Po minuloročnom testovaní tejto funkcie spoločnosť Google konečne sprístupnila vývojárom hardvérovú atestáciu v SafetyNet API. Pokračuj v čítaní!
V máji 2020 spoločnosť Google prekvapila komunitu úpravcov Androidu tým, že potichu zavádzanie hardvérovo podporovanej atestácie pre reakcie SafetyNet na niektorých zariadeniach. Vzhľadom na skutočnosť, že servery Google úplne neprestali prijímať hodnotiace správy „BASIC“ na kontrolu integrity v softvérovom prostredí vzdialených zariadení sa zdalo, že príchod osvedčenia kľúča podporovaného hardvérom je skôr ako experimentovať. V tom čase však Google povedal, že sú „...vyhodnotenie a úprava kritérií oprávnenosti pre zariadenia...,“, čo naznačuje potenciál rozsiahleho zavádzania. Google to nakoniec presne robí.
Podľa nedávny príspevok v skupine Google pre klientov SafetyNet API sa pole "evaluationType" v odpovedi SafetyNet Attestation API stalo oficiálne podporovanou funkciou. Pre vývojárov to znamená, že môžete využiť služby Google Play na odoslanie neupraveného certifikátu úložiska kľúčov vygenerovaného pomocou Trusted Execution Environment (TEE) zariadenia. alebo vyhradený hardvérový bezpečnostný modul (HSM) na servery SafetyNet zakaždým, keď chcete overiť, či bolo softvérové prostredie zariadenia nejakým spôsobom narušené. Nemali by ste však túto funkciu nadmerne používať, pretože je určená výlučne pre aplikácie, ktoré už používajú parameter „ctsProfileMatch“ a ktoré vyžadujú najvyššiu úroveň záruk integrity zariadenia.
Pred niekoľkými týždňami sa objavili náznaky toho, že sa to stalo, keď si ľudia všimli, že Služby Google Play začali dávať uprednostňovanie hardvérovej atestácie na validáciu profilu CTS v mnohých prípadoch, aj keď bola základná atestácia vybraný. Majte na pamäti, že to stále môže byť možné zneužiť oportunistický charakter rutinnej atestácie hardvéru a v takýchto scenároch prejsť základnou atestáciou. Aj keď to nie je trvalá oprava (a žiadna predtým sa nepreukázala), mala by ľuďom umožniť obísť SafetyNet, kým sa Google nerozhodne úplne opustiť základné hodnotenie. Napriek tomu je hanbou našej komunity nadšencov a vývojárov, že Google robí tieto kroky v prvom rade.
Ak bude Google pokračovať v presadzovaní osvedčení podporovaných hardvérom, môže to znamenať koniec dní, keď sú pokročilí používatelia mohli spustiť Google Pay a ďalšie aplikácie založené na SafetyNet v spojení s prístupom root pomocou maskovania techniky. Keďže sa situácia stále vyvíja, veci môžu byť zložitejšie, ako sa zdá na povrchu. Budeme našich čitateľov informovať, ak dôjde k novému vývoju v tejto veci.
Vďaka člen XDA Some_Random_Username za tip!