谷歌突然出手，Android刷机又被戴上了紧箍咒

一觉醒来，Android刷机圈的天似乎都要塌了。日前据海外Android开发者社区的消息显示，近期谷歌突然封杀多个Android ROM包的指纹信息，来自Pixel系列机型测试版ROM的指纹信息更是成为了重灾区。

这就意味着Android设备用户在刷机之后，将无法正确调用设备的指纹识别功能。要知道，指纹识别是当下移动端最为流行的生物识别方案，同时也是用户向手机中App表明身份时最有效、便捷的途径。同时随着移动互联网的发展，如今智能手机不仅承担了用户的休闲娱乐功能，还承载着用户的虚拟财产。

尽管用户是自己财产安全的第一负责人，但开发者为了避免纠纷也会有相应的措施。比如，一大批金融类App都会在用户进行敏感操作时要求进行指纹等生物识别验证，从而确保相关指令是由用户亲自下达。然而金融类App一旦检测到到手机被ROOT，就会无法登录、乃至正常打开。

银行等金融机构对刷机敬而远之其实是有理由的，毕竟ROOT或刷机就意味着用户获得了Android设备的完全控制权，可以对系统内的所有文件，包括根目录文件进行增删改，但代价就是打破了手机原有系统的安全机制，使得恶意软件有机可乘，因此也很容易被病毒或木马侵入。因此金融类App拒绝ROOT后的设备登录，也算是一个提前声明的免责协议。

但即便如此，总有人“不信邪”。面对ROOT之后不能使用金融类App的情况，Android社区基于大名鼎鼎的Magisk面具提供了一整套解决方案，只需几个步骤即可关闭App检测ROOT的功能。然而借助Magisk来绕过这些App的检测，随着谷歌上线PlayIntegrity API正式宣告终结。

谷歌最初上线PlayIntegrity API时其实并没有针对ROOT，其核心功能是帮助开发者验证在Android设备上运行的应用安装包文件，在交互和服务器请求层面的授权情况。开发者可以在用户付费等关键节点调用Play Integrity API，从而检查用户操作或服务器请求是否来自未经修改的应用，进而保护应用免受欺诈交易的影响。

最开始，PlayIntegrity API是为了支持用户在安全可信的情况下为数字产品和内容付费，紧接着Android开发者在实践过程中发现，PlayIntegrity API还可以用来验证用户当前所用应用的来源是否为Google Play Store、而不是其他侧载渠道。对于安全问题始终保持关注的金融类App也很快意识到，PlayIntegrity API在校验应用合法性上的作用。

显而易见，ROOT之后的Android设备缺乏PlayIntegrity API的支持，为此有海外开发者打造了开源项目AutoPIF，专为解决特定设备在运行Android应用时、因指纹验证失败而导致的完整性问题。具体来说，AutoPIF是通过借用其他经过谷歌Play Integrity API认证设备的ROM指纹信息来冒名顶替，并以此解决Play Integrity API检测问题。

冒充指纹绕过PlayIntegrity API检测的原因，在于指纹是当下Android手机最常见的生物识别方案，系统只需要将收集到的指纹数据和受信任数据库中预置的数据对比，就可以判定用户的身份。就好像《碟中谍》电影中神奇的人皮面具一样，AutoPIF只需要让Play Integrity API认为指纹合法即可。

而谷歌封杀Android ROM包的指纹信息，也就意味着AutoPIF将没有可用的指纹信息，ROOT之后一切需要指纹的验证机制都将不再可用，可偏偏当下指纹识别在Android应用中被广泛使用。要知道，大家刷机/ROOT是为了更好的体验，一旦微信支付、支付宝在刷机后不可用于移动支付，大家本就不高的刷机热情必然就会雪上加霜。

本来手机厂商已经为了自身利益对解锁Bootloader设置了重重阻碍，可现在等到用户排除万难成功解锁、并刷机，还要面对Play Integrity API。这下，就相当于谷歌给刷机戴上了又一个紧箍咒。