这是一款测试应用,用于测试设备的密钥认证功能,特意不添加网络权限。但很多人欺骗自己,没有意识到自测不是正式检测,它仅通过导入导出功能模拟服务器验证。app甚至不校验结果,而是尽可能展示全部内容。
原定于2.0版本计划支持利用 shizuku 的高权限获取更多证明内容,例如唯一设备标识符,这是app权限无法做到的。可以查看当前设备的唯一标识符是否与出厂时写入TEE的值一致,以识别二手改机等行为。还有三星的 Knox 证明也需要adb权限,可以查看熔断位等状态。
现在以上计划延后,优先加入网络权限。通过与服务器进行TLS双向认证握手,彻底地,完整地,实现全套密钥证明验证。这可以确保网络流量无法被中间人监听或修改,并且确实来自于bootloader上锁设备。bootloader已解锁的设备无法完成 mTLS 握手,客户端证书会被服务器拒绝,无法连接服务器。相当于服务器自动拉黑了全部已解锁设备。
该功能将于2.0版本上线,敬请期待。
PS:我同时指责Google的不作为,把证书管理当过家家。没有起到监督OEM的作用,事后也不弥补过错,及时吊销泄露私钥的证书。
>>Click here to continue<<