Mishaal Rahman / Android Authoritytl; zaktualizowany API Integrity Play Dr Google utrudnia użytkownikom z zakorzenionymi telefonami lub niestandardowymi ROM, aby uzyskać dostęp do niektórych aplikacji ze względu na ulepszone weryfikacje bezpieczeństwa. Aktualizacja, która jest teraz domyślnie wdrożona od maja 2025 r., Wymusza surowsze sygnały bezpieczeństwa wspierane przez sprzętowe wyrok w sprawie wyroków integralności na urządzeniach z Androidem 13 lub nowszym. Chociaż ta zmiana ma na celu ochronę aplikacji przed nadużyciami, negatywnie wpływa na uzasadnione zaawansowane użytkowników i potencjalnie osoby na starszych urządzeniach pozbawionych ostatnich łat bezpieczeństwa. W porównaniu z miliardami regularnych użytkowników Androida liczba osób, które zakorzenione w telefonach z Androidem lub instalowane niestandardowe ROM jest niewielkie. Chociaż nie powiedziałbym, że Google jest aktywnie wrogi wobec tych zaawansowanych użytkowników, wysiłki firmy mające na celu wzmocnienie bezpieczeństwa aplikacji na Androida mają niefortunny efekt uboczny negatywnego wpływu na ich doświadczenie. Na przykład najnowsza aktualizacja Google do interfejsu API Play Integrity ułatwia ochronę ich aplikacji przed obraźliwymi użytkownikami, a jednocześnie utrudniają uzasadnioną wersję użytkowników za pomocą niektórych aplikacji. API Play Integrity to narzędzie, które programiści mogą używać, aby sprawdzić, czy interakcje przychodzące i żądania serwerowe pochodzą z niezmodyfikowanej wersji aplikacji Binary działającego na urządzeniu orygine Android. Wielu programistów używa tego interfejsu API do łagodzenia nadużycia aplikacji, które mogą prowadzić do przychodów lub utraty danych. Na przykład interfejs API może pomóc użytkownikom uzyskać dostęp do treści premium bez płacenia, lub może pomóc w ochronie wrażliwych danych finansowych, zapobiegając dostępu do urządzeń, które potencjalnie mogą zostać zagrożone.
Problem dla zaawansowanych użytkowników, którzy zakorzenili swoje telefony lub instalują niestandardową pamięć ROM, polega na definicji „autentycznego” urządzenia z Androidem Google: jedno z certyfikowaną przez Google Play Building Androida. Ta definicja z natury wyklucza prawie każdą niestandardową pamięć ROM, co skłania wielu niestandardowych użytkowników ROM do zatrudnienia hacków do sfałszowanych certyfikowanych kompilacji. Podczas gdy wiele osób, które ukorzeni ich telefony, nie instaluje niestandardowego pamięci ROM, odblokowuje bootloader w ramach procesu rootowania. Ten krok powoduje, że ich urządzenia zawodzą w bardziej rygorystycznych kontrolach integralności gry, blokując je z wielu aplikacji do jadalni, medycznych, gier, bankowości i płatności, ponieważ tego rodzaju aplikacje często wykorzystują surowsze oceny API dla użytkowników energii, ponieważ często znajdują API API i jego poprzedni. Jednak Google przeprowadza się, aby egzekwować sprzętowe sygnały bezpieczeństwa. Są one znacznie trudniejsze do ominięcia, ponieważ w przeciwieństwie do prostszych przeszłych metod, są zakorzenione w samym sprzęcie. Podczas gdy te kontrole oparte na sprzęcie oferują bardziej niezawodne bezpieczeństwo, zaawansowane użytkownicy znaleźli pewną ulgę, że Google nie egzekwował swojej najściślejszej aplikacji. Furthermore, deweloperzy aplikacji deweloperze decydują, czy chcą egzekwować sygnały bezpieczeństwa wspierane przez sprzęt. To dało programistom elastyczność ograniczania użytkowania swoich aplikacji, które uznają za stosowne. Na przykład aplikacje bankowe lub płatności często robią wszystko, aby sprawdzić, czy urządzenia przekazywały sygnały wspierane przez sprzęt, ale teraz sygnały te są częścią odniesienia Play Integrity dla wszystkich integratorów API.in w grudniu ubiegłego roku, Google ogłosił poważną aktualizację API Integrity Integrity Play, która poprawia „podstawowe”, „urządzenie”, „silną” werdykcję integralności na odbycie i później. Werdykt „Urządzenie” i „silny” to dwa bardziej rygorystyczne aplikacje werdyktów, które mogą odbierać podczas wywoływania interfejsu API Play Integrity. „Podstawowy” werdykt, choć mniej rygorystyczny, nie jest tak szeroko stosowany przez programistów szukających wyższych poziomów bezpieczeństwa.
W przeszłości tylko „silny” werdykt integralności używał sygnałów bezpieczeństwa wspieranych przez sprzęt. Jednak od grudnia ubiegłego roku Google wydał wszystkie werdykt integralności, nawet surowszy: werdykt „urządzenia” został zaktualizowany, aby korzystać również z sygnałów bezpieczeństwa wspieranych przez sprzęt, podczas gdy „silny” werdykt uczciwości został zmieniony, aby wymagać poziomu łatki bezpieczeństwa z w ciągu ostatniego roku. Tymczasem „podstawowy” werdykt integralności został również zaktualizowany, aby korzystać z sygnałów wspieranych przez sprzęt, choć ze względu na jego mniej rygorystyczne wymagania, przechodzi nawet na urządzenia z włączonym rootem lub uruchamianym rozładowaniem. Uznane przez Google'a, aby zwiększyć interfejs API integralności gry. Zmiany te sprawiają również, że API jest trudniejsze i droższe dla atakujących. W czasie ogłoszenia te zaktualizowane werdykty integralności nie zostały natychmiast egzekwowane. Google sprawiło, że zdecydowali się na programistów, ale stwierdził, że wszyscy „[Play Integrity] Integracje API automatycznie przejdzie do nowych werdyktów w maju 2025 r. ” Silniejsze werdykt dla wszystkich programistów bez dodatkowej pracy programistów. ”
„API Play Integrity jest istotnym narzędziem w każdej kompleksowej strategii bezpieczeństwa. Pomaganie ci obronić całej aplikacji. Kluczowe jest zapobieganie nadużyciom, które mogą prowadzić do utraty przychodów, a także szkodzić Twoim użytkownikom. Deweloperzy, którzy korzystają z tego interfejsu API, widzą ponad 80% niższą nieupoważnioną użytkowanie w porównaniu z innymi aplikacjami. To oznacza, że mniej oszustwo, mniej oszustwo, lub przedzierają się danych. Tam. Raghavendra Hareesh, kierownik ds. Play i monetyzacja w Google
Oznacza to, że zaawansowani użytkownicy, którzy zakorzenili telefony lub instalują niestandardową pamięć ROM, mogą nagle znaleźć aplikacje, które przestają działać, szczególnie na urządzeniach z Androidem 13 lub nowszym. Nawet użytkownicy z niezmodyfikowanymi urządzeniami z Androidem 13+ mogą napotkać problemy, jeśli ich urządzenia nie otrzymały aktualizacji oprogramowania od dłuższego czasu. Wynika to z faktu, że aplikacje sprawdzające „silny” werdykt integralności wymagają niedawnego poziomu łatki bezpieczeństwa.
Przesłanie Mishaal Rahman / Android AuthoritySerorror w aplikacji Pokémon Go, gdy urządzenie nie udaje się od pewnego czasu przewidywane wdrożenie Sygnałów Bezpieczeństwa zabezpieczenia sprzętowego. Podczas gdy zaawansowani użytkownicy wcześniej znaleźli proste sposoby ominięcia wcześniejszych środków-często poprzez oszustwo interfejsu API Integrity Play w celu łatwiejszego sfałszowanego kontrolowania oprogramowania-metody te nigdy nie były trwałymi rozwiązaniami. Było to zatem tylko kwestia czasu, zanim ci użytkownicy napotkają zepsute aplikacje. Możliwe obejścia prawdopodobnie znikną, pozostawiając użytkowników bez wyboru, jak tylko uciekać się do zacienionych wycieków Keybox lub przywrócenie urządzeń do magazynowania. Tak więc, chociaż głównym celem Google w tych zmianach jest poprawa bezpieczeństwa aplikacji dla wszystkich, jednak degradują wrażenia dla tych zaawansowanych użytkowników. Dzięki do badacza bezpieczeństwa Linuxct za jego dane wejściowe w tym artykule!
Masz wskazówkę? Porozmawiaj z nami! Napisz do naszych pracowników na adres [email protected]. Możesz pozostać anonimowy lub uzyskać uznanie za informacje, to twój wybór.