Artigo publicado originalmente pelo Android Security Team. A tradução foi feita pela Redação iMasters com autorização.
Desenvolver funcionalidades inovadoras de segurança para desenvolvedores e usuários de aplicativos Android continua sendo uma prioridade. Como parte desse esforço, nós fornecemos a comprovação SafetyNet, uma API para os desenvolvedores avaliarem remotamente se estão conversando com um aparelho Android genuíno.
O SafetyNet examina as informações de software e hardware no aparelho para avaliar sua integridade. O resultado é uma comprovação assinada criptograficamente, atestando as propriedades básicas do aparelho – tais como a integridade geral e a compatibilidade com o Android (CTS) – assim como os metadados sobre seu aplicativo, tais como o nome e assinatura do pacote.
Veja o snippet de JSON abaixo, que mostra um exemplo de como o API reporta essas informações. Ele é o conteúdo de um exemplo de resposta de comprovação, fornecendo informações sobre o aplicativo que está chamando e a integridade e contabilidade do aparelho.
{ "nonce": "R2Rra24fVm5xa2Mg", "timestampMs": 9860437986543, "apkPackageName": "com.package.name.of.requesting.app", "apkCertificateDigestSha256": ["base64 encoded, SHA-256 hash of the certificate used to sign requesting app"], "apkDigestSha256": "base64 encoded, SHA-256 hash of the app's APK", "ctsProfileMatch": true, "basicIntegrity": true, }
A API SafetyNet pode ajudar seu servidor a distinguir o tráfego que chega de aparelhos Android genuínos e compatíveis daquele que vem de aparelhos menos confiáveis, incluindo que não rodem Android. Essa comprovação ajuda você a entender melhor os riscos associados com cada aparelho para que seja possível refinar as ações preventivas ou mitigativas em caso de abuso ou mal comportamento.
Nós encorajamos os desenvolvedores a utilizar a comprovação SafetyNet para melhorar suas estratégias de combate ao abuso. Combinar SafetyNet com outros sinais, tais como sinais de comportamento colaterais do do aparelho e sobre o que o usuário está tentando fazer, para construir sistemas robustos e multi-camadas.
Para mais informações, verifique a documentação atualizada, e veja os exemplos do API SafetyNet no Github.
***
Este artigo é do Android Security Team. A tradução foi feita pela Redação iMasters com autorização. Você pode acessar o original em: https://android-developers.googleblog.com/2017/04/safetynet-attestation-building-block.html