Android

11 mai, 2017

Comprovação SafetyNet, um elemento essencial para o combate ao abuso de segurança

Publicidade

Artigo publicado originalmente pelo Android Security Team. A tradução foi feita pela Redação iMasters com autorização. 

Desenvolver funcionalidades inovadoras de segurança para desenvolvedores e usuários de aplicativos Android continua sendo uma prioridade. Como parte desse esforço, nós fornecemos a comprovação SafetyNet, uma API para os desenvolvedores avaliarem remotamente se estão conversando com um aparelho Android genuíno.

O SafetyNet examina as informações de software e hardware no aparelho para avaliar sua integridade. O resultado é uma comprovação assinada criptograficamente, atestando as propriedades básicas do aparelho – tais como a integridade geral e a compatibilidade com o Android (CTS) – assim como os metadados sobre seu aplicativo, tais como o nome e assinatura do pacote.

Veja o snippet de JSON abaixo, que mostra um exemplo de como o API reporta essas informações. Ele é o conteúdo de um exemplo de resposta de comprovação, fornecendo informações sobre o aplicativo que está chamando e a integridade e contabilidade do aparelho.

{
  "nonce": "R2Rra24fVm5xa2Mg",
  "timestampMs": 9860437986543,
  "apkPackageName": "com.package.name.of.requesting.app",
  "apkCertificateDigestSha256": ["base64 encoded, SHA-256 hash of the
                                  certificate used to sign requesting app"],
  "apkDigestSha256": "base64 encoded, SHA-256 hash of the app's APK",
  "ctsProfileMatch": true,
  "basicIntegrity": true,
}

A API SafetyNet pode ajudar seu servidor a distinguir o tráfego que chega de aparelhos Android genuínos e compatíveis daquele que vem de aparelhos menos confiáveis, incluindo que não rodem Android. Essa comprovação ajuda você a entender melhor os riscos associados com cada aparelho para que seja possível refinar as ações preventivas ou mitigativas em caso de abuso ou mal comportamento.

Nós encorajamos os desenvolvedores a utilizar a comprovação SafetyNet para melhorar suas estratégias de combate ao abuso. Combinar SafetyNet com outros sinais, tais como sinais de comportamento colaterais do do aparelho e sobre o que o usuário está tentando fazer, para construir sistemas robustos e multi-camadas.

Para mais informações, verifique a documentação atualizada, e veja os exemplos do API SafetyNet no Github.

 

***

Este artigo é do Android Security Team. A tradução foi feita pela Redação iMasters com autorização. Você pode acessar o original em: https://android-developers.googleblog.com/2017/04/safetynet-attestation-building-block.html