimentos sobre o assunto.
Obrigado ao membro XDA Some_Random_Username pela dica!