Познакомьтесь с основами аттестации SafetyNet и поймите, как аттестация SafetyNet защищает приложения и каковы их ограничения?
В этом гиперсвязанном мире цифровых устройств мы являемся пленниками интересных, полезных и развлекательных приложений, которые управляют нашими днями и ночами. Эти приложения являются неотъемлемой частью нашего ведения бизнеса. Потребность и потребность в этих приложениях постоянно растут, равно как и усилия сообщества разработчиков Android по созданию безупречных, надежных, удобных и безопасных приложений, которые бесперебойно функционируют на устройствах Android. , повышая ценность для конечного пользователя.
По мере того как мир Android становится больше и шире, надвигающаяся угроза атак на устройства Android возрастает. Эти угрозы непредсказуемы, нестабильны и могут не только повредить работу устройства, но и помешать работе приложений на устройстве, тщательно разработанных разработчиками Android по всему миру. Компрометация этих приложений также открывает уязвимые данные, связанные с приложением, создавая нежелательную ситуацию для разработчики приложений а также пользователи.
Чтобы удовлетворить эту серьезную потребность в проверке безопасности для каждого устройства, которое пытается запустить приложение, Google представила аттестацию SafetyNet.
Что такое аттестация SafetyNet?
Аттестация SafetyNet — это API для защиты от злоупотреблений, который дает возможность тестировать и проверять целостность устройства, на котором пытается запустить приложение. Когда API аттестации SafetyNet включен в систему обнаружения злоупотреблений любого приложения, это помогает определить, взаимодействуют ли серверы приложений с подлинным приложением на подлинном устройстве Android. Это помогает обнаружить рутирование устройства, а также оценить общую целостность устройства.
Аттестация SafetyNet помогает контролировать экосистему Android, гарантируя разработчикам приложений, что их приложения работают на надежном устройстве. Используя аттестацию SafetyNet, разработчики приложений для Android может получить информацию об устройстве, находится ли его операционная система в несанкционированном состоянии (согласно определению Google) или безопасность устройства скомпрометирована, и может принять превентивные меры против злоупотреблений и неправомерного поведения.
Аттестация SafetyNet устраняет необходимость в разработке и повторном внедрении жестко запрограммированных проверок безопасности, которые можно обойти, а обнаружение root/вмешательства становится простым и надежным. Аттестация SafetyNet помогает определить общую целостность устройства.
Наряду с API, SafetyNet в целом предоставляет набор сервисов, которые обеспечивают защиту приложений от угроз безопасности, таких как неверные URL-адреса, вредоносные приложения, несанкционированный доступ к устройствам и фальшивые пользователи. Эти оценки безопасности помогают поддерживать приложение, а также работоспособность устройства. защита критически важных данных в приложении и на устройстве.
Как работает аттестация SafetyNet?
API аттестации SafetyNet расширяет аттестацию с криптографической подписью, которая оценивает целостность устройства, на котором работает приложение. Он проверяет программную и аппаратную среду устройства, ищет проблемы целостности, сопоставляет их со справочными данными, предоставленными для устройств, одобренных Android, и создает отчет о своих результатах для приложения. Эта аттестация привязана к nonce, предоставленному приложением, вызывающим аттестацию SafetyNet, а также содержит метку времени создания и связанные метаданные указанного приложения.
Давайте узнаем, как работает аттестация SafetyNet для приложения, оценивающего целостность устройства:
Шаг № 1: Когда устройство пытается запустить ваше приложение, SafetyNet Attestation APU получает вызов от приложения с одноразовым номером.
Шаг № 2: Служба аттестации SafetyNet проверяет среду выполнения устройства и запрашивает подписанное подтверждение оценки с серверов Google.
Шаг № 3: Серверы Google отправили подписанное подтверждение в службу аттестации SafetyNet на устройстве.
Шаг № 4: Это подписанное подтверждение возвращается в приложение.
Шаг № 5: Это подписанное подтверждение пересылается приложением на ваш сервер.
Шаг № 6: Сервер проверяет ответ и использует его для принятия решения о борьбе со злоупотреблениями, сообщая его приложению.
Шаг № 7: Затем приложение может определить, следует ли ему доверять и запускать его на устройстве.
Аттестация SafetyNet: некоторые распространенные заблуждения
Хотя SafetyNet Attestation API помогает автоматизировать проверку безопасности и целостности на устройствах Android, на которых работает приложение, он не является автономным детектором злоупотреблений или функцией безопасности приложений, а должен использоваться с соответствующим пакетом безопасности приложений для защиты от злоупотреблений для конкретного продукта. . Он работает только тогда, когда устройство подключено к Интернету. Когда он не подключен к Интернету, API возвращает ошибку. Он не предоставляет детальной информации об изменениях системы, но расширяет обзор целостности системы с помощью логических значений. Следовательно, он не содержит проверок, специфичных для приложения. Хотя наличие API аттестации SafetyNet важно, он не может служить заменой проверок DRM.
Как защитить свое приложение с помощью API аттестации SafetyNet?
- Получить ключ API
- Запросить желаемую квоту для выделения
- Убедитесь, что на устройстве пользователя установлена правильная версия сервисов Google Play.
- Получить одноразовый номер
- Запросите аттестацию SafetyNet.
- Перенесите ответ на свой сервер.
- Проверьте ответ на своем сервере с помощью других сигналов борьбы со злоупотреблениями и управляйте поведением приложения.
API аттестации SafetyNet: ограничения
Чтобы он правильно функционировал и давал желаемые результаты, API аттестации SafetyNet необходимо реализовать соответствующим образом, учитывая возможные обходные пути. Существует много неясностей и дискуссий о том, можно ли обойти SafetyNet. Тем не менее, это будет сложно и дорого, но возможность обходного пути никогда не может быть полностью исключена. Следовательно, разработчикам приложений необходимо убедиться, что они предусмотрели такие непредвиденные ситуации, предполагая, что аттестация в определенных сценариях не удастся, и создать среду для обработки таких случаев.
Аттестацию SafetyNet настоятельно рекомендуется включить в стратегию противодействия злоупотреблениям приложения. Предприятиям, реализующим стратегию мобильности для устройств Android, рекомендуется выбрать провайдера MDM включая аттестацию SafetyNet. Управление мобильными устройствами Scalefusion включает аттестацию SafetyNet при оценке регистрации политик на личных устройствах, обеспечивая комплексную безопасность критически важных корпоративных данных на устройствах, принадлежащих сотрудникам. В ходе этой оценки проверяется целостность и безопасность устройства для запуска и обслуживания критически важных рабочих приложений.
Защитите свои устройства Android BYO с помощью Слияние масштабов, сегодня!
