Door je Android-apparaat te rooten, heb je toegang tot een grotere verscheidenheid aan apps en een diepere toegang tot het Android-systeem. Maar sommige apps, zoals Google’s Android Pay - werkt helemaal niet op een geroot apparaat.
Google gebruikt zoiets als SafetyNet om te detecteren of uw apparaat is geroot of niet, en blokkeert de toegang tot die functies. Google is ook niet de enige: veel apps van derden werken ook niet geroote Android-apparaten , hoewel ze de aanwezigheid van wortel op andere manieren kunnen controleren.
SafetyNet: hoe Google weet dat u uw Android-telefoon heeft geroot
VERWANT: Bent u het beu om uw creditcard gestolen te krijgen? Gebruik Apple Pay of Android Pay
Android-apparaten bieden een " SafetyNet-API , ”Die deel uitmaakt van de Google Play-services laag geïnstalleerd op door Google goedgekeurde Android-apparaten. Deze API "biedt toegang tot Google-services die u helpen de gezondheid en veiligheid van een Android-apparaat te beoordelen", aldus Google. Als u een Android-ontwikkelaar bent, kunt u deze API in uw app aanroepen om te controleren of er met het apparaat waarop u werkt, is geknoeid.
Deze SafetyNet API is ontworpen om te controleren of er met een apparaat is geknoeid, bijvoorbeeld of het is geroot door een gebruiker, een aangepast ROM uitvoert of is geïnfecteerd met malware op laag niveau.
Apparaten die worden geleverd met de Play Store van Google en andere geïnstalleerde apps, moeten voldoen aan de Google-compatibiliteitstestsuite voor Android. Door een apparaat te rooten of een aangepast ROM te installeren, wordt voorkomen dat een apparaat "CTS-compatibel" is. Dit is hoe de SafetyNet API kan zien of u geroot bent: het controleert alleen op CTS-compatibiliteit. Evenzo, als u een Android-apparaat krijgt dat nooit met de apps van Google is geleverd, zoals een van die $ 20-tablets die rechtstreeks vanuit een fabriek in China zijn verzonden, wordt het apparaat helemaal niet als 'CTS-compatibel' beschouwd, zelfs als u het niet hebt geroot .
Om deze informatie te krijgen, downloadt Google Play-services een programma met de naam "snet" en voert dit op de achtergrond uit op uw apparaat. Het programma verzamelt gegevens van uw apparaat en stuurt deze regelmatig naar Google. Google gebruikt deze informatie voor verschillende doeleinden, van het krijgen van een beeld van het bredere Android-ecosysteem tot het bepalen of er met de software van uw apparaat is geknoeid. Google legt niet precies uit waarnaar snet op zoek is, maar het is waarschijnlijk dat snet controleert of uw systeempartitie is gewijzigd ten opzichte van de fabrieksinstellingen.
U kunt de SafetyNet-status van uw apparaat controleren door een app zoals SafetyNet Helper-voorbeeld of SafetyNet-speeltuin . De app vraagt de SafetyNet-service van Google naar de status van uw apparaat en vertelt u welke reactie het krijgt van de server van Google.
Lees voor meer technische details deze blogpost geschreven door John Kozyrakis, een technisch strateeg bij Cigital, een softwarebeveiligingsbedrijf. Hij verdiepte zich in SafetyNet en legt meer uit over hoe het werkt.
Het is aan de app
SafetyNet is optioneel voor app-ontwikkelaars en app-ontwikkelaars kunnen ervoor kiezen om het te gebruiken of niet. SafetyNet voorkomt alleen dat een app werkt als de ontwikkelaar van een app niet wil dat deze werkt op geroote apparaten.
De meeste apps controleren de SafetyNet-API helemaal niet. Zelfs een app die de SafetyNet API controleert, zoals de test-apps hierboven, stopt niet met werken als ze een slechte reactie krijgen. De ontwikkelaar van de app moet de SafetyNet API controleren en ervoor zorgen dat de app weigert te functioneren als hij ontdekt dat de software van uw apparaat is gewijzigd. De eigen Android Pay-app van Google is hier een goed voorbeeld van.
Android Pay werkt niet op geroote apparaten
De Android Pay-oplossing voor mobiel betalen van Google werkt helemaal niet op geroote Android-apparaten. Probeer het te starten en u ziet alleen een bericht met de tekst "Android Pay kan niet worden gebruikt. Google kan niet verifiëren dat uw apparaat of de software die erop wordt uitgevoerd, compatibel is met Android. "
Het gaat natuurlijk niet alleen om rooten - een aangepast ROM draaien zou u ook in strijd brengen met deze vereiste. De SafetyNet API beweert dat het niet "Android-compatibel" is als u een aangepast ROM gebruikt waarmee het apparaat niet is geleverd.
VERWANT: The Case Against Root: waarom Android-apparaten niet worden geroot
Onthoud dat dit niet alleen rooten detecteert. Als uw apparaat is geïnfecteerd door malware op systeemniveau met de mogelijkheid om Android Pay en andere apps te bespioneren, zou de SafetyNet API ook voorkomen dat Android Pay werkt, wat een goede zaak is.
Het rooten van je apparaat breekt het normale beveiligingsmodel van Android. Android Pay beschermt normaal gesproken uw betalingsgegevens met de sandbox-functies van Android, maar apps kunnen uit de sandbox breken op een geroot apparaat . Google heeft geen manier om te weten hoe veilig Android Pay zou zijn op een bepaald apparaat als het is geroot of een onbekend aangepast ROM uitvoert, dus blokkeren ze het. Een Android Pay-technicus legde het probleem uit op het XDA Developers-forum als je nieuwsgierig bent om meer te lezen.
Andere manieren waarop apps root kunnen detecteren
SafetyNet is slechts één manier waarop een app kan controleren of deze wordt uitgevoerd op een geroot apparaat. Samsung-apparaten bevatten bijvoorbeeld een beveiligingssysteem met de naam KNOX. Als u uw apparaat root, wordt de KNOX-beveiliging geactiveerd. Samsung Pay, de eigen mobiele betalingsapp van Samsung, zal weigeren te werken op geroote apparaten. Samsung gebruikt hiervoor KNOX, maar kan net zo goed SafetyNet gebruiken.
Evenzo zullen veel apps van derden u ervan weerhouden deze te gebruiken, en niet allemaal gebruiken ze SafetyNet. Ze kunnen alleen controleren op de aanwezigheid van bekende root-apps en -processen op een apparaat.
Het is moeilijk om een actuele lijst te vinden met apps die niet werken wanneer een apparaat is geroot. RootCloak biedt echter meerdere lijsten . Deze lijsten zijn misschien verouderd, maar ze zijn de beste die we kunnen vinden. Velen zijn bankieren en andere mobiele portemonnee-apps, die de toegang op geroote telefoons blokkeren in een poging om te voorkomen dat uw bankgegevens worden vastgelegd door andere apps. Apps voor videostreamingservices kunnen ook weigeren om te functioneren op een geroot apparaat als een soort DRM-maatregel, in een poging te voorkomen dat u een beveiligde videostream opneemt.
Sommige apps kunnen worden misleid
Google speelt een kat-en-muisspel met SafetyNet en werkt het voortdurend bij in een poging om mensen voor te blijven. Android-ontwikkelaar Chainfire heeft bijvoorbeeld een nieuwe methode ontwikkeld om Android-apparaten te rooten zonder de systeempartitie te wijzigen, ook wel "systemless root" genoemd. SafetyNet detecteerde aanvankelijk niet dat er met dergelijke apparaten was geknoeid, en Android Pay werkte, maar SafetyNet werd uiteindelijk bijgewerkt om deze nieuwe methode voor rooten te detecteren. Dit betekent Android Pay werkt niet meer samen met systeemloze root.
VERWANT: Vergeet knipperende ROM's: gebruik het Xposed Framework om uw Android aan te passen
Afhankelijk van hoe een app controleert op root-toegang, kun je het misschien misleiden. Er zijn bijvoorbeeld naar verluidt methoden om sommige Samsung-apparaten te rooten zonder de KNOX-beveiliging uit te schakelen, waardoor u Samsung Pay kunt blijven gebruiken.
In het geval van apps die alleen controleren op root-apps op uw systeem, is er een Xposed Framework module met de naam RootCloak dat stelt je naar verluidt in staat om ze toch te laten werken. Dit werkt met apps zoals DirecTV GenieGo, Best Buy CinemaNow en Movies by Flixster, die normaal gesproken niet werken op geroote apparaten. Als deze apps echter zouden worden bijgewerkt om het SafetyNet van Google te gebruiken, zouden ze op deze manier niet zo gemakkelijk te misleiden zijn.
De meeste apps blijven normaal werken nadat u uw apparaat heeft geroot. Mobiele betaalapps zijn de grote uitzondering, net als enkele andere bank- en financiële apps. Betaalde videostreamingservices proberen u soms ook te verhinderen hun video's te bekijken.
Als een app die u nodig heeft, niet werkt op uw geroote apparaat, kunt u uw apparaat altijd ongedaan maken om het te gebruiken. De app zou moeten werken nadat u uw apparaat heeft teruggezet naar de veilige fabrieksinstellingen.
Afbeelding tegoed: Danny Choo on Flickr
