一觉醒来,Android 刷机圈的天似乎都要塌了。日前据海外 Android 开发者社区的消息显示,近期谷歌突然封杀多个 Android ROM 包的指纹信息,来自 Pixel 系列机型测试版 ROM 的指纹信息更是成为了重灾区。
这就意味着 Android 设备用户在刷机之后,将无法正确调用设备的指纹识别功能。要知道,指纹识别是当下移动端最为流行的生物识别方案,同时也是用户向手机中 App 表明身份时最有效、便捷的途径。同时随着移动互联网的发展,如今智能手机不仅承担了用户的休闲娱乐功能,还承载着用户的虚拟财产。
尽管用户是自己财产安全的第一负责人,但开发者为了避免纠纷也会有相应的措施。比如,一大批金融类 App 都会在用户进行敏感操作时要求进行指纹等生物识别验证,从而确保相关指令是由用户亲自下达。然而金融类 App 一旦检测到到手机被 ROOT,就会无法登录、乃至正常打开。
银行等金融机构对刷机敬而远之其实是有理由的,毕竟 ROOT 或刷机就意味着用户获得了 Android 设备的完全控制权,可以对系统内的所有文件,包括根目录文件进行增删改,但代价就是打破了手机原有系统的安全机制,使得恶意软件有机可乘,因此也很容易被病毒或木马侵入。因此金融类 App 拒绝 ROOT 后的设备登录,也算是一个提前声明的免责协议。
但即便如此,总有人 " 不信邪 "。面对 ROOT 之后不能使用金融类 App 的情况,Android 社区基于大名鼎鼎的 Magisk 面具提供了一整套解决方案,只需几个步骤即可关闭 App 检测 ROOT 的功能。然而借助 Magisk 来绕过这些 App 的检测,随着谷歌上线 PlayIntegrity API 正式宣告终结。
谷歌最初上线 PlayIntegrity API 时其实并没有针对 ROOT,其核心功能是帮助开发者验证在 Android 设备上运行的应用安装包文件,在交互和服务器请求层面的授权情况。开发者可以在用户付费等关键节点调用 Play Integrity API,从而检查用户操作或服务器请求是否来自未经修改的应用,进而保护应用免受欺诈交易的影响。
最开始,PlayIntegrity API 是为了支持用户在安全可信的情况下为数字产品和内容付费,紧接着 Android 开发者在实践过程中发现,PlayIntegrity API 还可以用来验证用户当前所用应用的来源是否为 Google Play Store、而不是其他侧载渠道。对于安全问题始终保持关注的金融类 App 也很快意识到,PlayIntegrity API 在校验应用合法性上的作用。
显而易见,ROOT 之后的 Android 设备缺乏 PlayIntegrity API 的支持,为此有海外开发者打造了开源项目 AutoPIF,专为解决特定设备在运行 Android 应用时、因指纹验证失败而导致的完整性问题。具体来说,AutoPIF 是通过借用其他经过谷歌 Play Integrity API 认证设备的 ROM 指纹信息来冒名顶替,并以此解决 Play Integrity API 检测问题。
冒充指纹绕过 PlayIntegrity API 检测的原因,在于指纹是当下 Android 手机最常见的生物识别方案,系统只需要将收集到的指纹数据和受信任数据库中预置的数据对比,就可以判定用户的身份。就好像《碟中谍》电影中神奇的人皮面具一样,AutoPIF 只需要让 Play Integrity API 认为指纹合法即可。
而谷歌封杀 Android ROM 包的指纹信息,也就意味着 AutoPIF 将没有可用的指纹信息,ROOT 之后一切需要指纹的验证机制都将不再可用,可偏偏当下指纹识别在 Android 应用中被广泛使用。要知道,大家刷机 /ROOT 是为了更好的体验,一旦微信支付、支付宝在刷机后不可用于移动支付,大家本就不高的刷机热情必然就会雪上加霜。
本来手机厂商已经为了自身利益对解锁 Bootloader 设置了重重阻碍,可现在等到用户排除万难成功解锁、并刷机,还要面对 Play Integrity API。这下,就相当于谷歌给刷机戴上了又一个紧箍咒。
【本文图片来自网络】
登录后才可以发布评论哦
打开小程序可以发布评论哦