После тестирования этой функции в прошлом году Google наконец-то сделал аттестацию оборудования в API SafetyNet доступной для разработчиков. Читай дальше!
Еще в мае 2020 года Google удивил сообщество моддеров Android, молча введение аппаратной аттестации для ответов SafetyNet на некоторых устройствах. В связи с тем, что серверы Google не полностью прекратили принимать отчеты об оценке «BASIC» для проверки целостности В программной среде удаленных устройств появление аппаратной аттестации ключей казалось скорее эксперимент. Однако тогда Google заявил, что они «...оценка и корректировка критериев приемлемости для устройств...,", что указывает на потенциал широкомасштабного внедрения. Что ж, Google наконец-то делает именно это.
В соответствии с недавний пост в группе Google для «Клиентов API SafetyNet» поле «evaluationType» в ответе API аттестации SafetyNet теперь стало официально поддерживаемой функцией. Для разработчика это означает, что вы можете использовать службы Google Play для отправки неизмененного сертификата хранилища ключей, сгенерированного с использованием доверенной среды выполнения (TEE) устройства. или специальный аппаратный модуль безопасности (HSM) к серверам SafetyNet каждый раз, когда вы хотите проверить, не подвергалась ли какая-либо манипуляция программной среде устройства. Однако не следует злоупотреблять этой возможностью, поскольку она предназначена исключительно для приложений, которые уже используют параметр «ctsProfileMatch» и которым требуется высочайший уровень гарантий целостности устройства, поскольку
Признаки этого появились несколько недель назад, когда люди заметили, что сервисы Google Play начали давать предпочтение аттестации оборудования для проверки профиля CTS во многих случаях, даже если базовая аттестация проводилась выбрано. Имейте в виду, что это все еще может быть возможно эксплуатировать оппортунистический характер процедуры аттестации оборудования и пройти базовую аттестацию в таких сценариях. Хотя это не окончательное исправление (и ни одно из них до того, как оно было доказано), оно должно позволить людям обходить SafetyNet до тех пор, пока Google не решит вообще отказаться от базовой оценки. Тем не менее нашему сообществу энтузиастов и разработчиков стыдно, что Google вообще предпринимает такие шаги.
Если Google продолжит применять аппаратную аттестацию, это может означать конец тех дней, когда опытные пользователи может запускать Google Pay и другие приложения на базе SafetyNet вместе с root-доступом, используя маскировку. техники. Поскольку ситуация все еще развивается, все может быть сложнее, чем кажется на первый взгляд. Мы будем держать наших читателей в курсе, если появятся новые разработки по этому вопросу.
Спасибо участнику XDA Некоторое_случайное_имя_пользователя за подсказку!