Geçen yıl bu özelliği test ettikten sonra Google, sonunda SafetyNet API'sindeki donanım doğrulamasını geliştiricilerin erişimine sundu. Okumaya devam etmek!
Mayıs 2020'de Google, Android modlama topluluğunu sessizce şaşırttı SafetyNet yanıtları için donanım destekli doğrulamanın sunulması bazı cihazlarda. Google sunucularının bütünlüğünü kontrol etmek için "BASIC" değerlendirme raporlarını kabul etmeyi tamamen bırakmaması nedeniyle Uzak cihazların yazılım ortamından dolayı, donanım destekli anahtar doğrulamanın ortaya çıkışı, daha çok bir deney. Ancak o sırada Google şunları söyledi: "...cihazlar için uygunluk kriterlerinin değerlendirilmesi ve ayarlanması...," geniş ölçekli bir kullanıma sunma potansiyelini gösteriyor. Google nihayet tam olarak bunu yapıyor.
Buna göre yeni bir gönderi "SafetyNet API İstemcileri" için Google Grubunda, SafetyNet Onay API yanıtındaki "evaluationType" alanı artık resmi olarak desteklenen bir özellik haline geldi. Bir geliştirici için bu, cihazın Güvenilir Yürütme Ortamı (TEE) kullanılarak oluşturulan değiştirilmemiş bir anahtar deposu sertifikasını göndermek için Google Play Hizmetlerini kullanabileceğiniz anlamına gelir. Cihazın yazılım ortamına herhangi bir şekilde müdahale edilip edilmediğini her doğrulamak istediğinizde SafetyNet sunucularına özel donanım güvenlik modülünü (HSM) veya özel donanım güvenlik modülünü (HSM) kullanın. Ancak bu özelliğin aşırı kullanılmaması gerekir çünkü bu özellik yalnızca zaten "ctsProfileMatch" parametresini kullanan ve en yüksek düzeyde cihaz bütünlüğü garantileri gerektiren uygulamalar için tasarlanmıştır.
resmi belgeler tarafından önerildi.Birkaç hafta önce insanlar Google Play Hizmetlerinin vermeye başladığını fark ettiğinde bunun olduğuna dair işaretler vardı. Çoğu durumda, temel doğrulamanın geçerli olduğu durumlarda bile, CTS profili doğrulaması için donanım doğrulaması tercih edilir. seçildi. Hala olabileceğini unutmayın istismar edilmesi mümkün donanım doğrulama rutininin fırsatçı doğası ve bu tür senaryolarda temel doğrulamanın geçmesi. Bu kalıcı bir düzeltme olmasa da (ve daha önce böyle olduğu kanıtlanmamıştı), Google temel değerlendirmeyi tamamen bırakmaya karar verene kadar insanların SafetyNet'i atlamalarına izin vermelidir. Yine de Google'ın ilk etapta bu adımları atması meraklılarımız ve geliştirici topluluğumuz için utanç verici.
Google, donanım destekli doğrulamayı zorunlu kılmaya devam ederse bu, uzman kullanıcıların maskeleme kullanarak Google Pay ve diğer SafetyNet tabanlı uygulamaları root erişimiyle birlikte çalıştırabilir teknikler. Durum halen gelişme aşamasında olduğundan işler görünüşte göründüğünden daha karmaşık olabilir. Konuyla ilgili yeni gelişmeler olması durumunda okuyucularımızı bilgilendireceğiz.
XDA Üyesine teşekkürler Some_Random_Username ipucu için!