Після тестування цієї функції минулого року Google нарешті зробив доступною для розробників атестацію обладнання в SafetyNet API. Читай далі!
Ще в травні 2020 року Google здивувала спільноту модифікаторів Android тим, що тихо запровадження апаратної атестації для відповідей SafetyNet на деяких пристроях. Через те, що сервери Google не повністю припинили приймати звіти про оцінку "BASIC" для перевірки цілісності у програмному середовищі віддалених пристроїв поява апаратної атестації ключів здавалася більшою мірою експеримент. Однак тоді Google заявив, що вони "...оцінка та коригування критеріїв прийнятності для пристроїв...,", що вказує на потенціал широкомасштабного впровадження. Що ж, Google нарешті робить саме це.
Відповідно до нещодавній пост у групі Google для «Клієнтів SafetyNet API» поле «evaluationType» у відповіді SafetyNet Attestation API тепер стало офіційно підтримуваною функцією. Для розробника це означає, що ви можете використовувати служби Google Play для надсилання немодифікованого сертифіката сховища ключів, створеного за допомогою довіреного середовища виконання (TEE) пристрою. або спеціальний апаратний модуль безпеки (HSM) до серверів SafetyNet кожного разу, коли ви хочете перевірити, чи програмне середовище пристрою було будь-яким чином підроблено. Однак не слід зловживати цією можливістю, оскільки вона призначена виключно для програм, які вже використовують параметр «ctsProfileMatch» і які вимагають найвищого рівня гарантій цілісності пристрою, оскільки
запропоновано офіційною документацією.Були ознаки цього кілька тижнів тому, коли люди помітили, що служби Google Play почали давати перевага атестації апаратного забезпечення для перевірки профілю CTS у багатьох випадках, навіть якщо була базова атестація вибрано. Майте на увазі, що це все ще може бути можливо експлуатувати опортуністичний характер процедури атестації обладнання та пройти базову атестацію в таких сценаріях. Хоча це не є постійним виправленням (і жодне раніше не довело, що воно є), воно має дозволити людям обходити SafetyNet, доки Google не вирішить повністю відмовитися від базової оцінки. Тим не менш, нашій спільноті ентузіастів і розробників прикро, що Google взагалі робить ці кроки.
Якщо Google продовжить запроваджувати атестацію за допомогою апаратного забезпечення, це може означати кінець днів досвідчених користувачів міг запускати Google Pay та інші програми на основі SafetyNet у поєднанні з кореневим доступом за допомогою маскування техніки. Оскільки ситуація ще розвивається, все може бути складнішим, ніж те, що здається на поверхні. Ми будемо інформувати наших читачів, якщо з цього приводу будуть нові події.
Дякую учаснику XDA Some_Random_Username за чайові!