说起Safety Net这个词,我一开始接触的时候也是一头雾水,感觉就是个舶来品,听着挺高大上,但具体是干啥的,一时间也没个准信。这玩意儿,用大白话说,就是一张保护网,一张在你万一栽跟头的时候能接着你的东西。
我是在搞项目安全加固的时候,深挖了这个概念。当时我们团队手上一个挺重要的App要上线,老板盯得特别紧,要求必须得有兜底方案。我记得当时我们做的安全加固,光是代码混淆、加壳这些基础操作都做了一圈,但总感觉心里没底。
初识Safety Net:不只是个比喻
后来有个技术大牛给我们开会,提到了Android的SafetyNet Attestation API,我才明白,这东西可不是随便说说而已,它是个实打实的技术实现。我们以前搞的那些安全措施,只能算是“自娱自乐”,App自己说自己是安全的,但真假没人知道。
这个Safety Net,尤其是Google推的那个版本,核心功能就是验证设备是不是“纯净”的。你想想,现在很多魔改的系统、Root过的手机,或者上面装了各种Hook工具的设备,对App来说都是巨大的安全隐患。Safety Net就是在设备端做一次体检,然后把体检结果打包加密发给服务器。
- 第一步:我动手申请。 我得在项目里引入Google提供的那个SDK。一开始配置起来挺麻烦的,什么API Key,什么SHA-1指纹,一个都不能错。我记得为了搞定这个SHA-1,我折腾了半天Gradle配置,生怕哪个环节出了岔子。
- 第二步:设备自我报告。 当用户打开我的App,走到需要验证的那个关键节点时,我代码里就调用了那个API。这时,设备(或者说系统底层)就会开始工作,检查自己是不是被“动过手脚”了。
- 第三步:结果回传。 检查完了,它会给出一个特殊的“证明信”,也就是一个JSON Web Token (JWT)。这个Token是Google签的字,别人改不了。我把这个Token拿到手,马上就通过HTTPS传给我的后台服务器。
- 第四步:后台校验。 后台拿到Token后,就开始干活了。后台得用Google的公钥去验证这个Token的签名是不是对的,Token里头有没有被篡改。如果没问题,再看里头的内容,比如设备是否通过了CTS(Compatibility Test Suite)测试,是不是Root过的等等。
从理论到实战的“心跳”
这个过程听起来挺顺畅,但实际操作起来,坑可不少。我们初期做测试的时候,发现很多开发机或者模拟器压根就不认这个Safety Net,一直返回失败码。那时候我们才意识到,这个“安全网”覆盖的范围挺广的,它不仅查Root,还查系统版本是不是太老、是不是有奇奇怪怪的补丁。
最让我头疼的是,一旦用户设备出现问题,服务器怎么反馈给前端?我们不能直接告诉用户“你的手机不安全”,那不是砸招牌吗?所以我们设计了一套“温和”的提示机制。如果Safety Net的报告显示设备状态良那就一切正常,正常走业务流程。如果报告说设备有风险,我们就弹出一个提示,比如“检测到异常环境,请尝试重启设备或更新系统”,然后限制用户访问核心功能,比如支付和关键数据查看。
说白了,Safety Net就是给我这套App提供了一个外部审计的视角。以前我只能相信自己的检测手段,现在我有了个第三方权威机构(Google)的背书。当我们把这个系统加进去之后,再用一些知名的Hook工具去尝试攻击App,明显感觉到App的反应快多了,很多本该被Hook住的地方,因为Safety Net的检查不过关,直接就没让代码跑下去。
折腾了大概一个多月,把服务端、客户端的逻辑都跑通了,老板看了测试报告,终于满意了。这套东西,算是真正给我这个App套上了一张看得见的“安全网”。它不一定能挡住所有顶尖黑客,但对于市面上那些常见的、批量化的攻击手段,绝对是个强有力的威慑。
