【译】 SafetyNet: Google's tamper detection - Part 2

最新推荐文章于 2022-08-15 16:42:14 发布
最新推荐文章于 2022-08-15 16:42:14 发布
阅读量2k 收藏
点赞数
分类专栏: # Android Security Google Safetynet 文章标签: safetynet android security
原文链接:https://koz.io/inside-safetynet-2/
版权

自从我上一篇关于Android的SafetyNet的博客发布以来已经过去了六个月。然后,我正在研究该系统的2015年7月中旬版本。正如预期的那样,此后已有更新。最后一篇发表于2015年12月中。我将简要介绍这篇文章中的区别;有关SafetyNet系统内部检查及其用法的更完整概述,请通读我以前的文章。

SafetyNet更改

在最新版本中添加了一些但重要的新模块,并对一些较旧的模块进行了重组。

Dalvik缓存模块

该模块尝试查找已修改的 dalvik缓存文件。众所周知,APK中的dex代码在安装过程中会得到优化,并保存在“ odex”文件中的单独文件夹中(在仍使用Dalvik的旧Android版本上)。恶意行为者可以直接修改这些优化文件,而不是修改APK,以逃避检测。该模块监视/data/dalvik-cache/arm/data/dalvik-cache维护结果,将经过解密的文件的哈希值与其存储版本进行比较。

日志设备状态模块

此模块从中检索一些系统属性android.os.SystemProperties并将其发送回:

  • ro.boot.verifiedbootstate
  • ro.boot.veritymode
  • ro.build.version.security_patch
  • ro.oem_unlock_supported
  • ro.boot.flash.locked

日志系统分区文件模块

之前已经讨论过该模块。现在已添加了一个名为SystemIntegrityChecker (SIC)的新子模块。这将尝试远程验证/system分区的状态。一个有趣的概念,来自多个方面。

SIC /system从SafetyNet的数据存储中检索条目的SHA256哈希。然后,它向SIC服务器执行HTTPS请求,其中包含哈希值和有关目录的一些元信息。响应将包含一个hashMatches整数标志。SafetyNet将使用此标志并通过适当的SafetyNet API进行报告。

据我所知SIC系统尚未使用。我不确定为什么需要对单独的SIC服务器进行请求;唯一合理的解释似乎是,除Google以外的其他实体可能需要维护自己的SIC服务器,例如设备制造商。尽管如此,整个过程还是有可能通过后端API进行。在任何情况下,某人都必须维护各种设备/配置的系统分区的哈希列表或每个用户的“最后看到的哈希”,以便能够检测到更改。我猜我们很快就会知道。

/system哈希是如何创建的?

SafetyNet运行一个递归遍历“ / system”的过程,并根据其内容计算HashTree。对于遇到的每个文件,它将捕获元信息(时间戳,权限,selinux上下文等)并将其SHA256哈希存储到本地数据存储中。对于每个目录,它都会生成一个哈希,该哈希将考虑目录中每个文件的存储条目。如果先前的递归遍历与当前的递归遍历之间存在哈希不匹配/system,则将有问题的文件输入单独的列表中以进行审核。

LOG SYSTEM PARTITION FILES模块继续包含SystemPartitionFileFinder子模块的结果。提醒一下,此模块检索中的各种文件的状态/system。“感兴趣的文件”列表是通过无线方式配置的。当前,将检查以下文件以及5个随机文件:

      /system/app/providerdown.apk,
      /system/priv-app/cameraupdate.apk,
      /system/app/cameraupdate.apk,
      /system/priv-app/ThemeManags.apk,
      /system/app/HTMLViewer.apk,
      /system/app/com.android.hardware.ext0.apk,
      /system/app/com.android.wp.net.log.apk,
      /system/app/com.google.fk.json.slo.apk,
      /system/app/com.google.model.mi.apk,
      /system/app/SettingProvider.apk,
      /system/app/SecurityCertificate.apk,
      /system/app/LiveWallpaper.apk,
      /system/app/BatteryControl.apk,
      /system/app/Models.apk,
      /system/bin/.daemon,
      /system/bin/.daemon/mis,
      /system/bin/.daemon/nis,
      /system/bin/daemonnis,
      /system/bin/nis,
      /system/bin/.sr/nis,
      /system/bin/.sr,
      /system/bin/.memnut,
      /system/bin/.suv,
      /system/bin/.sc/mis,
      /system/bin/uis,
      /system/usr/.suv,
      /system/xbin/.memnut,
      /system/xbin/.suv,
      /system/xbin/ku.sud,
      /system/xbin/.rt_daemon,
      /system/xbin/.rt_bridge,
      /system/xbin/.monkey.base,
      /system/xbin/.ext.base,
      /system/xbin/.like.base,
      /system/xbin/.look.base,
      /system/xbin/.must.base,
      /system/xbin/.team.base,
      /system/xbin/.type.base,
      /system/xbin/.view.base,
      /system/xbin/.word.base,
      /system/xbin/.zip.base,
      /system/xbin/.bat.base,
      /system/xbin/com.android.wp.net.log,
      /system/xbin/.b,
      /system/xbin/.df,
      /system/xbin/.c,
      /system/xbin/.sys.apk,
      /system/xbin/.ld.js,
      /system/xbin/.ls

SafetyNet模块

这是所有SafetyNet日志记录模块的最新列表。我以前的博客文章描述了其中的大多数。

LOG_APPS_TAG = "apps";
LOG_ATTESTATION_TAG = "attest";
LOG_CAPTIVE_PORTAL_TEST_TAG = "captive_portal_test";
LOG_DALVIK_CACHE_TAG = "dalvik_cache_monitor";
LOG_DEVICE_ADMIN_TAG = "device_admin_deactivator";
LOG_DEVICE_STATE_TAG = "device_state";
LOG_EVENT_LOG_TAG = "event_log";
LOG_FILES_TAG = "su_files";
LOG_GMSCORE_INFO_TAG = "gmscore";
LOG_GOOGLE_PAGE_INFO_TAG = "google_page_info";
LOG_GOOGLE_PAGE_TAG = "google_page";
LOG_HANDSHAKE_TAG = "ssl_handshake";
LOG_LOCALE_TAG = "locale";
LOG_LOGCAT_TAG = "logcat";
LOG_MX_RECORDS_TAG = "mx_record";
LOG_PACKAGES_TAG = "default_packages";
LOG_PROXY_TAG = "proxy";
LOG_REDIRECT_TAG = "ssl_redirect";
LOG_SD_CARD_TAG = "sd_card_test";
LOG_SELINUX_TAG = "selinux_status";
LOG_SETTINGS_TAG = "settings";
LOG_SETUID_TAG = "setuid_files";
LOG_SSLV3_TAG = "sslv3_fallback";
LOG_SUSPICIOUS_PAGE_TAG = "suspicious_google_page";
LOG_SYSTEM_CA_CERT_STORE_TAG = "system_ca_cert_store";
LOG_SYSTEM_PARTITION_FILES_TAG = "system_partition_files";

附加功能

SafetyNet不仅涉及此处描述的模块。在认证过程中,其他一些检查是通过不同的系统进行的;例如,有一些代码充当老式的根检测程序,试图找出文件系统中是否存在以下文件/目录(或者它们的踪迹是否出现在设备日志中)。

我确实希望在计算ctsCompatibility响应时也要考虑其余SafetyNet模块的输出。

"/system/bin/su"
"/system/xbin/su"
"/system/bin/.su"
"/system/xbin/.su"
"/system/xbin"
"/system/bin"
"/system/sd/xbin"
"/system/bin/failsafe"
"/data/local"
"/system"
"/system/bin/.ext"
"/data/local/xbin"
"/data/local/bin"

空中配置

如上所述,SafetyNet是由Google在运行时配置的;即使代码本身也平均每三个月更新一次。

以下是一些更有趣的配置选项:

信号标签白名单-空闲模式

这可以配置SafetyNet“空闲模式”记录器使用的模块。

  n: "snet_idle_tags_whitelist"
  v: "system_partition_files,
      system_ca_cert_store,
      setuid_files,
      dalvik_cache_monitor,
      logcat,
      event_log,
      device_state"

信号标签白名单-正常模式

这将配置SafetyNet“正常模式”记录器使用的模块。

  n: "snet_tags_whitelist"
  v: "default_packages,
      su_files,
      settings,
      locale,
      ssl_redirect,
      ssl_handshake,
      sslv3_fallback,
      proxy,
      selinux_status,
      sd_card_test,
      google_page_info,
      captive_portal_test,
      gmscore,
      logcat,
      event_log"

事件日志标签

Event Logger模块使用。SafetyNet服务配置为检索和记录以下事件标签:

  n: "snet_report_event_logs"
  v: "50125:2,
      50128:2,
      conscrypt:3,
      78001:2,
      65537:2,
      90201:2,
      90202:2,
      70151:2"

标签对应于/system/etc/event-log-tags

  • 50125:2
    • 短信被用户拒绝
    • exp_det_sms_denied_by_user (app_signature|3)
  • 50128:2
    • 短信被用户拒绝
    • exp_det_sms_sent_by_user (app_signature|3)
  • conscrypt:3
    • 意外的(早期)ChangeCipherSpec消息
  • 78001:2
    • FrameworkListener dispatchCommand溢出
    • exp_det_dispatchCommand_overflow
  • 65537:2
    • FrameworkListener dispatchCommand溢出
    • exp_det_netlink_failure (uid|1)
  • 90201:2
    • 记录用户是否接受并激活了设备管理员
    • exp_det_device_admin_activated_by_user (app_signature|3)
  • 90202:2
    • 记录用户是否拒绝激活设备管理员
    • exp_det_device_admin_declined_by_user (app_signature|3)
  • 70151:2
    • exp_det_attempt_to_call_object_getclass (app_signature|3)

SIC服务器网址

  n: "snet_sic_server_url"
  v: ""

当前为空,但最终将是上述“系统完整性检查器”服务的服务器URL。

DroidGuard

这些文章的主要目的是为希望在其应用程序中采用证明API的开发人员提供有关SafetyNet系统的一些信息。必须注意的是,证明只是SafetyNet系统的一小部分。主要用途是检索数据,以便Google可以监视Android生态系统的安全性并跟踪正在进行的事件。

正如我在上DroidGuard一篇文章中所暗示的那样,在执行此调查时,我偶然发现了一组与远程Google Play API进行通信的组件,这些组件用于欺诈检测,反滥用和DRM之类的操作。

SafetyNet与DroidGuard以及许多其他组件进行交互。尽管这两个系统可以配合使用以进行某些检查,但DroidGuard是一个独立的系统,可以实现不同的目的,与Google的反恶意软件工作更加契合。我不会透露有关该系统的详细信息;因为我认为这样的细节只会使恶意软件作者受益,而对希望保护其Android应用程序的应用程序开发人员没有好处。同样,披露“如何绕过SafetyNet”的细节也不是这里的目标。此类详细信息将直接与Google和有兴趣在使用该系统之前对其进行评估的企业开发人员共享。

改善SafetyNet

这是我想在SafetyNet中看到的一些事情和一些想法的清单。

  • SafetyNet并非rooting检测系统,尽管它在实现该目标方面还有很长的路要走。它具有更传统的设备上检查系统的一些早期症状:它是为大规模数据收集而设计的,不能充分保护自己免受目标攻击。它将告诉Google X%的设备已被篡改,但是目前,它将停止尝试主动抵制恶意软件的篡改,这些恶意软件特别想向检查人员提供虚假图像。当然,这最终是徒劳的,但是可以提高标准。
  • 我希望至少对检查程序进行某种程度的代码保护。
  • 如果使用一系列高级和低级API执行检查,那就太好了。
  • 如果更多的SafetyNet检查器影响兼容性决定,我也很好。不仅仅是简单的su二进制测试。
  • 一个设备的历史数据会影响多少兼容性决定是一个悬而未决的问题。摆脱时间点检查可能是一个值得的目标。
  • 围绕SIC服务器系统的一些清晰度将很高兴。
  • 利用信任区
  • 有趣的是,对证明API的多平台支持(iOS证明...)

 

原文地址: https://koz.io/inside-safetynet-2/

 
 
Omni-Space
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
必过SafetyNet!以MIUI开发版系统为例详解Android设备通过SafetyNet校验方法
a1240193326的博客
02-19 2万+
必过SafetyNet!以MIUI开发版系统为例详解Android设备通过SafetyNet校验方法 作者 梓沐啊_(KylinDemons) 版权声明 Copyright © 2021 KylinDemons. All rights reserved. 本文将在CSDN由作者KylinDemons、在酷安由@梓沐啊_、在QQ空间由1240193326授权发布 未经许可,不得转载 免责声明 您的设备因本文出现的任何结果作者概不负责。请您注意数据备份并具有修复系统崩溃无法开机的能力。作者并不能保证该教程对于每
Android读取系统属性详解
最新发布
allen_xu_2012_new的博客
05-31 2283
Android 系统属性主要有两种:SettingsProvider 和 SystemProperties。
Magisk root 原理分析之二 :Android Verified Boot (AVB)
热门推荐
Kian_G 的博客
11-02 1万+
1. Android Verified Boot (AVB) 或称 Verified Boot 2.0 简介 官方解释:验证用户设备上运行的软件完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在通过密码验证代码是授权的并且没有任何已知的安全漏洞之后才执行代码。 AVB 2.0 引入一个新的分区:vbmeta.img(verified boot metadata),其包含分区的哈希, 下...
ro.boot.verifiedbootstate 为 orange
守着阳光守着你的专栏
07-14 7154
问题现象 adb shell getprop ro.boot.verifiedbootstate 返回值为 orange 期望返回值为green 与测试沟通后,得到的反馈是测试用例中要求的检查项。 问题分析 1,对此属性不了解,因此在代码中搜寻关键字以确认所述功能块,检索关键字“ro.boot.verifiedbootstate”所得结果仅两条, 得到两条信息: (1)在expor...
android的刷机方式
鹅鹅鹅的博客
01-15 8263
刷机攻略,回归一下。 主要刷机方式,EDL(紧急下载,USB端口9008),fastboot工具线刷,OTA升级(全包/差分升级,nonAB系统与AB系统升级)。这个玩android系统的基本都知道,还是列个表: 环境 进入方式 工具 EDL模式 ...
android-play-safetynet:Google SafetyNet证明API的示例
05-22
该存储库由一个客户端和两个服务器组件组成: : Android示例应用程序,显示了Google Play服务对设备上的SafetyNet API的使用。 :两个示例,显示了如何在Java服务器上验证SafetyNet API响应,包括通过Android ...
Android代码-android-play-safetynet
08-08
client/java: Android sample app in Java, showing the use of Google Play Services for the SafetyNet API on a device. server/java: Two samples, showing how to verify a SafetyNet API response on a server...
safetynet-fix:带有硬件证明和未锁定Bootloader的Android设备上的Google SafetyNet通用修复程序
03-07
通用SafetyNet修复 这是SafetyNet在具有硬件证明,未锁定的引导程序或自定义验证的引导键的设备上的通用修补程序。 它既没有硬件证明,也没有在2021年1月12日发布的新SafetyNet CTS配置文件更新。唯一的要求是您可以...
matlab人脸检测框脸代码-safetynet:安全网
05-27
从VGGFace子集创建的自定义测试和培训数据集,并收集名人的Google图像 生成的数据集在种族,性别,种族,性取向,公民身份,年龄等方面提供了比以前的VGGFace(偏白,男性等)更具代表性的数据样本。 由Ari Burch,...
Android代码-SafetyNet助手:SafetyNet
08-05
SafetyNet attest() Helper SafetyNet Helper wraps the Google Play Services SafetyNet.API and verifies Safety ... Note this is a client only validation, it's recommended to include [server side validation]...
Android sn 号修改
xss534890437的博客
08-15 8863
Android 系统 serialno 流程 adb devices
Android系统启动流程
安静的美男子
08-13 1051
[1] BOOLOADER [2] kernel [3] rootfs [4] 启动init程序          功能                     Android系统                      linux     -------                  -------------                    ------     解析
新版magisk(v24.0+)使用magiskhide
qq_49904792的博客
08-01 4406
移植MagiskHide到zygisk里
面具root后如何解决SafetyNet不通过-SafetyNet API错误解决办法
evenbsiest的博客
11-17 2180
本文只针对需要SafetyNet的小伙伴们,如果你不懂SafetyNet或者不会玩谷歌相关内容 可不需要进行学习操作。SafetyNet是否通过都和面具root权限无关,仅部分谷歌相关内 容依赖SafetyNet通过。下面ROM乐园就教大家正确的通过SafetyNet验证 首先你的系统必须有谷歌套件,你需要知道自己为什么要SafetyNet通过,并且你的系统 已经刷好面具root。需 步骤1:面具里面打开Magisk hide功能,将play服务勾选进入Hide模式 步骤2:然后时候面具模块功能,手动刷入S
Mtk平台系统启动设置属性
Flying snow
11-29 1897
(1)系统启动时设置属性 //vendor/mediatek/proprietary/bootable/bootloader/lk/app/mt_boot/mt_boot.c int boot_linux_fdt(void *kernel, unsigned *tags, unsigned machtype, void *ramdisk, unsigned ramdisk_sz) { void *fdt = tags; int ret; int offse
75.android 简单的获取当前可用运行内存,总运行内存,获取包含系统软件在内的所有内存,获取系统参数显示的内存大小。
曹二少的博客
10-08 1万+
//第一步 写个SystemMemory类来获取当前可用运行内存和总运行内存: public class SystemMemory { /** * * 获取android当前可用运行内存大小 * * @param context * * */ public static String getAvailMemory...
Inside SafetyNet - part 3
omnispace的博客
12-16 2190
This post is part of a series: Inside SafetyNet part 1 (Oct 2015)Inside SafetyNet part 2 (Feb 2016)Inside SafetyNet part 3 (Nov 2016)How to implement Attestation securely using server-side ch
系统属性文件 ro.hardware值
小小
08-13 5848
一:hardware/libhardware/hardware.c01/**02*Thereareasetofvariantfilenameformodules.Theformofthefilename03*is"<MODULE_ID>.variant.so"sofortheledmoduletheDreamvariants04*ofbase"ro.product.board","ro.board.platform"and...
Android 9 (P)之init进程启动源码分析指南之二
IT先森
07-03 3613
      Android P之init进程启动源码分析指南之二 前言   在上一篇章Android P之init进程启动源码分析指南之一中我们讲解了init启动的第一阶段工作,在第一阶段中init主要做了如下几方面的工作: ueventd/watchdogd跳转判断以及其它初始化 创建并挂载相关的文件系统 初始化内核Log系统 文件系统挂载 SELinux Init初始化 第一阶段收尾和第二阶段准备工作 在本篇章中我们将要讲解init的第二阶段相关内容。 注意:本文演示的代码是Android
safetynet android,google api - Android SafetyNetClient.attest() Timeout - Stack Overflow
05-25
2. 检查您的应用程序是否具有足够的权限来连接Google API。您需要在AndroidManifest.xml文件中添加以下权限: ``` <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值