SafetyNet vs MagiskHide: ¿cuál es el estado actual a mediados de 2020?

(29 de junio de 2020) Parece que Google simplemente está siendo cauteloso y preparando un nuevo campo en la respuesta de SafetyNet.

Según el equipo de clientes de la API de SafetyNet

Hemos comenzado a implementar una nueva función que proporcionará a los desarrolladores información sobre los tipos de señales/mediciones que han contribuido a cada respuesta individual de la API de Attestation de SafetyNet.

Nuestras respuestas JWS ahora tienen un nuevo campo opcional llamado evaluationType. El valor de este campo será una lista de tokens de cadena separados por comas, donde cada token representa un valor similar a un enum.

Actualmente, los siguientes tokens de cadena pueden indicarse:

• BASIC: Cuando utilizamos señales y mediciones típicas junto con datos de referencia durante nuestra evaluación.
• HARDWARE_BACKED: Cuando utilizamos las características de seguridad respaldadas por hardware disponibles del dispositivo remoto (por ej. atestación de clave respaldada por hardware) para influir en nuestra evaluación.

Ejemplos de valores de campos que puede esperar:

• {“evaluationType”: “BASIC”}
• {“evaluationType”: “BASIC,HARDWARE_BACKED”}

Actualmente estamos evaluando y ajustando los criterios de elegibilidad para dispositivos en los que confiaremos en características de seguridad respaldadas por hardware. Por lo tanto, por ahora, no utilice la presencia o el valor de este campo como una señal por sí solo.

Hay que tener en cuenta que esta función aún no ha sido documentada oficialmente. Actualmente, solo estamos comunicándola a esta lista de anuncios para recopilar comentarios.

Le animamos a utilizar nuestro formulario de comentarios en función de su experiencia con esta nueva función y con el servicio en general.

Gracias y saludos, Equipo de clientes de la API de SafetyNet

Así que una vez que se complete la prueba de esta nueva función, parece que la atestación de clave respaldada por hardware se instalará. Lo que significa que, a partir de entonces, SafetyNet sería capaz de detectar el estado de arranque/verificación de arranque incluso con MagiskHide habilitado.

John Wu sigue luchando

(actualizado el 29 de junio de 2020)

John Wu está tratando de persuadir a Google para que no aplique ciegamente la atestación respaldada por hardware de SafetyNet en todos los casos. Él tuiteó:

Abogo por que @AndroidDev restrinja la evaluación de SafetyNet respaldada por hardware a aplicaciones de seguridad "reales". Los desarrolladores deberían pasar por un proceso de solicitud para calificar para este nivel de acceso a la API. Es ridículo que McDonald's se niegue a funcionar en un dispositivo con bootloader desbloqueado.

Mientras tanto, parece que las comprobaciones de SafetyNet seguirán fallando incluso si el bootloader vuelve a bloquearse, como vemos aquí, tuiteado el 3 de julio de 2020

Mala noticia: está confirmado que para aquellos que desean volver a bloquear su bootloader con imágenes auto-firmadas (posible en dispositivos Pixel), SafetyNet con la evaluación HARDWARE-BACKED todavía NO pasará la verificación de CTS.

(Actualizado el 13 de diciembre de 2020) John Wu ahora tuitea

Permítanme aclarar esto: dado que ahora tengo un trabajo de tiempo completo, no tengo mucho tiempo para Magisk; necesito priorizar. La evaluación basada en hardware es impracticable de "hackear" (excepto trucos para hacerla retroceder a básica), y he perdido todo interés en mejorar la forma actual de ocultar.