Zpět v Březnu, několik uživatelů s Magisk nainstalován všimli, že jejich zařízení není schopno SafetyNet potvrzení. Tato zpráva byla znepokojující pro komunitu na XDA, protože to znamená, že mnoho zásadních bankovnictví/finančních aplikací a populárních her, jako je Pokémon Go a Fate/Grand Order odmítali běžet na zakořeněné zařízení. Za nějaký čas, zdálo se, jako by zpřísnila omezení v SafetyNet byli staženi zpět, jen aby valit ven zase pro hrstku uživatelů v posledních několika týdnech. Google však na začátku května tiše potvrdil, že testují hardwarovou certifikaci pro odpovědi SafetyNet, což způsobilo, že Magisk nemohl skrýt stav odblokování bootloaderu zpět v březnu. Pokud tato změna široce valí, to bude znamenat, že uživatelé budou muset vybrat mezi tím, mít přístup k root/custom Rom/jádra/etc. nebo jejich preferované bankovní aplikace a hry. Jedna z největších výzev Androidu pro výkonné uživatele by mohla být brzy pryč.
Chcete-li shrnout tuto sérii událostí, měli bychom nejprve mluvit o samotném Safetynetu. SafetyNet je sada rozhraní API ve službách Google Play. Na SafetyNet Osvědčení API je jedna z těch Api, a to může být nazýván třetí-party aplikací zkontrolovat, zda je softwarové prostředí ze zařízení bylo manipulováno v žádném případě. API kontroluje různé věci, jako jsou známky binárních souborů superuživatele, stav odemknutí bootloaderu a další. Když vykořenit zařízení s Magisk, “ izolované bezpečné prostředí pro proces detekce, a to jde přes Google API k vytvoření legit SafetyNet, že výsledek neodráží skutečný stav zařízení,“ na XDA Uznávaný Developer Senior topjohnwu. To umožňuje uživateli zakořenit svůj telefon a zároveň zajistit, že API vždy vrátí „false“ pro všechny kontroly odemknutí bootloaderu. Tato metoda obcházení detekce odblokování bootloaderu SafetyNet funguje pro Magisk v posledních několika letech, ale je to jen proto, že Google odložil ověření integrity zaváděcího obrazu pomocí hardwarového atestace. V Březnu, vypadalo to, že Google byl konečně začínají využívat hardware atestace v SafetyNet ověřit spouštěcí bitové kopie, ale nikdy jsme oficiální prohlášení od Google potvrzení změny a jen málo uživatelů byly ovlivněny. Jako spatřen XDA Senior member Displax, nicméně, Google potvrdil na 5. Května 2020, které SafetyNet Osvědčení API odpovědi od některých zařízeních nyní zahrnují hardware-couval kontroly.
ve skupině Google pro klienty SafetyNet API společnost Google podrobně popsala novou funkci pro atestační API: evaluationType. JSON Web Podpis (JWS) reakce od některých zařízeních bude mít pole s názvem „evaluationType“, že „bude poskytovat vývojářům s vhled do typů signálů/měření, které přispěly ke každé jednotlivé SafetyNet Osvědčení API reakci.“Jedním z podporovaných tokenů v tomto poli je „HARDWARE_BACKED“, což znamená, že API “ dostupné hardwarové bezpečnostní funkce vzdáleného zařízení (např.“Google říká, že „v současné době vyhodnocují a upravují kritéria způsobilosti pro zařízení, kde se budeme spoléhat na hardwarové bezpečnostní funkce.“To znamená, že na některých zařízeních služby Google Play nyní používají hardwarovou certifikaci, aby zjistily, že se softwarem zařízení nebylo manipulováno. Google se oficiálně zdokumentováno, že tato změna mimo oznámení v Google Skupině, takže někteří vývojáři, kteří používají SafetyNet nemusí být vědomi této změny (a tedy ještě nejsou, kontrola „HARDWARE_BACKED“ pole v JWS odpovědi.) Pro aplikace, které kontrolují toto pole, však nyní neexistuje způsob, jak před nimi skrýt přístup root, pokud je vaše zařízení součástí testu, který Google běží.
Podle topjohnwu, hardware-couval osvědčení znamená, že Služby Google Play nyní“ nezměněné keystore certifikát SafetyNet servery, svou legitimitu, a osvědčení o prodloužení data, vědět, zda je vaše zařízení verified boot enabled (bootloader status).“Od soukromých klíčů, z nichž keystore certifikáty jsou odvozeny od opírají o telefonu izolované bezpečné prostředí, jejich načítání by znamenalo, že porazí zabezpečení telefonu Trusted Execution Environment (TEE) nebo dedikovaný hardware security modulu (HSM). Pokud by někdo nějakým způsobem unikl soukromý klíč, klíče by byly rychle zrušeny, jakmile to Google zjistí. Google nabízí stovky tisíc dolarů na odměnách pro všechny kritické bezpečnostní chyby, které ovlivňují TEE v Pixel telefony, které jen dokazuje, že je neuvěřitelně nepravděpodobné, aby to bylo možný způsob, jak obejít zavaděče odemknutí detekce stejně.
Dalším možným způsobem, že Magisk mohl pokračovat v spoof zavaděče odemknutí stav je úpravou SafetyNet je client-side kódu vždy použít ZÁKLADNÍ hodnocení. Jak poznamenává topjohnwu, to by však vyžadovalo vložení vlastního kódu do služeb Google Play prostřednictvím hákového rámce, jako je rámec Xposed. To je nejen obtížné, protože služby Google Play jsou velmi zmatené, ale je také nemožné skrýt, protože “ některá analýza paměťového prostoru odhalí manipulaci s kódem velmi snadno.“Kromě toho by to také fungovalo, pouze pokud servery Google nadále přijímají základní hodnocení a pokud nejsou hardware_backed hodnocení vynucena na zařízeních, která je podporují. (Odpovědi SafetyNet „ze serverů Google a jsou podepsány soukromým klíčem Google“, podle topjohnwu, takže skutečné odpovědi nelze zfalšovat.)
Vzhledem k tomu, Android 7 Nugát, Google vyžaduje, aby všechna zařízení mají izolované bezpečné prostředí, znamená tato změna, jak SafetyNet ověřuje zavaděče odemknutí bude mít vliv na většinu přístrojů, které jsou tam. Protože starší zařízení bez izolovaného zabezpečeného prostředí zjevně nemohou provádět hardwarovou certifikaci, Magisk bude stále schopen skrýt přístup root na těchto zařízeních. Pokud se však tato změna rozšíří, všichni ostatní si budou muset tvrdě vybrat mezi rootovým přístupem a bankovními aplikacemi.
bohužel existuje pravděpodobně mnoho aplikací, které používají kontroly SafetyNet, když to ve skutečnosti nepotřebují. Jedním z příkladů citovaných topjohnwu je oficiální aplikace McDonald ‚ s, která zdánlivě odmítá běžet na odemčeném zařízení bootloaderu. Na Twitteru, topjohnwu volá aplikace, které NADUŽÍVAJÍ API jako vytváření nepřátelského prostředí pro výkonné uživatele. XDA uznávaný vývojář Quinny899 se připojí k anekdotě o tom, jak jeho tým zvažoval použití SafetyNet ke kontrole stavu zabezpečení zařízení. Nakonec se rozhodli, že s tím nepůjdou, protože aplikace jeho týmu šifruje všechna citlivá data, se kterými pracuje. SafetyNet, tvrdí, by neměl být používán místo řádných postupů zabezpečení a zpracování dat, zejména při zvažování možnosti zneužití superuživatele.
obhajuji @AndroidDev omezit hardwarově podporované hodnocení SafetyNet na „skutečné“ aplikace citlivé na zabezpečení. Vývojáři by měli projít procesem aplikace, aby kvalifikovali tuto úroveň přístupu API. Je směšné, že McDonalds odmítá běžet na odemčeném zařízení bootloaderu.
— John Wu (@topjohnwu) červen 29, 2020
Pro více informací o tom, jak nové SafetyNet změna ovlivňuje Magisk, podívejte se na topjohnwu je vynikající FAQ na Twitteru. Pokud chcete pouze zkontrolovat, zda je vaše zařízení součástí nového testu SafetyNet společnosti Google, můžete postupovat podle této příručky od XDA Senior Member Displax nebo si stáhnout nejnovější verzi Magisk Manager.
Aktualizováno Magisk Správce, aby odrážely evaluationType pole v SafetyNet kontroly, takže lidé mohou začít počítat poslední dny slávy pic.twitter.com/x61tGjM7IK
— John Wu (@topjohnwu) červen 30, 2020
Tento článek byl aktualizován v 10:46 AM EST 30. června 2020, aby se správné, že Google platí jen z odměny pro TEE zranitelnosti nalezené v Pixel telefony. Dále byly přidány podrobnosti týkající se nejnovější verze Magisk Manager, která nyní zobrazuje pole evaluationType ve vestavěné kontrole SafetyNet.
- O autorovi
- Další
- formuláře Google Android Připraven SE Aliance řídit přijetí digitální klíče od auta a řidičáky
- Fairphone 2 od roku 2015 nyní dostává oficiální aktualizaci na Android 9 Koláč
- Motorola Moto G50 sportovní rozpočtu 5G čip a nízká cena
- ASUS vydává nové aktualizace pro ROG Telefonu 5, ROG Telefon 3, a ROG Telefon II s bezpečnostní záplaty a opravy chyb
O autorovi
já jsem Editor-in-šéf z XDA. Kromě nejnovějších zpráv o operačním systému Android a mobilních zařízeních spravuji veškerý redakční a recenzní obsah na portálu. Tipy / mediální dotazy: [email protected].
Další
-
formuláře Google Android Připraven SE Aliance řídit přijetí digitální klíče od auta a řidičáky
-
Fairphone 2 od roku 2015 nyní dostává oficiální aktualizaci na Android 9 Koláč
-
Motorola Moto G50 sportovní rozpočtu 5G čip a nízká cena
-
ASUS vydává nové aktualizace pro ROG Telefonu 5, ROG Telefon 3, a ROG Telefon II s bezpečnostní záplaty a opravy chyb