Aplikacja Revolut, odcisk palca i root w Androidzie

[jakubd]

Takie krótkie info:
Revolut (aplikacja do obsługi karty wielowalutowej płatniczej) po wykryciu roota wyłącza możliwość logowania się do aplikacji za pomocą odcisku palca/linii papilarnych.
U mnie pomogło użycie Magiska jako aplikacji do obsługi roota oraz opcji Hide w menu Magiska ze wskazaniem na aplikację Revolut.
Podobnie "uspokoiły" się niektóre aplikacji bankowe (Raiffaisena apka do płatności, czy powiadomienia o bootloaderze i rootcie w aplikacji BZWBK).
Google Pay z natury jest "obsługiwany" przez Magiska, więc problemu nie ma.

W moim przypadku telefon Xiaomi Mi Mix, rom developerski 8.4.12 (Android 8.0 oreo) z Magiskiem v16, bootloader odblokowany metodą oficjalną przez Xiaomi, wrzucony TWRP w wersji zmodyfikowanej dla Mi Mix, na której działa dotyk.

[morfik]

Magisk w zasadzie jest lekiem na tego typu problemy z aplikacjami. Jedynie co to trzeba uważać na Xposed, bo on nawet zainstalowany jako rootless i tak zostanie wykryty i aplikacje mogą mieć problemy ale bez Xposed magisk jest w stanie wyrolować chyba każdą aplikację, która ma problemy z tym, że ROM był jakoś ruszany. Ja też już sobie na niego przeszedłem jakiś czas temu bo ułatwia znacząco ewentualne OTA.

[jakubd]

Magisk ukrywa chyba nawet w moim przypadku to, że bootloader był ruszany (BZWBK) - do tej pory żyłem bez roota (BZWBK się burzył, nic poza tym), ale musiałem zrobić backup aplikacji do 2FA, której normalnie nie da się skopiować.
W przypadku Google Pay, czy jak tam się teraz nazywa, trzeba pamiętać, że ROM jako taki musi przechodzić safety net check - jeżeli danego urządzenia w połączeniu z daną wersją Androida nie ma w bazie Google, to i tak nie zadziała, jakbyśmy nie blokowali.

[morfik]

Tak ten net safety check bez problemu przechodzi z magiskiem, no za wyjątkiem zainstalowania Xposed (nawet tego systemless) i mając stock ROM + dowolne zmiany w obrębie magiska można się cieszyć root'em i całą funkcjonalnością z tym związaną i jednocześnie wyrolować google i wszystkie pozostałe 3party, które się tak upierają by ROM był nietknięty w żaden sposób.

[grzech1991]

Ja to rootowałem tylko po to aby usunąć reklamy ew. Śmieci.

Jest to o tyle śmieszne, że reklam na iOS poza youtube brak, a efekt śmieci tu nie występuje... Oczywiście, na możliwości jak na androidzie nawet bez roota nie ma co liczyć.


Wysłane z iPhone za pomocą Tapatalk

[morfik]

Ja trochę tych rzeczy wymagających root mam.

dnscrypt-proxy (szyfrowane zapytania DNS)
youtube vanced (appka do YT, pozbawiona reklam, mająca ficzery YT red, jak odtwarzanie w tle)
kernel adiutor (modyfikacja ustawień kernela, głównie by skonfigurować taktowanie procka (governor) oraz urządzenie ZRAM (taki swap w RAM))
wrong pin shutdown (appka monitorująca błędne próby odblokowania ekranu, i jeśli będzie ich zdefiniowana ilość, to telefon się wyłączy -- użyteczne, gdy ma się szyfrowane /data/ i wymagane hasło na starcie systemu)
AFwall+ (firewall na bazie iptables zezwalający appkom na połączenie z internetem komórkowym/lan/wifi/roaming)
xposed (parę rzeczy wymaga kilku jego modułów, np. AFwall+)
micog (otwarta alternatywa dla google services -- mój telefon nie ma aplikacji od gógla (nie muszę nawet konta gmail mieć))
UnifiedNLP (Network Location Provider powiązany z microg z backendem od mozilla, co zapewnia usługi lokalizacji, np GPS, kompletnie z pominięciem gógla)
adaway (adblocker do czyszczenia reklam)
battery charge limit (odcinanie ładowania akumulatora po zdefiniowanym limicie, np. 80% naładowania, i ponowne podłączenie łądowania gdy poziom baterii spadnie np. do 75% -- bardzo użyteczne bo nie trzeba odłączać telefonu od ładowarki, kompa i nie cierpi na tym bateria)
usbmountr (ładowanie obrazów live (zwykle z dystrybucjami linux) i udostępnianie ich poza fon za pomocą modułu USB gadget, czy jak to się tam nazywa -- obraz widoczny jakby się podłączyło pendrive do kompa, choć ja używam tego również do odblokowania swojego zaszyfrowanego laptopa.)
tap 'n' turn (zapobiega ciągłemu rotowaniu ekranu, zwykle przypadkowemu, gdy kąt jest ździebko za duży, można też oglądać filmy z łóżku przy 60% landscape'ie, to bardzo użyteczne, gdy się leży na boku )
james DSP (equalizer systemowy, bardzo zaawansowany)
call recorder (automatyczne nagrywanie rozmów telefonicznych i zapisywanie ich w plikach mp3/wav, gdy ktoś do nas dzwoni albo my do niego)
LineageOS/ResurresctionRemix 14.1 (mój telefon miał andka 5 z aktualizacją do 6, ale ja chciałem 7.1, no i RR wymiata, ma całą masę rzeczy, które zwykle na standardowych ROM'ach trzeba instalować ręcznie, np. wskaźnik prędkości pobierania/wysyłania danych na pasku, czy też normalna pogoda, z backendem openweathermap)

To chyba tyle, przynajmniej tak patrząc po appkach co mam na fonie, a tych wszystkich ficzerów, których dostarcza RR, to się da tak po prostu opisać, jedno jest wiadome, ja nie używam telefonu jak przeciętny kowalsky.

A i bym zapomniał -- repartycjonowanie flash'a:
https://gist.github.com/morfikov/2cb0f2d...aa2b372cf4

[grzech1991]

Z tego co pamiętam to w nowych telefonach już nie ma partycji tylko dynamicznie się rozmiar przydziela?

micog fajnie wygląda, ale na jakiej zasadzie to działa to nie mam pojęcia

[morfik]

Jak może się dynamicznie przydzielać? To gdzie niby ROM wgrasz albo będziesz trzymał dane użytkownika?

A microg, to po prostu zwykły kawałek otwartoźródłowego oprogramowania realizującego to co gógł robi. Najlepsze jest to, że ja mogę mieć praktycznie dowolną aplikację gógla bez tego ich "google service" i działają, choć potrzebne oczywiście konto gmail by się zalogować, tak jak w tym YT Vanced, ale też te appki działają w sandboxach i nie mają np. dostępu do danych personalnych, np. książka adresowa, kontakty itp. ale można sobie to dostosować wedle uznania.

[grzech1991]

Dawniej z tego co pamiętam, była jedna pamięć na aplikacje a druga na pliki. Teraz to jest jakoś dynamicznie robione.

[morfik]

Ja przy okazji jak zaorałem swojego Neffos'a X1 Max, to chciałem sobie zrobić tego safenet'a ale coś mi nie chciało zatrybić. Ostatecznie udało mi się to obejść manipulując nieco ustawieniami build.prop .

Z tego co wyczytałem to ten safetynet albo aplikacje same z siebie mają problemy, gdy logowanie jest ustawione na debug, czyli chyba standardowo w każdym telefonie po włączeniu narzędzi developerskich. Można zweryfikować przez adb logcat i jak są tam tagi D , to prawdopodobnie saftynet nie przejdzie. U mnie też brakowało klucza ro.build.selinux , który dodatkowo trzeba było utworzyć.

Wszystko można było ogarnąć za pomocą modułu magiska -- MagiskHide Props Config. I takiego configu:

Kod:

#!/system/bin/sh

# MagiskHide Props Config
# By Didgeridoohan @ XDA Developers

CONFFINGERPRINT=""

CONFPROPFILES=true

CONFDEBUGGABLE=""
CONFSECURE=""
CONFTYPE=""
CONFTAGS=""
CONFSELINUX="0"

CONFPROPS="
log.tag=I
"
CONFPROPSPOST="
log.tag=I
"
CONFPROPSLATE="
log.tag=I
"
PROPOPTION=replace

CONFDELPROPS=""
DELPROPOPTION=replace

CONFLATE=false
CONFCOLOUR=enabled
CONFWEB=enabled

# =================================================================
# ========================== Instructions =========================
# =================================================================
# Set the above variables to the desired prop/configuration values.

# CONFFINGERPRINT should be set to the fingerprint of a ROM that passes
# the ctsProfile check. See the prints.sh file for usable prints,
# or the documentation for information on how to find one.
# Note that Android builds after March 16 2018 often also need to match the Android
# security patch date. Use the CONFPROPS setting to set ro.build.version.security_patch
# to the matching date (example: 2018-10-05).

# CONFPROPFILES should be set to "true" if you want to mask the file
# values in build.prop and default.prop. For better root hiding.

# The MagiskHide prop variables can be set as follows:
# CONFDEBUGGABLE - 0 or 1 (set to "0" by MagiskHide - sensitive value is "1")
# CONFSECURE - 0 or 1 (set to "1" by MagiskHide - sensitive value is "0")
# CONFTYPE - user or userdebug (set to "user" by MagiskHide - sensitive value is "userdebug")
# CONFTAGS - release-keys or test-keys (set to "release-keys" by MagiskHide - sensitive value is "test-keys")
# CONFSELINUX - 0 or 1 (set to "0" by MagiskHide - sensitive value is "1")

# CONFPROPS should contain any custom props and the value you want the module to set.
# Any props you've previously edited in build.prop, and more, can be set like this.
# Add them to the CONFPROPS variable according to the following example:
# CONFPROPS="
# ro.sf.lcd_density=320
# ro.config.media_vol_steps=30
# net.tethering.noprovisioning=true
# "
# Please observe that if the prop you're trying to set contains spaces, you'll
# need to replace those spaces with "_sp_" (without the quotation marks).
#
# If you want a specific prop to run in either post-fs-data or late_start service,
# use either CONFPROPSPOST or CONFPROPSLATE instead. Any props added to CONFPROPS
# will run in the boot stage currently set in the module options (see CONFLATE below).
#
# With PROPOPTION you can decide if the current custom prop list should
# be replaced, added to or preserved. Add the corresponding words "replace",
# "add", or "preserve". The default option is to replace the list.
# This option supersedes the preserve option described below, but only
# for the CONFPROPS variables.

# CONFDELPROPS is a list of props you want to remove from your system.
# Be very careful when using this option, removing the wrong props might
# cause issues.
# Add the props you want to remove to the CONFDELPROPS variable according to
# the following example:
# CONFDELPROPS="
# ro.sf.lcd_density
# ro.config.media_vol_steps
# net.tethering.noprovisioning
# "
#
# With DELPROPOPTION you can decide if the current custom prop list should
# be replaced, added to or preserved. Add the corresponding words "replace",
# "add", or "preserve". The default option is to replace the list.
# This option supersedes the preserve option described below, but only
# for the CONFDELPROPS variable.

# CONFLATE is by default set to "false". This loads the boot script during the
# post-fs-data mode. If the setting is changed to "true", the boot script
# will instead be loaded later during boot, in the late_start service mode. This is
# useful if the module's boot script seems to be causing issues during boot.
#
# CONFCOLOUR and CONFWEB are the options for colour and automatic fingerprints
# list update. See the module documentation for more details. Set to "enabled" or "disabled".

# If any variables are left unset, that particular prop/configuration
# will be cleared and the device/MagiskHide default values will be used.
# If you want to keep any current module settings, add "preserve" to the variable.
# Example:
# CONFFINGERPRINT=preserve

# When placed in /cache or the root of your internal storage, the module will load these
# values during boot and the configuration file will be deleted. Keep a backup of the
# file if you want to reuse it at a later time (clean ROM flash, etc).

# For more information, see the documentation:
# https://github.com/Magisk-Modules-Repo/MagiskHide-Props-Config/blob/master/README.md
# and the support thread @ XDA Developers:
# https://forum.xda-developers.com/apps/magisk/module-magiskhide-props-config-t3789228

Logowanie ogarnia się przez:

Kod:

CONFPROPS="
log.tag=I
"
CONFPROPSPOST="
log.tag=I
"
CONFPROPSLATE="
log.tag=I
"

Czemu 3? Bo widać, co mi nadpisuje gdzieś te ustawienia od logowania i dopiero taka kombinacja wymusiła logowanie na poziomie Info.

No i w ten sposób magisk w końcu przeszedł safetynet check, a revolut może używać odcisku palca:

       

[morfik]

Co ciekawe, napisałem do autora tego dodatku (albo i całego modułu magisk hide) i nawet on się zdziwił, że to działa.

Nie ma to jak przez przypadek hack'nąć zabezpieczenie gógla.

[jakubd]

SafetyNet to trochę bardziej złożony wynalazek i między innymi Google musi zatwierdzić istnienie danej kombinacji urządzenia (sprzętu) oraz wersji Androida - jak producent nie zgłosił do certyfikacji, to taki zestaw testu SafetyNet nie przejdzie.
Miałem tak z Mi Mixem po aktualizacj z Androida 7 do 8 - nie dało się płacić NFC bo po prostu Google nie uznawał takiej kombinacji. Jak tylko wyszedł jednej oficjalny upgrade, chwilę później zaczęło działać.