학생개발자의 IT Story 학생개발자의 IT Story

최근 미국 정부의 거래 중단 조치에 따른 화웨이의 모바일 디바이스(스마트폰 등)에서는 Google 서비스를

사용 불가능하게 되었지만 화웨이는 자사 스마트폰에 우회적으로 구글 서비스를 사용 가능하게 하여

서비스를 제공 헸으나 구글의 디바이스의 무결성을 체크하여 애플리케이션의 위변조를

차단하는 기술인 SafetyNet Attestation API에 화웨이 스마트폰(디바이스)이 통과하지 못하게 되어

화웨이가 우회하여 제공한 구글 서비스는 더 이상 사용하지 못하게 되었습니다.

● 화웨이 스마트폰에 대한 구글 서비스를 차단한 SafetyNet Attestation API에 대하여

SafetyNet 검증 프로세스.
1. SafetyNet Attestation API는 앱에서 요청을 받습니다. 이 요청에는 중지되지 않은 요청이 포함되어 있습니다. 
2. SafetyNet Attestation 서비스는 런타임 환경을 평가하고 Google 서버에서 평가 결과에 대한 서명된 증명을 요청합니다. 
3. Google 서버는 장치의 SafetyNet Attestation 서비스에 서명된 증명서를 보냅니다. 
4. SafetyNet Attestation 서비스는 이 서명된 증명서를 앱에 반환합니다. 
5. 앱이 서명된 증명서를 서버로 전달합니다. 
6. 이 서버는 응답을 검증하고 남용 방지 결정에 사용합니다. 서버는 검색 결과를 앱에 전달합니다.

SafetyNet Attestation API는 앱 개발자가 사용자가 앱을 실행하는 장치의 무결성을 확인하여

부정사용을 차단하는 API입니다.

API를 부정 사용 탐지 시스템의 일부로 사용하여 서버가 정식 Android 디바이스에서 

실행되는 실제 응용 프로그램과 상호 작용하고 있는지 여부를 판단할 수 있도록 설계되어 있습니다. 

SafetyNet Attestation API는 장치의 무결성을 평가하는 암호화 서명된 인증을 제공합니다. 

인증을 작성하기 위해 API는 장치의 소프트웨어 및 하드웨어 환경을 조사하여 무결성 문제를 찾고, 

승인된 Android 장치의 참조 데이터와 비교합니다. 

생성된 인증은 호출 응용 프로그램이 제공하는 nonce에 바인딩되며, 

검증은 생성 타임 스탬프와 요청하는 앱에 대한 메타 데이터가 포함됩니다.

즉 SafetyNet은 디바이스의 무결성이 보장되어야 만

SafetyNet검증에 통과하여 앱을 사용할 수 있게 됩니다.

화웨이의 스마트폰이 SafetyNet에 통과하지 못했다는 것은 디바이스의 무결성을 보장하지 않은 디바이스로

해석이 가능합니다.

이번에 준비한 내용은 여기까지입니다.