一覺醒來,Android刷機圈的天似乎都要塌瞭。日前據海外Android開發者社區的消息顯示,近期谷歌突然封殺多個Android ROM包的指紋信息,來自Pixel系列機型測試版ROM的指紋信息更是成為瞭重災區。
這就意味著Android設備用戶在刷機之後,將無法正確調用設備的指紋識別功能。要知道,指紋識別是當下移動端最為流行的生物識別方案,同時也是用戶向手機中App表明身份時最有效、便捷的途徑。同時隨著移動互聯網的發展,如今智能手機不僅承擔瞭用戶的休閑娛樂功能,還承載著用戶的虛擬財產。
盡管用戶是自己財產安全的第一負責人,但開發者為瞭避免糾紛也會有相應的措施。比如,一大批金融類App都會在用戶進行敏感操作時要求進行指紋等生物識別驗證,從而確保相關指令是由用戶親自下達。然而金融類App一旦檢測到到手機被ROOT,就會無法登錄、乃至正常打開。
銀行等金融機構對刷機敬而遠之其實是有理由的,畢竟ROOT或刷機就意味著用戶獲得瞭Android設備的完全控制權,可以對系統內的所有文件,包括根目錄文件進行增刪改,但代價就是打破瞭手機原有系統的安全機制,使得惡意軟件有機可乘,因此也很容易被病毒或木馬侵入。因此金融類App拒絕ROOT後的設備登錄,也算是一個提前聲明的免責協議。
但即便如此,總有人“不信邪”。面對ROOT之後不能使用金融類App的情況,Android社區基於大名鼎鼎的Magisk面具提供瞭一整套解決方案,隻需幾個步驟即可關閉App檢測ROOT的功能。然而借助Magisk來繞過這些App的檢測,隨著谷歌上線PlayIntegrity API正式宣告終結。
谷歌最初上線PlayIntegrity API時其實並沒有針對ROOT,其核心功能是幫助開發者驗證在Android設備上運行的應用安裝包文件,在交互和服務器請求層面的授權情況。開發者可以在用戶付費等關鍵節點調用Play Integrity API,從而檢查用戶操作或服務器請求是否來自未經修改的應用,進而保護應用免受欺詐交易的影響。
最開始,PlayIntegrity API是為瞭支持用戶在安全可信的情況下為數字產品和內容付費,緊接著Android開發者在實踐過程中發現,PlayIntegrity API還可以用來驗證用戶當前所用應用的來源是否為Google Play Store、而不是其他側載渠道。對於安全問題始終保持關註的金融類App也很快意識到,PlayIntegrity API在校驗應用合法性上的作用。
顯而易見,ROOT之後的Android設備缺乏PlayIntegrity API的支持,為此有海外開發者打造瞭開源項目AutoPIF,專為解決特定設備在運行Android應用時、因指紋驗證失敗而導致的完整性問題。具體來說,AutoPIF是通過借用其他經過谷歌Play Integrity API認證設備的ROM指紋信息來冒名頂替,並以此解決Play Integrity API檢測問題。
冒充指紋繞過PlayIntegrity API檢測的原因,在於指紋是當下Android手機最常見的生物識別方案,系統隻需要將收集到的指紋數據和受信任數據庫中預置的數據對比,就可以判定用戶的身份。就好像《碟中諜》電影中神奇的人皮面具一樣,AutoPIF隻需要讓Play Integrity API認為指紋合法即可。
而谷歌封殺Android ROM包的指紋信息,也就意味著AutoPIF將沒有可用的指紋信息,ROOT之後一切需要指紋的驗證機制都將不再可用,可偏偏當下指紋識別在Android應用中被廣泛使用。要知道,大傢刷機/ROOT是為瞭更好的體驗,一旦微信支付、支付寶在刷機後不可用於移動支付,大傢本就不高的刷機熱情必然就會雪上加霜。
本來手機廠商已經為瞭自身利益對解鎖Bootloader設置瞭重重阻礙,可現在等到用戶排除萬難成功解鎖、並刷機,還要面對Play Integrity API。這下,就相當於谷歌給刷機戴上瞭又一個緊箍咒。
發表評論 取消回复