谷歌突然出手,Android刷机又被戴上了紧箍咒
2024-11-03 / 阅读约5分钟
来源:36kr
在手机厂商本就重重阻挠之外,谷歌也出手了。

一觉醒来,Android刷机圈的天似乎都要塌了。日前据海外Android开发者社区的消息显示,近期谷歌突然封杀多个Android ROM包的指纹信息,来自Pixel系列机型测试版ROM的指纹信息更是成为了重灾区。

这就意味着Android设备用户在刷机之后,将无法正确调用设备的指纹识别功能。要知道,指纹识别是当下移动端最为流行的生物识别方案,同时也是用户向手机中App表明身份时最有效、便捷的途径。同时随着移动互联网的发展,如今智能手机不仅承担了用户的休闲娱乐功能,还承载着用户的虚拟财产。

尽管用户是自己财产安全的第一负责人,但开发者为了避免纠纷也会有相应的措施。比如,一大批金融类App都会在用户进行敏感操作时要求进行指纹等生物识别验证,从而确保相关指令是由用户亲自下达。然而金融类App一旦检测到到手机被ROOT,就会无法登录、乃至正常打开。

银行等金融机构对刷机敬而远之其实是有理由的,毕竟ROOT或刷机就意味着用户获得了Android设备的完全控制权,可以对系统内的所有文件,包括根目录文件进行增删改,但代价就是打破了手机原有系统的安全机制,使得恶意软件有机可乘,因此也很容易被病毒或木马侵入。因此金融类App拒绝ROOT后的设备登录,也算是一个提前声明的免责协议。

但即便如此,总有人“不信邪”。面对ROOT之后不能使用金融类App的情况,Android社区基于大名鼎鼎的Magisk面具提供了一整套解决方案,只需几个步骤即可关闭App检测ROOT的功能。然而借助Magisk来绕过这些App的检测,随着谷歌上线PlayIntegrity API正式宣告终结。

谷歌最初上线PlayIntegrity API时其实并没有针对ROOT,其核心功能是帮助开发者验证在Android设备上运行的应用安装包文件,在交互和服务器请求层面的授权情况。开发者可以在用户付费等关键节点调用Play Integrity API,从而检查用户操作或服务器请求是否来自未经修改的应用,进而保护应用免受欺诈交易的影响。

最开始,PlayIntegrity API是为了支持用户在安全可信的情况下为数字产品和内容付费,紧接着Android开发者在实践过程中发现,PlayIntegrity API还可以用来验证用户当前所用应用的来源是否为Google Play Store、而不是其他侧载渠道。对于安全问题始终保持关注的金融类App也很快意识到,PlayIntegrity API在校验应用合法性上的作用。

显而易见,ROOT之后的Android设备缺乏PlayIntegrity API的支持,为此有海外开发者打造了开源项目AutoPIF,专为解决特定设备在运行Android应用时、因指纹验证失败而导致的完整性问题。具体来说,AutoPIF是通过借用其他经过谷歌Play Integrity API认证设备的ROM指纹信息来冒名顶替,并以此解决Play Integrity API检测问题。

冒充指纹绕过PlayIntegrity API检测的原因,在于指纹是当下Android手机最常见的生物识别方案,系统只需要将收集到的指纹数据和受信任数据库中预置的数据对比,就可以判定用户的身份。就好像《碟中谍》电影中神奇的人皮面具一样,AutoPIF只需要让Play Integrity API认为指纹合法即可。

而谷歌封杀Android ROM包的指纹信息,也就意味着AutoPIF将没有可用的指纹信息,ROOT之后一切需要指纹的验证机制都将不再可用,可偏偏当下指纹识别在Android应用中被广泛使用。要知道,大家刷机/ROOT是为了更好的体验,一旦微信支付、支付宝在刷机后不可用于移动支付,大家本就不高的刷机热情必然就会雪上加霜。

本来手机厂商已经为了自身利益对解锁Bootloader设置了重重阻碍,可现在等到用户排除万难成功解锁、并刷机,还要面对Play Integrity API。这下,就相当于谷歌给刷机戴上了又一个紧箍咒。