Сакривање роот приступа у Магиск-у ће постати много теже изводљиво захваљујући недавној промени у СафетиНет-у која доноси потврду хардвера.
Још у марту, неколико корисника са инсталираним Магиском Приметио да њихови уређаји нису прошли СафетиНет атест. Ова вест је забрињавала заједницу у КСДА јер то значи да су многе кључне банкарске/финансијске апликације и популарне игре попут Покемон Го и Фате/Гранд Ордер одбијале да се покрећу на роот-овим уређајима. Неко време је изгледало као да су пооштрена ограничења у СафетиНету повучена, да би се поново појавила за неколико корисника у последњих неколико недеља. Међутим, Гоогле је тихо потврдио почетком маја да тестирају хардверски подржане атест за СафетиНет одговори, због чега Магиск није могао да сакрије статус откључавања покретача поново у марта. Ако се ова промена широко примени, то ће значити да ће корисници морати да бирају између приступа роот/прилагођеним РОМ-овима/кернелима/итд. или њихове жељене банкарске апликације и игре. Једна од највећих привлачности Андроида за напредне кориснике ускоро би могла да нестане.
Да резимирамо ову серију догађаја, прво би требало да говоримо о самом СафетиНету. СафетиНет је скуп АПИ-ја у Гоогле Плаи услугама. СафетиНет атестатион АПИ је један од тих АПИ-ја и могу га позвати апликације трећих страна да би провериле да ли је софтверско окружење уређаја на било који начин мењано. АПИ проверава различите ствари као што су знаци бинарних датотека суперкорисника, статус откључавања покретача и још много тога. Када роот-ујете уређај помоћу Магиск-а, он „[ствара] изоловано ’безбедно окружење’ за [СафетиНет] процес откривања и пролази кроз Гоогле-ов АПИ да би направио веродостојан СафетиНет резултат који не одражава стварни статус уређаја“, према КСДА Сениор Рецогнизед Девелопер топјохнву. Ово омогућава кориснику да роот свој телефон истовремено осигурава да АПИ увек враћа „фалсе“ за све провере откључавања покретача. Овај метод заобилажења откривања откључавања покретачког покретача СафетиНет-а ради за Магиск последњих неколико године, али то је само зато што је Гоогле одустао од верификације интегритета слике за покретање помоћу хардвера атестирање. У марту се чинило да је Гоогле коначно почео да примењује атестирање хардвера у СафетиНет-у како би потврдио боот имаге, али никада нисмо добили званичну изјаву од Гугла која потврђује промену и само неколико корисника јесте под утицајем. Као што је приметио старији члан КСДА Дисплак, међутим, Гоогле је потврдио 5. маја 2020. да СафетиНет атестатион АПИ одговори са неких уређаја сада укључују хардверске провере.
У Гоогле групи за „СафетиНет АПИ клијенте“, Гоогле је детаљно описао нову функцију за атестацијски АПИ: евалуатионТипе. Одговор ЈСОН веб потписа (ЈВС) са неких уређаја ће имати поље под називом „евалуатионТипе“ које ће „програмерима пружити увид у типове сигнала/мерења која су допринела сваком појединачном СафетиНет атестатион АПИ одговору." Један од подржаних токена у овом пољу је „ХАРДВАРЕ_БАЦКЕД“ што указује да је АПИ „[користио] доступне хардверски подржане безбедносне функције удаљеног уређаја (на пример. хардверски подржан кључ атест) да утиче на [његову] процену." Гоогле каже да "тренутно процењују и прилагођавају критеријуме подобности за уређаје на којима ћемо се ослањати на хардверски подржане безбедносне функције." Ово значи да на неким уређајима Гоогле Плаи услуге сада користе хардверски подржану потврду да открију да софтвер уређаја није дирао. Гоогле није званично документовао ову промену ван најаве у Гоогле групи, тако да неки програмери који користе СафетиНет могу нису свесни ове промене (и стога још увек не проверавате поље „ХАРДВАРЕ_БАЦКЕД“ у ЈВС одговорима.) Међутим, за оне апликације које су проверавају ово поље, сада не постоји начин да се сакрију роот приступ од њих, под условом да је ваш уређај део теста који је Гоогле трчање.
Према топјохнву-у, потврда заснована на хардверу значи да Гоогле Плаи услуге сада „[шаље] неизмењени сертификат за складиште кључева на СафетиНет сервере, [верификује] његову легитимност и [проверава] податке проширења сертификата да би сазнао да ли је ваш уређај [имао] верификовано омогућено покретање (статус покретача).“ Пошто су приватни кључеви из којих су изведени сертификати складишта кључева су подржани изолованим безбедним окружењем телефона, њихово преузимање би укључивало пораз безбедности Поузданог окружења за извршавање (ТЕЕ) телефона или наменске безбедности хардвера модул (ХСМ). Ако би неко некако успео да процури приватни кључ, кључеви би брзо били опозвани када је Гугл сазнао. Гоогле нуди стотине хиљада долара награде за све критичне безбедносне пропусте који утичу на ТЕЕ у Пикел телефонима, што само показује да је невероватно мало вероватно да ће ово бити потенцијални пут да се заобиђе откривање откључавања покретача било како.
Други потенцијални начин на који би Магиск могао да настави да лажира статус откључавања покретача је модификовање СафетиНет-овог кода на страни клијента да увек користи БАСИЦ евалуацију. Као топјохнву нотес, међутим, ово би захтевало убацивање прилагођеног кода у Гоогле Плаи услуге преко оквира за повезивање као што је Кспосед Фрамеворк. Ово није само тешко урадити зато што су Гоогле Плаи услуге веома замућене, већ је и немогуће сакрити јер ће „нека анализа меморијског простора открити манипулацију кодом веома лако." Штавише, ово би такође функционисало само ако Гоогле-ови сервери наставе да прихватају БАСИЦ евалуације и ако ХАРДВАРЕ_БАЦКЕД евалуације нису примењене на уређајима који подржавају њих. (СафетиНет одговори „[долазе] са Гоогле сервера и потписани су Гоогле-овим приватним кључем“, према топјохнву, тако да се стварни одговори не могу лажирати.)
Од Андроид 7 Ноугат-а, Гоогле захтева да сви уређаји имају изоловано безбедно окружење, што значи да ће ова промена начина на који СафетиНет верификује откључавање покретачког програма утицати на већину уређаја који су искључени тамо. Пошто старији уређаји без изолованог безбедног окружења очигледно не могу да обаве хардверски подржану атестацију, Магиск ће и даље моћи да сакрије роот приступ на тим уређајима. Али ако се ова промена прошири, сви остали ће морати да направе тежак избор између роот приступа и банкарских апликација.
Нажалост, вероватно постоји много апликација које користе СафетиНет провере када им то заправо није потребно. Један од примера који наводи топјохнву је званична МцДоналд'сова апликација, која наизглед одбија да ради на откључаном уређају за покретање система. На Твитеру, топјохнву позива апликације које претерано користе АПИ као стварање непријатељског окружења за напредне кориснике. КСДА признати програмер Куинни899 придружује се анегдоти о томе како је његов тим размишљао да користи СафетиНет за проверу безбедносног статуса уређаја. На крају су одлучили да не пролазе кроз то јер апликација његовог тима шифрује све осетљиве податке са којима ради. СафетиНет, тврди он, не би требало да се користи уместо правилне праксе безбедности и руковања подацима, посебно када се узме у обзир могућност експлоатације суперкорисника.
За више информација о томе како нова СафетиНет промена утиче на Магиск, погледајте топјохнву'с одлична често постављана питања на Твитеру. Ако само желите да проверите да ли је ваш уређај део Гоогле-овог новог СафетиНет теста, можете га пратити овај водич од КСДА Сениор Мембер Дисплак-а или преузмите најновију верзију Магиск Манагер-а.
Овај чланак је ажуриран у 10:46 ЕСТ 30. јуна 2020. да би се исправило да Гоогле исплаћује награде само за ТЕЕ рањивости пронађене на Пикел телефонима. Штавише, додати су детаљи у вези са најновијим издањем Магиск Манагер-а које сада приказује поље евалуатионТипе у уграђеном СафетиНет контролору.