SafetyNet Attestation API:遠端評估Android裝置的真偽

谷歌開發者_發表於2017-05-09
APIAndroid

640?wx_fmt=gif


文 / Arindam Basu、Borbala Benko、Alan Butler、Edward Cunningham、William Luh


為 Android 應用開發者及其使用者打造創新型安全功能仍然是一項優先工作。作為這項工作的組成部分,我們提供了 SafetyNet Attestation,開發者可通過這個 API 遠端評估與其通訊的 Android 裝置的真偽。


SafetyNet 通過檢查裝置上的軟體和硬體資訊來評估其完整性。評估結果是一份使用密碼簽署的宣告,對裝置的基本屬性——例如總體完整性和與 Android 的相容性 (CTS)——以及應用的相關後設資料(例如其軟體包名稱和簽名)進行證實。下面這段 JSON 程式碼展示的是這個 API 如何報告這些資訊的示例:

{ "nonce": "R2Rra24fVm5xa2Mg", "timestampMs": 9860437986543, "apkPackageName": "com.package.name.of.requesting.app", "apkCertificateDigestSha256": ["base64 encoded, SHA-256 hash of the certificate used to sign requesting app"], "apkDigestSha256": "base64 encoded, SHA-256 hash of the app's APK", "ctsProfileMatch": true, "basicIntegrity": true, }

▲ 示例認證響應的內容,提供有關呼叫應用以及裝置完整性和相容性的資訊。


SafetyNet Attestation API 可以幫助您的伺服器區分哪些流量來自真實的相容 Android 裝置,哪些流量來自不太可信的來源(包括非 Android 裝置)。這種分類有助於您深入瞭解每臺裝置的關聯風險,以便在發生濫用或不端行為時對預防或緩解措施作出調整。


我們鼓勵開發者利用 SafetyNet 認證補強其反濫用策略。可將 SafetyNet 認證與其他訊號(例如您的現有裝置端訊號以及有關使用者嘗試做出的行為的行為訊號)相結合,打造出穩健的多層級保護系統。


如需瞭解詳細資訊,請查閱近期更新的文件:

https://developer.android.google.cn/training/safetynet/index.html


以及檢視 GitHub 上的 SafetyNet API 示例:

https://github.com/googlesamples/android-play-safetynet


瞭解更多細節,檢視文內所有連結,請點選文末“閱讀原文”。


推薦閱讀:

Android 中的 FORTIFY

Android Studio 2.4 Preview 6釋出

使用新的 Material Design 工具擴充調色盤

Android O移除HttpsURLConnection中不安全的TLS版本回退


640?wx_fmt=gif


點選「閱讀原文」,檢視文內連結640?wx_fmt=gif

相關文章