Informacje o stanie zabezpieczeń

securityPosture to ocena zabezpieczeń urządzenia, określana na podstawie jego bieżącego stanu. Bieżący stan urządzenia zależy od takich czynników, jak odblokowany dostęp do roota czy niestandardowa pamięć ROM.

W odpowiedzi securityPosture jest podzielony na devicePosture i dodatkową listę postureDetails, która zawiera pole securityRisk.

Pole securityRisk zawiera informacje o tym, dlaczego urządzenie nie jest w najbezpieczniejszym stanie, a lista advice umożliwia wykonywanie działań, które poprawiają stan bezpieczeństwa urządzenia. Na przykład:

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

Ocena stanu zabezpieczeń

Domyślnie securityPosture jest oceniany za pomocą klucza potwierdzającego, a w odpowiednich przypadkach sprzętowego klucza potwierdzającego, co zapewnia wiarygodną ocenę bezpieczeństwa, ponieważ generuje i podpisuje potwierdzenie na bezpiecznym sprzęcie.

Czasami nie można użyć do tego celu HBKA. W tym celu securityRisk zwróci wartość „HARDWARE_BACKED_EVALUATION_FAILED”. Oznacza to, że securityPosture można ocenić, ale nie za pomocą HBKA, co oznacza, że integralność rozruchu urządzenia może zostać naruszona (np. urządzenie może mieć uprawnienia roota), a wykrywanie oparte na oprogramowaniu może tego nie wykryć.

Wyjaśnienie orzeczeń stanu zabezpieczeń

Różne kombinacje wartości devicePosturesecurityRisk można interpretować, aby określić ogólny poziom bezpieczeństwa urządzenia. Pamiętaj, że poniższa lista jest niepełna:

  • Jeśli devicePosture zwraca wartość „SECURE”, a securityRisk zwraca wartość „HARDWARE_BACKED_EVALUATION_FAILED”, integralność urządzenia jest bezpieczna, ale nie udało się tego potwierdzić za pomocą HBKA.
  • Jeśli devicePosture zwraca wartość „POTENTIALLY_COMPROMISED” (POTENCJALNIE_ZAGROŻONE) i nie zwraca żadnego wyniku securityRisk, HBKA jest używane w ocenie i uważa urządzenie za zagrożone.
  • Jeśli devicePosture zwraca wartość „POTENTIALLY_COMPROMISED”, a securityRisk zwraca wartość „HARDWARE_BACKED_EVALUATION_FAILED”, można przeprowadzić tylko weryfikację oprogramowania, ale sygnały o zagrożeniu integralności są wystarczająco silne, aby uznać urządzenie za zagrożone.
  • Jeśli devicePosture zwraca „POSTURE_UNSPECIFIED”, oznacza to, że nie udało się ukończyć oceny bezpieczeństwa. Zalecamy poczekać na ponowne wydanie certyfikatu HBKA, które następuje po wydaniu nowej decyzji, aby sprawdzić, czy może on zwrócić określoną wartość. Należy jednak pamiętać, że podczas pierwszej instalacji przez krótki czas może występować wartość „POSTURE_UNSPECIFIED”.

Mapowania interfejsu Android Management API na interfejs Play Integrity API

W tabeli poniżej znajdziesz odpowiedniki mapowania ocen interfejsu AM API i odpowiedzi interfejsu Play Integrity API.

AM API DevicePosture AM API Posture.Detail.SecurityRisk Odpowiednik oceny interfejsu Play Integrity API
SECURE SECURITY_RISK_UNSPECIFIED MEETS_STRONG_INTEGRITY
SECURE zawiera: HARDWARE_BACKED_EVALUATION_FAILED MEETS_DEVICE_INTEGRITY
AT_RISK zawiera: HARDWARE_BACKED_EVALUATION_FAILED MEETS_DEVICE_INTEGRITY
POTENTIALLY_COMPROMISED zawiera: UNKNOWN_OS MEETS_BASIC_INTEGRITY
POTENTIALLY_COMPROMISED zawiera: COMPROMISED_OS <unset>
POSTURE_UNSPECIFIED <any> <unset>