อธิบาย SafetyNet: ทำไม Android Pay และแอปอื่น ๆ ไม่ทำงานบนอุปกรณ์ที่รูทเครื่อง

การรูทอุปกรณ์ Android ของคุณทำให้คุณสามารถเข้าถึงแอพที่หลากหลายและเข้าถึงระบบ Android ได้ลึกขึ้น แต่บางแอปก็ชอบ Android Pay ของ Google - ใช้งานไม่ได้เลยบนอุปกรณ์ที่รูท

Google ใช้สิ่งที่เรียกว่า SafetyNet เพื่อตรวจสอบว่าอุปกรณ์ของคุณถูกรูทหรือไม่และบล็อกการเข้าถึงคุณลักษณะเหล่านั้น Google ไม่ได้เป็นเพียงแอปเดียว แต่ยังมีแอปของบุคคลที่สามจำนวนมากที่ใช้งานไม่ได้ด้วย อุปกรณ์ Android ที่รูท แม้ว่าพวกเขาอาจตรวจสอบการมีอยู่ของรูทด้วยวิธีอื่น ๆ

SafetyNet: Google รู้ได้อย่างไรว่าคุณหยั่งรากโทรศัพท์ Android ของคุณ

ที่เกี่ยวข้อง: เบื่อกับการถูกขโมยบัตรเครดิตของคุณหรือไม่? ใช้ Apple Pay หรือ Android Pay

อุปกรณ์ Android เสนอ“ SafetyNet API ,” ซึ่งเป็นส่วนหนึ่งของ บริการ Google Play เลเยอร์ที่ติดตั้งบนอุปกรณ์ Android ที่ Google อนุมัติ API นี้ "ให้การเข้าถึงบริการของ Google ที่ช่วยคุณประเมินสุขภาพและความปลอดภัยของอุปกรณ์ Android" ตามที่ Google กล่าว หากคุณเป็นนักพัฒนา Android คุณสามารถเรียกใช้ API นี้ในแอปของคุณเพื่อตรวจสอบว่าอุปกรณ์ที่คุณใช้งานอยู่นั้นถูกดัดแปลงหรือไม่

SafetyNet API นี้ออกแบบมาเพื่อตรวจสอบว่าอุปกรณ์ถูกดัดแปลงหรือไม่ - ไม่ว่าจะถูกรูทโดยผู้ใช้ใช้ ROM ที่กำหนดเองหรือติดมัลแวร์ระดับต่ำเป็นต้น

อุปกรณ์ที่มาพร้อมกับ Play Store ของ Google และแอปอื่น ๆ ที่ติดตั้งจะต้องผ่าน“ ชุดทดสอบความเข้ากันได้” ของ Google การรูทอุปกรณ์หรือการติดตั้ง ROM แบบกำหนดเองจะป้องกันไม่ให้อุปกรณ์“ เข้ากันได้กับ CTS” นี่คือวิธีที่ SafetyNet API สามารถบอกได้ว่าคุณถูกรูทหรือไม่ - เป็นเพียงการตรวจสอบความเข้ากันได้ของ CTS ในทำนองเดียวกันหากคุณได้รับอุปกรณ์ Android ที่ไม่เคยมาพร้อมกับแอปของ Google เช่นหนึ่งในแท็บเล็ตราคา 20 เหรียญที่ส่งตรงจากโรงงานในประเทศจีนจะไม่ถือว่า“ เข้ากันได้กับ CTS” เลยแม้ว่าคุณจะไม่ได้รูทก็ตาม .

ในการรับข้อมูลนี้ Google Play Services จะดาวน์โหลดโปรแกรมชื่อ "snet" และเรียกใช้ในพื้นหลังบนอุปกรณ์ของคุณ โปรแกรมรวบรวมข้อมูลจากอุปกรณ์ของคุณและส่งไปยัง Google เป็นประจำ Google ใช้ข้อมูลนี้เพื่อวัตถุประสงค์หลายประการตั้งแต่การรับภาพของระบบนิเวศ Android ที่กว้างขึ้นไปจนถึงการพิจารณาว่าซอฟต์แวร์ของอุปกรณ์ของคุณถูกดัดแปลงหรือไม่ Google ไม่ได้อธิบายอย่างแน่ชัดว่า snet กำลังมองหาอะไรอยู่ แต่มีแนวโน้มว่า snet จะตรวจสอบว่าพาร์ติชันระบบของคุณได้รับการแก้ไขจากสถานะโรงงานหรือไม่

คุณสามารถตรวจสอบสถานะ SafetyNet ของอุปกรณ์ได้โดยดาวน์โหลดแอปเช่น ตัวอย่าง SafetyNet Helper หรือ SafetyNet สนามเด็กเล่น . แอปจะถามบริการ SafetyNet ของ Google เกี่ยวกับสถานะอุปกรณ์ของคุณและแจ้งให้คุณทราบถึงการตอบสนองที่ได้รับจากเซิร์ฟเวอร์ของ Google

สำหรับรายละเอียดทางเทคนิคเพิ่มเติมโปรดอ่าน โพสต์บล็อกนี้ เขียนโดย John Kozyrakis นักยุทธศาสตร์ด้านเทคนิคของ Cigital บริษัท ด้านความปลอดภัยของซอฟต์แวร์ เขาขุดเข้าไปใน SafetyNet และอธิบายเพิ่มเติมเกี่ยวกับวิธีการทำงาน

มันขึ้นอยู่กับแอพ

SafetyNet เป็นทางเลือกสำหรับนักพัฒนาแอปและนักพัฒนาแอปสามารถเลือกใช้หรือไม่ก็ได้ SafetyNet จะป้องกันไม่ให้แอปทำงานหากนักพัฒนาแอปไม่ต้องการให้แอปทำงานบนอุปกรณ์ที่รูทเท่านั้น

แอปส่วนใหญ่จะไม่ตรวจสอบ SafetyNet API เลย แม้แต่แอปที่ตรวจสอบ SafetyNet API เช่นแอปทดสอบข้างต้นก็ยังไม่หยุดทำงานหากได้รับการตอบสนองที่ไม่ดี นักพัฒนาแอปต้องตรวจสอบ SafetyNet API และทำให้แอปปฏิเสธที่จะทำงานหากพบว่าซอฟต์แวร์ของอุปกรณ์ของคุณได้รับการแก้ไข แอป Android Pay ของ Google เป็นตัวอย่างที่ดีในการใช้งานจริง

Android Pay ไม่ทำงานบนอุปกรณ์ที่รูท

โซลูชันการชำระเงินมือถือ Android Pay ของ Google ใช้ไม่ได้เลยบนอุปกรณ์ Android ที่รูท ลองเปิดใช้งานแล้วคุณจะเห็นข้อความว่า“ ไม่สามารถใช้ Android Pay ได้ Google ไม่สามารถตรวจสอบได้ว่าอุปกรณ์ของคุณหรือซอฟต์แวร์ที่ทำงานอยู่นั้นเข้ากันได้กับ Android”

ไม่ใช่แค่การรูทแน่นอน - เรียกใช้ ROM แบบกำหนดเอง ก็จะทำให้คุณหลงผิดข้อกำหนดนี้ SafetyNet API จะอ้างว่าไม่ "เข้ากันได้กับ Android" หากคุณใช้ ROM แบบกำหนดเองที่อุปกรณ์ไม่ได้ให้มา

ที่เกี่ยวข้อง: กรณีต่อต้านรูท: ทำไมอุปกรณ์ Android ไม่มารูท

อย่าลืมว่าสิ่งนี้ไม่เพียงแค่ตรวจจับการรูทเท่านั้น หากอุปกรณ์ของคุณติดมัลแวร์ระดับระบบซึ่งมีความสามารถในการสอดแนม Android Pay และแอปอื่น ๆ SafetyNet API จะป้องกันไม่ให้ Android Pay ทำงานได้ซึ่งเป็นสิ่งที่ดี

การรูทอุปกรณ์ของคุณจะทำลายรูปแบบความปลอดภัยปกติของ Android โดยปกติ Android Pay จะปกป้องข้อมูลการชำระเงินของคุณโดยใช้คุณลักษณะแซนด์บ็อกซ์ของ Android แต่ แอปสามารถแยกออกจากแซนด์บ็อกซ์บนอุปกรณ์ที่รูทได้ . Google ไม่มีทางทราบได้ว่า Android Pay จะปลอดภัยเพียงใดในอุปกรณ์บางเครื่องหากมีการรูทหรือใช้ ROM ที่กำหนดเองที่ไม่รู้จักดังนั้นจึงบล็อก วิศวกร Android Pay อธิบายปัญหา ในฟอรัม XDA Developers หากคุณต้องการอ่านเพิ่มเติม

แอพวิธีอื่น ๆ สามารถตรวจจับรูทได้

SafetyNet เป็นเพียงวิธีหนึ่งที่แอปสามารถตรวจสอบได้ว่ากำลังทำงานบนอุปกรณ์ที่รูทหรือไม่ ตัวอย่างเช่นอุปกรณ์ Samsung มีระบบรักษาความปลอดภัยชื่อ KNOX หากคุณรูทอุปกรณ์ของคุณความปลอดภัย KNOX จะสะดุด Samsung Pay ซึ่งเป็นแอปชำระเงินมือถือของ Samsung จะปฏิเสธการทำงานบนอุปกรณ์ที่รูท Samsung ใช้ KNOX สำหรับสิ่งนี้ แต่ก็สามารถใช้ SafetyNet ได้เช่นกัน

ในทำนองเดียวกันแอปของบุคคลที่สามจำนวนมากจะบล็อกคุณไม่ให้ใช้งานแอปเหล่านี้และไม่ใช่ทั้งหมดที่ใช้ SafetyNet พวกเขาอาจตรวจสอบว่ามีแอปรูทและกระบวนการที่รู้จักบนอุปกรณ์หรือไม่

เป็นเรื่องยากที่จะค้นหารายการแอปล่าสุดที่ไม่ทำงานเมื่ออุปกรณ์ถูกรูท อย่างไรก็ตาม RootCloak ให้ หลาย รายการ . รายการเหล่านี้อาจไม่อัปเดต แต่เป็นรายการที่ดีที่สุดที่เราพบ แอปพลิเคชันธนาคารและกระเป๋าเงินมือถืออื่น ๆ จำนวนมากซึ่งบล็อกการเข้าถึงบนโทรศัพท์ที่รูทเพื่อป้องกันไม่ให้แอปอื่น ๆ จับข้อมูลธนาคารของคุณ แอปสำหรับบริการสตรีมวิดีโออาจปฏิเสธที่จะทำงานบนอุปกรณ์ที่รูทเพื่อเป็นการวัด DRM โดยพยายามป้องกันไม่ให้คุณบันทึกสตรีมวิดีโอที่มีการป้องกัน

บางแอพสามารถหลอกได้

Google กำลังเล่นเกม cat-and-mouse ด้วย SafetyNet อัปเดตอยู่ตลอดเวลาเพื่อพยายามอยู่เหนือผู้คนที่เข้ามาใกล้ ตัวอย่างเช่น Chainfire นักพัฒนา Android ได้สร้างวิธีการใหม่ในการรูทอุปกรณ์ Android โดยไม่ต้องแก้ไขพาร์ติชันระบบหรือที่เรียกว่า "systemless root" ในตอนแรก SafetyNet ตรวจไม่พบอุปกรณ์ดังกล่าวว่าถูกงัดแงะและ Android Pay ใช้งานได้ แต่ในที่สุด SafetyNet ก็ได้รับการอัปเดตเพื่อตรวจหาวิธีการรูทใหม่นี้ ซึ่งหมายความว่า Android Pay ไม่ทำงานอีกต่อไป พร้อมกับรูทที่ไม่มีระบบ

ที่เกี่ยวข้อง: ลืมการกระพริบ ROMs: ใช้ Xposed Framework เพื่อปรับแต่ง Android ของคุณ

ขึ้นอยู่กับว่าแอปตรวจสอบการเข้าถึงรูทอย่างไรคุณอาจหลอกล่อได้ ตัวอย่างเช่นมีรายงานวิธีการรูทอุปกรณ์ Samsung บางเครื่องโดยไม่ต้องสะดุดการรักษาความปลอดภัย KNOX ซึ่งจะช่วยให้คุณใช้ Samsung Pay ต่อไปได้

ในกรณีของแอปที่เพิ่งตรวจหาแอปรูทในระบบของคุณจะมีไฟล์ กรอบ Xposed โมดูลชื่อ RootCloak มีรายงานว่าคุณสามารถหลอกให้พวกเขาทำงานได้ ใช้งานได้กับแอปอย่าง DirecTV GenieGo, Best Buy CinemaNow และ Movies by Flixster ซึ่งโดยปกติจะไม่ทำงานบนอุปกรณ์ที่รูท อย่างไรก็ตามหากแอปเหล่านี้ได้รับการอัปเดตเพื่อใช้ SafetyNet ของ Google แอปเหล่านี้จะไม่ง่ายเลยที่จะหลอกล่อด้วยวิธีนี้

---

แอปส่วนใหญ่จะยังคงทำงานได้ตามปกติเมื่อคุณได้รูทอุปกรณ์แล้ว แอปการชำระเงินบนมือถือถือเป็นข้อยกเว้นที่สำคัญเช่นเดียวกับแอปธนาคารและการเงินอื่น ๆ บริการสตรีมวิดีโอแบบชำระเงินบางครั้งพยายามปิดกั้นไม่ให้คุณดูวิดีโอของพวกเขาเช่นกัน

หากแอปที่คุณต้องการไม่ทำงานบนอุปกรณ์ที่รูทคุณสามารถถอนการรูทอุปกรณ์เพื่อใช้งานได้ตลอดเวลา แอปควรใช้งานได้หลังจากที่คุณส่งคืนอุปกรณ์กลับสู่สถานะโรงงานที่ปลอดภัยแล้ว

เครดิตรูปภาพ: Danny Choo บน Flickr