Spoločnosť Google používa na označenie toho, či je vaše zariadenie koreňové alebo nie, niečo nazývané SafetyNet a blokuje prístup k týmto funkciám. Spoločnosť Google nie je jediný - buď veľa aplikácií tretích strán nebude pracovať na koreňových zariadeniach so systémom Android, aj keď môžu skontrolovať prítomnosť koreňa inými spôsobmi.
SafetyNet: Ako spoločnosť Google vedie, že ste zakorenil svoj telefón s Androidom
Zariadenia so systémom Android ponúkajú rozhranie API SafetyNet, ktoré je súčasťou vrstvy služby Google Play a ktoré je nainštalované v zariadeniach so systémom Android schválenými spoločnosťou Google. Tento rozhranie API poskytuje prístup k službám Google, ktoré vám pomôžu posúdiť zdravie a bezpečnosť zariadenia so systémom Android. Ak ste vývojár pre systém Android, môžete túto aplikáciu API vo svojej aplikácii zavolať, aby ste si overili, či bolo zariadenie, na ktorom pracujete, narušené.
Toto rozhranie API SafetyNet je navrhnuté tak, aby skontrolovalo, či bolo poškodené nejaké zariadenie - či už bolo zakorenené používateľom, či pracuje s vlastnou pamäťou ROM, alebo je napríklad infikovaný škodlivým softvérom na nízkej úrovni.
Zariadenia, ktoré sa dodávajú so zariadením Google Play Store a inými nainštalovanými aplikáciami, musia odovzdávať sadu "Compatibility Test Suite" spoločnosti Google. Zakorenenie zariadenia alebo inštalácia vlastnej pamäte ROM zabraňuje zariadeniu, aby bolo kompatibilné s CTS. Takto môže Bezpečnostné rozhranie API SafetyNet rozpoznať, či máte korene - len kontroluje kompatibilitu s CTS. Podobne, ak dostanete zariadenie Android, ktoré nikdy nebolo dodané s aplikáciami spoločnosti Google - ako jedna z tých 20 dolárov tabliet dodávaných priamo z továrne v Číne - nebude to vôbec považovať za kompatibilné s CTS, aj keď ste ho nemali zakorenené,
Ak chcete získať tieto informácie, služby Google Play stiahne program s názvom "snet" a spustí sa na pozadí zariadenia. Program zhromažďuje údaje z vášho zariadenia a pravidelne ich posiela spoločnosti Google. Spoločnosť Google používa tieto informácie na rôzne účely, od získania obrázka širšieho ekosystému Android k určeniu, či bol softvér vášho zariadenia zakázaný. Spoločnosť Google nevysvetľuje presne to, čo snet hľadá, ale je pravdepodobné, že snet skontroluje, či bol systémový oddiel upravený z výroby.
Stav SafetyNet vášho prístroja môžete skontrolovať stiahnutím aplikácie ako SafetyNet Helper Sample alebo SafetyNet Playground. Aplikácia požiada službu Google SafetyNet o stav vášho zariadenia a povie vám odpoveď zo servera spoločnosti Google.
Pre viac technických podrobností si prečítajte tento blogový príspevok od John Kozyrakis, technický stratég spoločnosti Cigital, softvérovej bezpečnostnej spoločnosti. Vykopal do služby SafetyNet a vysvetľuje viac o tom, ako to funguje.
Je to až na aplikáciu
Služba SafetyNet je voliteľná pre vývojárov aplikácií a vývojári aplikácií si ich môžu vybrať alebo nie. Služba SafetyNet zabraňuje aplikácii pracovať iba v prípade, že vývojár aplikácie nechce pracovať na zakorenených zariadeniach.
Väčšina aplikácií vôbec nezkontroluje rozhranie API SafetyNet. Dokonca aj aplikácia, ktorá skontroluje bezpečnostné rozhranie API SafetyNet, ako skúšané aplikácie uvedené vyššie, prestane prestať pracovať, ak dostanú zlú odpoveď. Vývojár aplikácie musí skontrolovať rozhranie API SafetyNet a nechať aplikáciu odmietnuť, ak sa dozvie, že softvér vášho zariadenia bol upravený. Aplikácia Google Pay for Android je dobrým príkladom toho v akcii.
Android Pay nebude fungovať na zakorenených zariadeniach
Platobné riešenie Google Pay for mobilné platby nefunguje na rootových zariadeniach so systémom Android. Pokúste sa spustiť a uvidíte iba správu s názvom "Android Pay nie je možné použiť. Spoločnosť Google nemôže overiť, či je vaše zariadenie alebo softvér, ktorý na ňom beží, kompatibilný so systémom Android."
Nie je to len o zakorenenie, samozrejme - bežiaci vlastný ROM by vás takisto dal zatiahnuť na túto požiadavku. Aplikácia SafetyNet API bude tvrdiť, že nie je kompatibilná so systémom Android, ak používate vlastnú pamäť ROM, s ktorou zariadenie nebolo dodané.
Pamätajte, že to nie je len detekcia zakorenenia. Ak bolo vaše zariadenie napadnuté niektorým škodlivým softvérom na úrovni systému so schopnosťou sledovať aplikácie Android Pay a iné aplikácie, API SafetyNet by tiež zabránilo fungovaniu systému Android Pay, čo je dobrá vec.
Zakorenenie prístroja porušuje normálny model zabezpečenia Android. Platba Android bežne chráni vaše platobné údaje pomocou funkcií systému Sandbox v systéme Android, ale aplikácie sa môžu vymaniť z pieskovacieho poľa na koreňovom zariadení. Google nemá žiadny spôsob, ako vedieť, ako bezpečná platba Android bude na konkrétnom zariadení, ak je zakorenené alebo je spustená neznáma vlastná pamäť ROM, a preto ju blokujú. Inžinier systému Android Payplat vysvetlil problém na fóre vývojárov XDA, ak ste zvedaví viac informácií.
Iné spôsoby aplikácie dokážu rozpoznať koreň
Služba SafetyNet je len jedným spôsobom, ako aplikácia môže skontrolovať, či je spustená na koreňovom zariadení. Napríklad zariadenia Samsung obsahujú bezpečnostný systém s názvom KNOX. Ak zakopnete prístroj, zablokuje sa ochrana KNOX. Spoločnosť Samsung Pay, vlastná aplikácia Samsung pre mobilné platby, odmietne fungovať na zakorenených zariadeniach. Spoločnosť Samsung používa na tento účel KNOX, ale mohla by rovnako dobre používať službu SafetyNet.
Podobne, veľa aplikácií tretích strán vás zabráni v ich používaní a nie všetky používajú aplikáciu SafetyNet.Môžu len skontrolovať prítomnosť známych koreňových aplikácií a procesov v zariadení.
Je ťažké nájsť aktuálny zoznam aplikácií, ktoré nefungujú, keď je zariadenie zakorenené. RootCloak však poskytuje niekoľko zoznamov. Tieto zoznamy môžu byť zastarané, ale sú to tie najlepšie, ktoré môžeme nájsť. Mnohé z nich sú bankové a iné aplikácie pre mobilné peňaženky, ktoré blokujú prístup k zakopnutým telefónom v snahe ochrániť vaše bankové informácie pred tým, aby boli zachytené inými aplikáciami. Aplikácie pre služby streamingu videa môžu tiež odmietnuť fungovanie na zakorenenom zariadení ako akékoľvek opatrenie DRM, ktoré sa snažia zabrániť nahrávaniu chráneného video streamu.
Niektoré aplikácie môžu byť podvedené
Spoločnosť Google hrá hru Cat-and-mouse so službou SafetyNet a neustále ju aktualizuje v snahe zostať pred ľuďmi okolo. Napríklad vývojár spoločnosti Android Chainfire vytvoril novú metódu zakomponovania zariadení Android bez úpravy systémového oddielu, ktorý sa nazýva systémový root. Spoločnosť SafetyNet na začiatku neidentifikovala takéto zariadenia ako manipulované a Android Pay pracoval - ale SafetyNet sa nakoniec aktualizoval, aby zistil túto novú metódu založenia. To znamená, že Android Pay už nefunguje spolu so systémovým rootom.
V závislosti od toho, ako aplikácia skontroluje prístup k používateľom root, môžete ju podvádzať. Existujú napríklad metódy koreňovania niektorých zariadení Samsung bez toho, aby sa zabránilo zabezpečeniu KNOX, čo by vám umožnilo pokračovať v používaní funkcie Samsung Pay.
V prípade aplikácií, ktoré len skontrolovať root aplikácie vo vašom systéme, existuje modul Xposed Framework s názvom RootCloak, ktorý údajne umožňuje premeniť ich na prácu. To funguje s aplikáciami ako DirecTV GenieGo, Best Buy CinemaNow a Filmy Flixster, ktoré bežne nefungujú na koreňových zariadeniach. Ak by sa však tieto aplikácie aktualizovali tak, aby používali bezpečnostnú sieť Google, nebolo by to tak jednoduché.
Väčšina aplikácií bude fungovať normálne aj po zakorenení vášho zariadenia. Aplikácie na mobilné platby sú veľkou výnimkou, rovnako ako niektoré ďalšie bankové a finančné aplikácie. Platené služby streamingu videa sa niekedy pokúšajú zablokovať sledovanie svojich videí.
Ak aplikácia, ktorú potrebujete, nefunguje na vašom zakorenenom zariadení, môžete vždy vyradiť zariadenie, aby ho používalo. Aplikácia by mala fungovať po vrátení zariadenia do bezpečného, továrenského stavu.
