Play Integrity Attestation Bypass (SafetyNet Replacement)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Wat Play Integrity Doen

Play Integrity is Google’s SafetyNet opvolger vir app attestering. Die app roep die API aan, Google Play Services versamel sagteware-/harsware-seine, stuur dit geïnkripteer na googleapis.com, en Google stuur ’n JWT terug wat deur Google onderteken en geïnkripteer is. Die app stuur die token na sy backend, wat die handtekening met Google se openbare sleutel verifieer, die payload ontsleutel, en beleid afdwing gebaseer op die verdict-velde:

• appIntegrity: APK bou-/handtekening ooreenstemming (geen repak/tampering).
• deviceIntegrity: eg & gesertifiseerde toestel, bootloader gesluit, geen root/system tampering.
• accountDetails: installasie via Google Play.

Belangrike verdict-vlae wat algemeen afgedwing word:

• MEETS_BASIC_INTEGRITY: token gegenereer deur egte Play Services (nie emulator/gesaboteerde vervoer nie).
• MEETS_DEVICE_INTEGRITY: eg/gesertifiseerde toestel, bootloader gesluit, geen root/system tampering.
• MEETS_STRONG_INTEGRITY: vereis DEVICE plus onlangse sekuriteitspatche op alle partisieë (OS + vendor).

Omseilmodel

In plaas daarvan om Google se JWT te vervals, spoof die seine wat Google evalueer sodat dit ooreenstem met ’n ander, legitime toestelprofiel. Die aanvalsketting:

1. Versteek root sodat plaaslike kontroles en Play Services probes nie Magisk/su sien nie.
2. Vervang die key attestation certificate chain (keybox.xml) met een van ’n egte toestel sodat Play Integrity ’n gesertifiseerde/geslote toestel sien.
3. Spoof die security patch level om MEETS_STRONG_INTEGRITY te behaal.

Google beperk dit deur misbruikte keyboxes in te trek; rotasie is nodig wanneer ’n keybox geblokkeer word.

Voorvereistes & Gereedskap

• Root hiding: ReZygisk (of ZygiskNext). Skakel Zygisk af, skakel Magisk Hide aan, installeer die module, herbegin.
• Key attestation spoofing: TrickyStore + Tricky Addon (Magisk modules).
• UI helper: KSU Web UI om TrickyStore te bestuur.
• Validation: Play Integrity API Checker en Key Attestation APKs.
• Opsionele agtergrond oor attestation key-materiaal: https://tryigit.dev/android-keybox-attestation-analysis

Verkry MEETS_BASIC_INTEGRITY + MEETS_DEVICE_INTEGRITY

1. Installeer modules & herbegin: Flash TrickyStore en Tricky Addon in Magisk, herbegin.
2. Konfigureer TrickyStore (via KSU Web UI): Select TrickyStore → Select All → Deselect Unnecessary → Save.
3. Inject ’n geldige keybox: In Keybox, kies Valid om ’n nuwe keybox.xml af te laai/toe te pas (vendor attestation credentials). Hierdie lêer ondersteun hardware key attestering en is nou spoofed vanaf ’n gesertifiseerde/geslote toestel.
4. Verifieer: Run Play Integrity API Checker → MEETS_BASIC_INTEGRITY en MEETS_DEVICE_INTEGRITY behoort te slaag. In Key Attestation verskyn die bootloader as locked omdat die attestation-ketting vervang is.

Verkry MEETS_STRONG_INTEGRITY (Patch-Level Spoof)

STRONG misluk op verouderde patch-vlakke. TrickyStore kan ’n moderne security patch datum spoof vir alle partisieë:

1. In TrickyStore, kies Set Security Patch → Get Security Patch Date → Save.
2. Herlaai Play Integrity API Checker; MEETS_STRONG_INTEGRITY behoort nou te slaag.

Operasionele notas

• Revocation risk: Herhaalde API-aanroepe met dieselfde keybox.xml kan dit flag en blokkeer. As dit geblokkeer word, vervang met ’n vars geldige keybox.
• Arms race: Publiek gedeelde keyboxes brand vinnig op; hou private kopieë en volg community module updates (XDA/Telegram/GitHub) vir nuwe werkende kettings.
• Scope: Hierdie omseiling spoof slegs die attestation-insette; backend-handtekeningverifikasie deur Google slaag steeds omdat die JWT self eg is.

Verwysings

• Play Integrity API: How It Works & How to Bypass It
• ReZygisk
• TrickyStore
• Tricky Addon
• KSU Web UI
• Play Integrity API Checker
• Key Attestation
• Android keybox attestation analysis

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.