vissza márciusban, néhány felhasználó Magisk telepítve észrevette, hogy az eszközök nem sikerült SafetyNet tanúsítvány. Ez a hír aggasztotta az XDA közösségét, mert azt jelenti, hogy sok fontos banki / pénzügyi alkalmazás és népszerű játék, mint például a Pok Xhamstermon Go és a Fate / Grand Order, megtagadta a gyökeres eszközökön való futtatást. Egy ideig úgy tűnt, mintha a SafetyNet szigorított korlátozásait visszahúzták volna, csak azért, hogy az elmúlt hetekben egy maroknyi felhasználó számára újra elinduljon. A Google azonban május elején csendesen megerősítette, hogy tesztelik a hardver által támogatott tanúsítványt a SafetyNet válaszaira, ami miatt a Magisk még márciusban nem tudta elrejteni a rendszerbetöltő feloldási állapotát. Ha ez a változás széles körben elindul, ez azt jelenti, hogy a felhasználóknak választaniuk kell a root/custom ROM/kernels/stb. vagy a preferált banki alkalmazások és játékok. Az Android egyik legnagyobb vonzereje az energiafelhasználók számára hamarosan eltűnik.
ennek az eseménysorozatnak az összefoglalásához először magáról a Safetynetről kell beszélnünk. A SafetyNet egy API-készlet a Google Play szolgáltatásokban. A SafetyNet tanúsítási API egyike azoknak az API-knak, amelyeket harmadik féltől származó alkalmazások hívhatnak meg annak ellenőrzésére, hogy az eszköz szoftverkörnyezetét bármilyen módon meghamisították-e. Az API ellenőrzi a különböző dolgokat, például a superuser binárisok jeleit, a bootloader feloldási állapotát stb. Amikor egy eszközt a Magisk segítségével rootol, az “elszigetelt” biztonságos környezet” az észlelési folyamat számára, és a Google API-ján keresztül olyan legitim SafetyNet eredményt hoz létre, amely nem tükrözi az eszköz valós állapotát” – mondta az XDA vezető elismert fejlesztője, topjohnwu. Ez lehetővé teszi a felhasználó számára, hogy root a telefont, miközben biztosítja, hogy az API mindig visszatér “hamis” minden bootloader feloldása ellenőrzéseket. Ez a módszer a SafetyNet bootloader feloldásának észlelésének megkerülésére az elmúlt években a Magisk számára működött, de ez csak azért van, mert a Google visszatartotta a rendszerindító kép integritásának ellenőrzését hardveres tanúsítás segítségével. Márciusban úgy tűnt, hogy a Google végre elkezdi alkalmazni a hardveres tanúsítást a Safetynetben a rendszerindító kép ellenőrzésére, de soha nem kaptunk hivatalos nyilatkozatot a Google-tól, amely megerősítette a változást, és csak néhány felhasználót érintett. Amint azt az XDA vezető tagja, a Displax észrevette, a Google 5.május 2020-én megerősítette, hogy egyes eszközök SafetyNet tanúsítási API-válaszai most hardveres támogatású ellenőrzéseket tartalmaznak.
a “SafetyNet API kliensek” Google csoportjában a Google egy új funkciót részletezett a tanúsítási API számára: az evaluationType. Egyes eszközök JSON Web Signature (JWS) válaszának “evaluationType” nevű mezője lesz, amely “betekintést nyújt a fejlesztőknek a jelek/mérések típusaiba, amelyek hozzájárultak az egyes SafetyNet tanúsítási API-válaszokhoz.”Az egyik támogatott tokenek ezen a területen “HARDWARE_BACKED”, amely azt jelzi, hogy az API ” a rendelkezésre álló hardver-alapú biztonsági funkciók a távoli eszköz (pl hardver-alapú kulcs tanúsítás) befolyásolni értékelés.”A Google azt mondja, hogy” jelenleg értékelik és módosítják az olyan eszközök alkalmassági feltételeit, ahol hardveres biztonsági funkciókra támaszkodunk.”Ez azt jelenti, hogy egyes eszközökön a Google Play Services most hardveres tanúsítvánnyal észleli, hogy az eszköz szoftverét nem manipulálták. A Google hivatalosan nem dokumentálta ezt a változást a Google csoportban tett bejelentésen kívül, így egyes fejlesztők, akik a Safetynetet használják, esetleg nem tudnak erről a változásról (és így még nem ellenőrzik a “HARDWARE_BACKED” mezőt a JWS válaszokban.) Azonban azoknál az alkalmazásoknál, amelyek ellenőrzik ezt a mezőt, most már nem lehet elrejteni a root hozzáférést tőlük, feltéve, hogy az eszköz része a Google által futtatott tesztnek.
szerint topjohnwu, hardveres tanúsítás azt jelenti, hogy a Google Play szolgáltatások most” egy módosítatlan keystore tanúsítványt SafetyNet szerverek, legitimitását, és tanúsítvány kiterjesztése adatokat tudni, hogy a készülék ellenőrzött boot engedélyezve (bootloader status).”Mivel a magánkulcsokat, amelyekből a kulcstároló tanúsítványok származnak, a telefon elszigetelt biztonságos környezete támogatja, ezek visszakeresése a telefon megbízható végrehajtási környezetének (Tee) vagy a dedikált hardverbiztonsági modul (HSM) biztonságának legyőzésével járna. Ha valaki valahogy kiszivárogtatna egy privát kulcsot, a kulcsokat gyorsan visszavonják, amint a Google megtudja. A Google több százezer dollár jutalmat kínál a Pixel telefonok pólóját érintő kritikus biztonsági résekért, ami csak azt mutatja, hogy hihetetlenül valószínűtlen, hogy ez potenciális út lehet a bootloader feloldásának felderítésének megkerülésére.
egy másik lehetséges módja annak, hogy a Magisk továbbra is meghamisítsa a rendszerbetöltő feloldási állapotát, a SafetyNet ügyféloldali kódjának módosítása, hogy mindig az ALAPÉRTÉKELÉST használja. Mint topjohnwu megjegyzi, bár, ehhez egyedi kódot kellene befecskendezni a Google Play Szolgáltatásokba egy olyan Kampós keretrendszeren keresztül, mint az Xposed keretrendszer. Ezt nem csak azért nehéz megtenni, mert a Google Play Services nagyon zavaros, de lehetetlen elrejteni is, mivel “néhány memóriaterület-elemzés nagyon könnyen felfedi a kódmanipulációt.”Ezenkívül ez csak akkor működne, ha a Google szerverei továbbra is elfogadják az alapvető értékeléseket, és ha a HARDWARE_BACKED értékeléseket nem hajtják végre az azokat támogató eszközökön. (A SafetyNet válaszai” a Google szervereiről származnak, és a Google privát kulcsával vannak aláírva”, a topjohnwu szerint, így a tényleges válaszokat nem lehet meghamisítani.)
az Android 7 Nugát óta a Google megkövetelte, hogy minden eszköz rendelkezzen elszigetelt biztonságos környezettel, ami azt jelenti, hogy a SafetyNet ellenőrzi a rendszerbetöltő feloldását, ami a legtöbb eszközt érinti. Mivel az elkülönített biztonságos környezet nélküli régebbi eszközök nyilvánvalóan nem képesek hardveres tanúsítást végrehajtani, a Magisk továbbra is képes elrejteni a root hozzáférést ezeken az eszközökön. De ha ez a változás széles körben elterjedt, mindenki másnak nehéz döntést kell hoznia a root hozzáférés és a banki alkalmazások között.
sajnos valószínűleg sok olyan alkalmazás létezik, amely akkor használja a SafetyNet ellenőrzéseket, amikor valójában nincs rá szükségük. A topjohnwu által idézett egyik példa a hivatalos McDonald ‘ s alkalmazás, amely látszólag nem hajlandó futni egy bootloader zárolt eszközön. A Twitteren a topjohnwu olyan alkalmazásokat hív ki, amelyek túlzottan használják az API-t, mivel ellenséges környezetet teremtenek az energiafelhasználók számára. Az XDA elismert fejlesztője, Quinny899 csatlakozik egy anekdotához arról, hogy csapata hogyan tekintette a SafetyNet használatát az eszköz biztonsági állapotának ellenőrzésére. Végül úgy döntöttek, hogy nem mennek keresztül vele, mivel csapata alkalmazása titkosítja az összes érzékeny adatot, amellyel működik. A safetynetet nem szabad a megfelelő biztonsági és Adatkezelési gyakorlatok helyett használni, különösen akkor, ha figyelembe vesszük a superuser kihasználásának lehetőségét.
támogatom @AndroidDev, hogy korlátozza a hardver által támogatott SafetyNet értékelése a “valódi” biztonsági érzékeny alkalmazásokat. A fejlesztőknek át kell menniük egy jelentkezési folyamaton, hogy jogosultak legyenek az API-hozzáférés ezen szintjére. Nevetséges, hogy a McDonalds megtagadja a bootloader zárolt eszközön történő futtatását.
– John Wu (@topjohnwu) június 29, 2020
További információ arról, hogy az új SafetyNet változás hogyan befolyásolja a Magisk-ot, nézd meg topjohnwu kiváló GYIK-jét a Twitteren. Ha csak azt szeretné ellenőrizni, hogy készüléke része-e a Google új SafetyNet tesztjének, akkor kövesse az XDA Senior Member Displax útmutatóját, vagy töltse le a legújabb Magisk Manager kiadást.
Frissítve Magisk Manager, hogy tükrözze a evaluationType mező SafetyNet ellenőrzéseket, így az emberek elkezdhetik számolni az utolsó nap a dicsőség pic.twitter.com/x61tGjM7IK
– John Wu (@topjohnwu) június 30, 2020
ezt a cikket 10:46-kor frissítették EST 30.június 2020-án, hogy kijavítsák, hogy a Google csak a Pixel telefonokban található TEE sebezhetőségekért fizet jutalmat. Ezenkívül részleteket adtak hozzá a legújabb Magisk Manager kiadással kapcsolatban, amely most megmutatja az evaluationType mezőt a beépített SafetyNet ellenőrzőben.
- a szerzőről
- olvassa el ezt a következőt
- Google forms Android Ready se Szövetség vezetni elfogadása digitális autó kulcsok és vezetői engedélyek
- Fairphone 2 2015-től most hivatalos frissítést kap az Androidra 9 Pie
- a Motorola Moto G50 olcsó 5G chipet és alacsony árat kínál
- az ASUS új frissítéseket adott ki a ROG Phone 5, ROG Phone 3 és ROG Phone II készülékekhez biztonsági javításokkal és hibajavításokkal
a szerzőről
az XDA főszerkesztője vagyok. Amellett, hogy híreket az Android operációs rendszer és a mobil eszközök, én kezeli az összes szerkesztői és vélemények tartalom a portálon. Tippek / média kérdések: [email protected].
olvassa el ezt a következőt
-
Google forms Android Ready se Szövetség vezetni elfogadása digitális autó kulcsok és vezetői engedélyek
-
Fairphone 2 2015-től most hivatalos frissítést kap az Androidra 9 Pie
-
a Motorola Moto G50 olcsó 5G chipet és alacsony árat kínál
-
az ASUS új frissítéseket adott ki a ROG Phone 5, ROG Phone 3 és ROG Phone II készülékekhez biztonsági javításokkal és hibajavításokkal