问题标签 [safetynet-api]

我正在通过Android Developer 网站上给出的SafetyNet API在 android 上使用 reCaptcha API。我的应用程序是多语言应用程序。当我一起更改手机语言设置时，我的 reCaptcha 会以该语言显示。但我想根据应用程序级别的选定区域设置更改语言，而不更改手机语言设置。谷歌文档在这里给出了语言代码。谁能帮我实现这件事。任何帮助或任何建议将不胜感激。

这是我当前的代码。这非常适用于默认电话语言。我探索了指定语言的可用方法，但没有运气。

我已经成功实现了 Google SafetyNet API，甚至得到了成功的响应。问题是JWSResultfromAttestationResponse是一个散列字符串，而我的期望是得到一个 JSON 作为响应。

请问我需要先从哪里找问题？

这attest()是调用的代码：

今天我想知道是否可以从应用程序的 web 视图执行 Safetynet 证明请求。我实际上会假设“是”，因为 webview 存在于应用程序的上下文中，因此请求有可能获取应用程序的上下文。（我没有使用过 Safetynet，但我知道它会发送包名称和应用签名以及确保应用完整性的请求。另一方面，我会假设答案是“否”，因为当我搜索“safetynet webview”时或 'safetynet javascript' 我在谷歌上得到零相关点击。

我想在 SafetyNet 验证应用程序 API 下测试 listHarmfulApps() 的行为，该 API 获取用户已在其设备上安装的任何已知潜在有害应用程序的列表。

https://developer.android.com/training/safetynet/verify-apps#listing

所以我需要任何潜在有害应用程序（ https://developers.google.com/android/play-protect/potentially-harmful-applications ）的例子来安装和测试行为。

我正在处理我的一个颤振项目并尝试添加 Firebase 电话身份验证，但我遇到了与安全网相关的错误。而我可以使用其他身份验证方法，例如 SignInWithEmailAndPassword。每当我调用我的 phoneLogin 函数时，我都会收到错误消息。我已经在我的模拟器上安装了 google play 服务。

代码

错误

我已经将 SHA256 密钥更新到我的 Firebase 控制台。

尝试在同一个 Firebase 项目中添加另一个应用程序，因为这两个应用程序相互关联，现在我们在一个 Firebase 项目中有两个应用程序，具有不同的包名称但使用了相同的密钥库，因此发布 SHA1 和 SHA256 也是相同的。

在 Cloud Console 中启用了 Android 设备验证，因此不再需要 CAPTCHA。

将应用程序包名称和 SHA1 添加到凭据。

启动第二个新添加的应用程序，然后测试电话身份验证。

Firebase UI 收到未知错误。

日志：

我注意到这发生在选定的设备上，我尝试运行发布 apk，它适用于 Xiaomi Redmi Note 2 SDK 21（不带 SIM）和 Mi 90T Pro SDK 29（带 SIM），但 Redmi 5A（不带 SIM）出现错误. 我认为这与SafetyNet启用Android Device VerificationAPI 后的工作方式有关，如果有人可以解释它会非常感激和帮助。TIA

更新：

我发现如果设备bootloader甚至unlocked没有植根，Firebase Auth SafetyNet 就无法工作。

参考： https ://forum.xda-developers.com/t/just-unlocking-the-bootloader-breakes-safety-net-and-make-device-unverified.4146761/ https://xiaomi.eu/community/线程/解锁引导加载程序和银行应用程序.56312/

由于大多数非高级用户可能不知道这一点，因此是否有任何解决方法？

有人可以告诉我将firebase身份验证放入反应本机应用程序的简单步骤吗？我是一个纯反应原生开发人员，从未在Android中做过任何安全网设置或reCaptcha设置，有人可以告诉我使用电话号码在Firebase中发送确认码的简单步骤吗？以及如何使用 Firebase 之类的电话号码创建用户？createUserWithEmailAndPass()

Google实施证明 API的说明如下：

我知道应该从服务器获取随机数。如何阻止攻击者运行两个版本的应用程序 - 一个在合法设备上，一个在不安全设备上，并执行以下操作：

1. 不安全设备上的应用程序从我的服务器获取随机数
2. 安全设备上的应用程序使用此 nonce 调用 Google 的证明 API
3. 安全设备上的应用程序从 Google 获得签名的 JWS 响应
4. 攻击者将 JWS 响应传输到不安全设备上的应用程序
5. 不安全设备上的应用程序向我的服务器发送 JWS 响应

我的应用服务器会验证 JWS（包括 nonce），并认为不安全设备上的应用实际上是安全的。

我正在尝试在我的应用程序中实现 SafetyNet。我也没有服务器，我正在使用 Firebase Firestore 和 Firebase Functions。

我对 Firebase 函数的了解非常有限。我想知道我是否可以以某种方式使用这些功能来帮助我进行 SafetyNet 认证。如我所见，我应该在云上生成一个随机数，将此随机数发送到应用程序，使用它来证明，然后将其发送回云端以验证完整性是否正确？

但我似乎无法在任何地方找到如何做到这一点。谁能指出我正确的方向？

我遇到了谷歌安全网 api 证明响应的问题。即使我向“client.AttestAsync()”方法提供了安全网客户端、nonce 和 apikey，它也不会返回 SafetyNetApiAttestationResponse。下面的代码可能有什么问题？如何获得证明响应以检查 android 设备是在模拟器上运行还是在 xamarin 形式的 root 设备上运行？