L’ultimo cambiamento di sicurezza di Google Play potrebbe rompere molte app Android per alcuni utenti di potenza

Rispetto ai miliardi di utenti Android regolari, il numero di persone che radicare i loro telefoni Android o installare ROM personalizzati è minuscolo. Anche se non direi che Google è attivamente ostile nei confronti di questi utenti di potere, gli sforzi dell’azienda per rafforzare la sicurezza delle app Android hanno lo sfortunato effetto collaterale di avere un impatto negativo sulla loro esperienza. L’ultimo aggiornamento di Google all’API di Play Integrity, advert esempio, rende più facile per gli sviluppatori proteggere le loro app da utenti abusivi, rendendolo significativamente più difficile per gli utenti di potere legittimi utilizzare determinate applicazioni.

L’API Play Integrity è un strumento che gli sviluppatori possono utilizzare per verificare che le interazioni in entrata e le richieste del server provengano da una versione non modificata della loro app binaria in esecuzione su un dispositivo Android autentico. Molti sviluppatori usano questa API per mitigare l’abuso di app che potrebbe portare a entrate o perdita di dati. Advert esempio, l’API può aiutare a impedire agli utenti di accedere ai contenuti premium senza pagare, oppure può aiutare a salvaguardare i dati finanziari sensibili impedendo l’accesso su dispositivi che potrebbero essere potenzialmente compromessi.

Il problema per gli utenti di Energy che eseguono il root dei loro telefoni o installano una ROM personalizzata nella definizione di Google di un dispositivo Android “autentico”: uno che esegue una construct certificata su Google Play di Android. Questa definizione esclude intrinsecamente quasi tutte le ROM personalizzate, spingendo molti utenti ROM personalizzati a impiegare hack per falsificare construct certificates. Mentre molte persone che fanno rotolare i loro telefoni non installano una ROM personalizzata, sblocca il bootloader come parte del processo di radice. Questo passaggio fa sì che i loro dispositivi falliscano i controlli di integrità del gioco più rigorosi, bloccandoli da molte app da pranzo, medica, di gioco, bancarie e di pagamento, poiché questi tipi di app spesso utilizzano le valutazioni più rigorose dell’API.

In precedenza, l’API di integrità del gioco e il suo predecessore, l’API di attestazione di SafetyNet, non erano così preoccupati per gli utenti di potere, poiché spesso potevano trovare soluzioni facili. Tuttavia, Google si è mosso per far rispettare i segnali di sicurezza sostenuti da {hardware}. Questi sono significativamente più difficili da bypassare perché, a differenza dei metodi passati più semplici, sono radicati nell'{hardware} stesso. Mentre questi controlli basati su {hardware} offrono una sicurezza più solida, gli utenti di Energy avevano trovato alcune riprese nel fatto che Google non aveva universalmente applicazione della loro applicazione più severa.

Inoltre, spettava agli sviluppatori di app decidere se volevano applicare i segnali di sicurezza sostenuti da {hardware}. Ciò ha dato agli sviluppatori la flessibilità di limitare l’utilizzo delle loro app quando hanno ritenuto opportuno. Advert esempio, le app bancarie o di pagamento hanno spesso fatto di tutto per verificare che i dispositivi abbiano superato i segnali sostenuti da {hardware}, ma ora questi segnali fanno parte della linea di base di Play Integrity per tutti gli integratori dell’API.

Nel dicembre dello scorso anno, Google ha annunciato un importante Aggiornamento all’API Play Integrity Ciò migliora i verdetti di integrità “di base”, “dispositivo” e “forte” sui dispositivi che eseguono Android 13 o successivi. I verdetti di integrità “dispositivo” e “forti” sono le due app di verdetti più rigorose che possono ricevere quando si chiama l’API di Play Integrity. Il verdetto “di base”, sebbene meno rigoroso, non è anche ampiamente utilizzato dagli sviluppatori che cercano livelli più elevati di sicurezza.

In passato, solo il verdetto di integrità “forte” utilizzava segnali di sicurezza sostenuti da {hardware}. A partire da dicembre dello scorso anno, tuttavia, Google ha fatto tutti i verdetti di integrità ancora più severi: il verdetto di integrità del “dispositivo” è stato aggiornato per utilizzare anche segnali di sicurezza sostenuti da {hardware}, mentre il verdetto di integrità “forte” è stato rivisto per richiedere un livello di patch di sicurezza nell’ultimo anno. Nel frattempo, il verdetto di integrità “di base” è stato anche aggiornato per utilizzare segnali sostenuti da {hardware}, sebbene a causa dei suoi requisiti meno rigorosi, passa anche sui dispositivi con root abilitato o bootloader sbloccato.

Il ragionamento dichiarato di Google per questa modifica period rendere l’API di integrità del gioco più veloce, più affidabile e più privato per gli utenti riducendo il numero di segnali che devono essere raccolti. Queste modifiche rendono anche l’API più difficile e più costosa per gli aggressori da bypassare.

Al momento dell’annuncio, questi verdetti di integrità aggiornati non sono stati immediatamente applicati. Google li ha fatti optare per gli sviluppatori, ma ha dichiarato che tutte le integrazioni API “(play integrity) sarebbero passate automaticamente ai nuovi verdetti nel maggio 2025.”

Bene, ora è maggio e Google sta mantenendo la sua promessa. A Google I/O 2025la società ha annunciato di aver lanciato l’interruttore e ha reso tutti i verdetti di integrità più forti per impostazione predefinita. Durante il “Cosa c’è di nuovo in Google Play“Sessione, Raghavendra Hareesh, il protagonista dello sviluppatore di giochi e la monetizzazione del gioco su Google, ha affermato che la società sta” lanciando verdetti più forti per tutti gli sviluppatori senza ulteriori lavori di sviluppatori richiesti “.

“L’API per l’integrità del gioco è uno strumento vitale in qualsiasi strategia di sicurezza completa. Aiutandoti a difendere l’intera esperienza di app. È fondamentale per prevenire abusi che possono portare a perdita di entrate e anche danneggiare i tuoi utenti. Gli sviluppatori che hanno utilizzato questa API stanno assistendo a un utilizzo non autorizzato inferiore dell’80% rispetto advert altre app. Ciò significa meno fraumo, meno imbrogli o furti di dati.

E stiamo continuando a evolvere questa API di integrità del gioco per stare al passo con tutte le minacce che sono là fuori. Quindi oggi stiamo lanciando verdetti più forti per tutti gli sviluppatori senza ulteriori lavori di sviluppatori richiesti. Ciò lo rende più veloce, più affidabile e più adatto alla privateness per verificare se un dispositivo è affidabile. Gli sviluppatori possono anche verificare se un dispositivo ha recentemente installato un aggiornamento di sicurezza, che è molto importante per le app che proteggono le azioni sensibili. ” Raghavendra Hareesh, capo dello sviluppatore di giochi e la monetizzazione del gioco su Google

Ciò significa che gli utenti di alimentazione che fanno rotolare i loro telefoni o installano una ROM personalizzati possono improvvisamente trovare alcune app smettendo di funzionare, specialmente sui dispositivi che eseguono Android 13 o successivi. Anche gli utenti con dispositivi Android 13+ non modificati potrebbero affrontare problemi se i loro dispositivi non hanno ricevuto un aggiornamento del software program da un po ‘. Questo perché le app che controllano il verdetto di integrità “forte” richiedono il passaggio di un recente livello di patch di sicurezza.

La piena implementazione di Google di segnali di sicurezza sostenuti da {hardware} è stata prevista per qualche tempo. Mentre gli utenti di Energy avevano precedentemente trovato semplici modi per bypassare le misure precedenti-spesso ingannando l’API di integrità del gioco nel fare affidamento su controlli basati su software program più facilmente falsificati-questi metodi non erano mai soluzioni permanenti. Period, quindi, solo una questione di tempo prima che questi utenti incontrassero app rotte.

Presto, le soluzioni semplici probabilmente svaniranno, lasciando gli utenti senza altra scelta che ricorrere a Perdite ombreggiate keybox o per ripristinare i loro dispositivi su inventory. Pertanto, mentre l’obiettivo principale di Google con queste modifiche è migliorare la sicurezza delle app per tutti, degradano comunque l’esperienza per questi utenti di potenza.

Grazie al ricercatore della sicurezza Linuxct Per i suoi enter su questo articolo!