Efter att ha testat funktionen förra året har Google äntligen gjort hårdvarubekräftelse i SafetyNet API tillgänglig för utvecklare. Läs vidare!
Tillbaka i maj 2020 överraskade Google Android-modding-communityt genom att tyst införande av hårdvarustödd bekräftelse för SafetyNet-svar på vissa enheter. På grund av det faktum att Googles servrar inte helt slutade acceptera "BASIC" utvärderingsrapporter för att kontrollera integriteten av mjukvarumiljön för fjärrenheter verkade tillkomsten av hårdvarustödd nyckelbekräftelse som mer av en experimentera. Vid den tiden sa Google dock att de var "...utvärdera och justera behörighetskriterierna för enheter...," som indikerar potentialen för en storskalig utbyggnad. Nåväl, Google gör äntligen exakt det.
Enligt ett nyligen inlägg i Google-gruppen för "SafetyNet API-klienter" har fältet "evaluationType" i SafetyNet Attestation API-svaret nu blivit en funktion som stöds officiellt. För en utvecklare betyder det att du kan använda Google Play Services för att skicka ett omodifierat nyckellagringscertifikat som genererats med enhetens Trusted Execution Environment (TEE) eller dedikerad hårdvarusäkerhetsmodul (HSM) till SafetyNet-servrar varje gång du vill verifiera om enhetens mjukvarumiljö har manipulerats på något sätt. Man bör dock inte överanvända funktionen, eftersom den enbart är avsedd för appar som redan använder parametern "ctsProfileMatch" och som kräver högsta möjliga enhetsintegritetsgarantier, som
Det fanns tecken på att detta skulle hända för några veckor sedan när folk märkte att Google Play Services hade börjat ge preferens för hårdvaruattestering för CTS-profilvalidering i många fall, även när grundläggande verifiering var vald. Tänk på att det kanske fortfarande är det möjligt att utnyttja den opportunistiska karaktären hos hårdvaruattesteringsrutinen och klara grundläggande verifiering i sådana scenarier. Även om detta inte är en permanent fix (och ingen tidigare har det visat sig vara det), bör det tillåta människor att kringgå SafetyNet tills Google beslutar sig för att överge grundläggande utvärdering helt. Ändå är det synd för vår entusiast- och utvecklargemenskap att Google tar dessa steg i första hand.
Om Google fortsätter att upprätthålla hårdvarustödda attesteringar kan detta innebära slutet på de dagar då avancerade användare kunde köra Google Pay och andra SafetyNet-baserade appar i kombination med root-åtkomst genom att använda maskering tekniker. Eftersom situationen fortfarande utvecklas kan saker och ting vara mer komplexa än vad de ser ut på ytan. Vi kommer att hålla våra läsare uppdaterade om det finns ny utveckling i frågan.
Tack till XDA-medlem Some_Random_Username för tipset!