SafetyNet’ s gevreesde hardware attestation wordt uitgerold, waardoor het veel moeilijker voor Magisk om root

te verbergen in Maart, merkten een paar gebruikers met Magisk geà nstalleerd dat hun apparaten niet SafetyNet attestation. Dit nieuws was verontrustend voor de Gemeenschap bij XDA omdat het betekent dat veel cruciale bank – /financiële apps en populaire games zoals Pokémon Go en Fate/Grand Order weigerden om te draaien op rootapparaten. Voor enige tijd, het leek alsof de aangescherpte beperkingen in SafetyNet werden teruggetrokken, alleen uit te rollen weer voor een handvol gebruikers in de afgelopen weken. Echter, Google rustig bevestigd in het begin van mei dat ze testen hardware-backed attest voor SafetyNet reacties, dat is wat Magisk niet in staat om de bootloader ontgrendelen status te verbergen in Maart. Als deze verandering op grote schaal uitrolt, betekent dit dat gebruikers moeten kiezen tussen toegang hebben tot root/custom ROMs/kernels/etc. of hun favoriete banking apps en games. Een van de grootste aantrekkingskracht van Android voor power users kan binnenkort worden gegaan.

om deze reeks gebeurtenissen samen te vatten, moeten we eerst praten over SafetyNet zelf. SafetyNet is een reeks API ‘ s in Google Play-Services. De SafetyNet Attestation API is een van die API ‘ s, en het kan worden opgeroepen door applicaties van derden om te controleren of de software-omgeving van het apparaat is geknoeid met op enigerlei wijze. De API controleert op verschillende dingen zoals tekenen van superuser binaries, de bootloader unlock status, en meer. Wanneer u root een apparaat met Magisk, het” een geïsoleerde ‘veilige omgeving’ voor het detectieproces, en het gaat door Google API om een legit SafetyNet resultaat dat niet de echte status van het apparaat weerspiegelt te creëren, ” per XDA Senior erkende Ontwikkelaar topjohnwu. Hierdoor kan de gebruiker zijn telefoon root terwijl ervoor te zorgen dat de API altijd retourneert “false” voor elke bootloader ontgrendelen controles. Deze methode van het omzeilen van SafetyNet ‘ s bootloader ontgrendelen detectie is uit te werken voor Magisk voor de laatste paar jaar, maar dat is alleen omdat Google heeft afgehouden op het verifiëren van de integriteit van de boot image met behulp van hardware attestation. In Maart leek het alsof Google eindelijk begon hardwareattest in SafetyNet te gebruiken om het opstartbeeld te verifiëren, maar we kregen nooit een officiële verklaring van Google ter bevestiging van de wijziging en slechts een paar gebruikers werden getroffen. Zoals gespot door XDA Senior lid Displax, echter, Google bevestigd op mei 5, 2020, dat SafetyNet Attestation API reacties van sommige apparaten nu ook hardware-backed controles.

in de Google-Groep voor “SafetyNet API-Clients” heeft Google een nieuwe functie voor de attestatie-API beschreven: evaluationType. De JSON Web Signature (JWS) reactie van sommige apparaten zal een veld met de naam hebben “evaluationType” dat “zal ontwikkelaars met inzicht in de soorten signalen/metingen die hebben bijgedragen aan elke individuele SafetyNet Attestation API reactie.”Een van de ondersteunde tokens op dit gebied is” HARDWARE_BACKED “wat aangeeft dat de API” de beschikbare hardware-backed beveiligingsfuncties van het apparaat op afstand (bijvoorbeeld hardware-backed key attestation) om evaluatie te beïnvloeden.”Google zegt dat ze” momenteel evalueren en aanpassen van de toelatingscriteria voor apparaten waar we zullen vertrouwen op hardware-backed beveiligingsfuncties.”Wat dit betekent is dat, op sommige apparaten, Google Play Services is nu met behulp van hardware-backed attest op te sporen dat de software van het apparaat is niet geknoeid met. Google heeft deze wijziging niet officieel gedocumenteerd buiten de aankondiging in de Google-groep, dus sommige ontwikkelaars die SafetyNet gebruiken, zijn zich mogelijk niet bewust van deze wijziging (en zijn dus nog niet op zoek naar het veld “HARDWARE_BACKED” in JWS-reacties.) Echter, voor die apps die controleren op dit veld, er is nu geen manier om root toegang te verbergen voor hen, op voorwaarde dat uw apparaat is onderdeel van de test die Google wordt uitgevoerd.

SafetyNet Attestation API response met evaluationType returning ” BASIC.” Aftiteling: Lid sinds 1 januari 2019
SafetyNet Response BASIC and HARDWARE_BACKED
SafetyNet Attestation API response with evaluationType returning ” BASIC “and” HARDWARE_BACKED.”Credits: XDA Senior Member Displax

volgens topjohnwu, hardware-backed attestation means that Google Play Services now” een ongewijzigd keystore certificaat voor SafetyNet servers, zijn legitimiteit, en certificaat extensie gegevens om te weten of uw apparaat geverifieerd boot ingeschakeld (bootloader status).”Aangezien de private sleutels waaruit de keystore certificaten zijn afgeleid, worden ondersteund door de geïsoleerde beveiligde omgeving van de telefoon, zou het ophalen ervan het verslaan van de beveiliging van de telefoon’ s Trusted Execution Environment (TEE) of dedicated hardware security module (HSM). Als men een of andere manier in staat om een private sleutel lekken, de sleutels zou snel worden ingetrokken zodra Google erachter. Google biedt honderdduizenden dollars in beloningen voor elke kritieke beveiligingsproblemen die van invloed zijn op de TEE in Pixel telefoons, die gewoon gaat om te laten zien dat het ongelooflijk onwaarschijnlijk is dat dit een potentiële avenue om bootloader ontsluiten detectie anyways te omzeilen.

een andere mogelijke manier waarop Magisk de opstartlader ontgrendelingsstatus kan blijven spoofen is door SafetyNet ‘ s client-side code te wijzigen om altijd de basis evaluatie te gebruiken. Zoals topjohnwu merkt, hoewel, dit zou vereisen het injecteren van aangepaste code in Google Play-diensten via een aansluiting kader zoals de Xposed kader. Dit is niet alleen moeilijk te doen, omdat Google Play Services is zeer versluierd, maar het is ook onmogelijk te verbergen als ” sommige geheugenruimte analyse zal code manipulatie zeer gemakkelijk onthullen.”Bovendien, dit zou ook alleen werken als Google’ s servers blijven elementaire evaluaties te accepteren en als HARDWARE_BACKED evaluaties niet worden afgedwongen op apparaten die hen ondersteunen. (SafetyNet reacties “van Google servers en zijn ondertekend met Google’ s private key, ” volgens topjohnwu, zodat de werkelijke reacties kunnen niet worden vervalst.)

sinds Android 7 Nougat heeft Google vereist dat alle apparaten een geïsoleerde beveiligde omgeving hebben, wat betekent dat deze verandering in hoe SafetyNet bootloader ontgrendeling controleert de meeste apparaten die er zijn zal beïnvloeden. Aangezien oudere apparaten zonder een geïsoleerde veilige omgeving uiteraard niet kan uitvoeren hardware-backed attestation, Magisk zal nog steeds in staat zijn om root toegang te verbergen op die apparaten. Maar als deze verandering op grote schaal uitrolt, zal iedereen een moeilijke keuze moeten maken tussen root-toegang en banking apps.

helaas zijn er waarschijnlijk veel apps die SafetyNet-controles gebruiken wanneer ze dat niet echt nodig hebben. Een voorbeeld aangehaald door topjohnwu is de officiële McDonald ‘ s app, die schijnbaar weigert te draaien op een bootloader ontgrendeld apparaat. Op Twitter, topjohnwu roept apps die overmatig gebruik maken van de API als het creëren van een vijandige omgeving voor power users. XDA erkende Ontwikkelaar Quinny899 sluit zich aan bij een anekdote over hoe zijn team overwoog SafetyNet te gebruiken om de beveiligingsstatus van het apparaat te controleren. Uiteindelijk besloten ze niet door te gaan met het, omdat de app van zijn team versleutelt alle gevoelige gegevens het werkt met. SafetyNet, stelt hij, mag niet worden gebruikt in plaats van de juiste beveiliging en de verwerking van gegevens praktijken, vooral wanneer het overwegen van de mogelijkheid van superuser exploits.

ik pleit voor @AndroidDev om door hardware ondersteunde SafetyNet-evaluatie te beperken tot” echte ” beveiligingsgevoelige apps. Ontwikkelaars moeten een aanvraagprocedure doorlopen om dit niveau van API-toegang te kwalificeren. Het is belachelijk voor McDonalds om te weigeren om te draaien op een bootloader ontgrendeld apparaat.

– John Wu (@topjohnwu) juni 29, 2020

voor meer informatie over hoe de nieuwe SafetyNet verandering Magisk beïnvloedt, check out topjohnwu ‘ s uitstekende FAQ op Twitter. Als u gewoon wilt controleren of uw apparaat is onderdeel van Google ‘ s nieuwe SafetyNet-test, dan kunt u deze gids door XDA Senior lid Displax volgen of downloaden van de nieuwste Magisk Manager release.

Magisk-Manager bijgewerkt om het beoordelingstype-veld in SafetyNet-controles weer te geven, zodat mensen de laatste gloriedagen kunnen tellen 😅 pic.twitter.com/x61tGjM7IK

– John Wu (@topjohnwu) juni 30, 2020

dit artikel is bijgewerkt om 10: 46 AM EST op Juni 30, 2020, om te corrigeren dat Google betaalt alleen beloningen voor Tee kwetsbaarheden gevonden in Pixel telefoons. Bovendien, details werden toegevoegd met betrekking tot de nieuwste Magisk Manager release die nu toont de evaluationType veld in de ingebouwde SafetyNet checker.

Lees Dit Volgende


  • Google forms Android Klaar SE Bondgenootschap om de acceptatie van digitale autosleutels en rijbewijzen


  • Fairphone 2 vanaf 2015 ontvangt nu een officiële update naar Android 9 Pie


  • Motorola Moto G50 sport een budget 5G-chip en een lage prijs


  • ASUS brengt nieuwe updates voor de ROG Telefoon 5, ROG Telefoon 3, en ROG Telefoon II met security patches en bug fixes


«

+