突然间谷歌出手，Android刷机又被戴上了紧箍咒。

当我醒来时，安卓刷机圈的天空似乎要塌了。根据日前海外安卓开发者社区的消息，谷歌最近突然封杀了许多安卓开发者。 ROM包的指纹信息，Pixel系列型号测试版ROM的指纹信息更是成为高发区。

这意味着安卓设备的用户在刷机后无法正确调用设备的指纹验证功能。要知道，指纹验证是目前手机上最流行的生物识别方案，也是用户向手机中的应用展示身份最有效、最方便的方式。同时，随着移动互联网的发展，智能手机不仅承载着用户的休闲娱乐功能，还承载着用户的虚拟财产。

虽然客户是他们财产安全的第一负责人，但开发人员会采取相应的措施来防止纠纷。比如大量的金融应用在客户敏感操作的时候，都要标准的验证指纹等生物识别，这样才能保证相关的指令是用户亲自下发的。但是，一旦金融应用被ROOT检测到，就无法登录甚至正常打开。

事实上，金融机构有理由避免刷机。毕竟ROOT或者刷机意味着客户已经获得了Android设备的完全控制权，可以增加或者删除系统中所有的文档，包括根目录文件，但代价是打破了手机原有系统的安全机制，促使恶意程序利用它，所以很容易被病毒或者木马入侵。所以金融类App拒绝ROOT后的设备登录，也算是一份早期声明的免责协议。

但即便如此，总有人“不相信”。Android社区基于著名的Magisk面具，提供了一套基于ROOT后无法使用金融应用的解决方案，只需几个步骤就可以关闭应用程序来检查ROOT的功能。但是，随着谷歌推出PlayIntegrity，Magisk可以绕过这些应用程序的检查， API正式宣布结束。

PlayIntegrity最初在谷歌上线。 事实上，API并没有针对ROOT，它的主要功能是帮助开发者验证Android设备中运行的应用安装包文件，以及在交互和服务器请求方面的授权状况。开发者可在Play等重要节点调用Play，如用户付费 Integrity API，然后检查用户操作或服务器请求是否来自未修改的应用程序，以保护应用程序免受欺诈交易的影响。

最开始，PlayIntegrity API是支持用户在安全可信的情况下为数字产品和内容付费，然后Android开发者在实践中发现，PlayIntegrity API还可用于验证客户目前使用的应用源是否为Google Play Store、而非其它侧载渠道。一直关注安全问题的金融类App也很快意识到，PlayIntegrity API在验证应用合法性方面的作用。

不言而喻，ROOT之后的Android设备缺乏PlayIntegrity。 由于API的支持，一些海外开发者建立了开源项目AutoPIF，专门为特定系统在运行Android应用时，由于指纹验证失败而引起的完整性问题而设计。具体而言，AutoPIF借用了谷歌PlayPlay的其它经过。 Integrity API认证设备的ROM指纹信息冒名顶替，从而处理Play。 Integrity API检验问题。

假指纹绕过PlayIntegrity API检测的原因是指纹是目前安卓手机最常见的生物识别方案。系统只需将收集到的指纹数据与可靠数据库中预设的数据进行比较，即可判断客户的身份。正如《碟中谍》电影中神奇的人皮面具一样，AutoPIF只需让Play让Play Integrity API认为指纹是合法的。

而且谷歌封杀了Android ROM包的指纹信息，也就是说AutoPIF将没有可用的指纹信息，ROOT之后所有需要指纹的验证机制将不再可用，但是目前指纹验证已经在Android的应用中得到了广泛的应用。要知道，为了更好的感受，一旦微信支付和支付宝在刷完之后不能用于移动支付，大家对刷机的热情就会变得更差。

本来手机厂商为了自己的利益设置了很多障碍来解锁Bootloader，但是现在，当客户成功解锁并刷机的时候，他们不得不面对Play。 Integrity API。现在，相当于谷歌给刷机戴上了另一个紧箍咒。

本文来自微信微信官方账号“三易生活”（ID：IT-作者：三易菌，36氪经授权发布，3eLife)。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com