当我醒来时，Android闪烁的圆圈中的天空似乎正在塌陷。近日，据海外Android开发者社区消息，谷歌近期屏蔽了多个Android ROM包的指纹信息，其中Pixel系列机型测试版ROM的指纹信息成为重灾区。

这意味着Android设备用户在刷机后将无法正确调用设备的指纹识别功能。要知道，指纹识别是目前移动设备上最流行的生物识别解决方案，也是用户向手机上的应用程序识别自己身份的最有效、最便捷的方式。同时，随着移动互联网的发展，智能手机现在不仅承载着用户的休闲娱乐功能，还承载着用户的虚拟财产。

虽然用户是自己财产安全的第一责任人，但开发商也会采取相应措施避免纠纷。例如，大量金融类APP在用户进行敏感操作时，会需要进行指纹等生物特征验证，以确保相关指令是用户本人发出的。然而，金融类应用一旦检测到手机被root，将无法登录，甚至无法正常打开。

银行和其他金融机构远离root是有原因的。毕竟ROOT或者root意味着用户获得了对Android设备的完全控制权，可以添加、删除、修改系统中的所有文件，包括根目录文件，但代价就是打破原有系统的安全机制手机的数据被侵犯，让恶意软件有机可乘，因此也很容易被病毒或木马入侵。因此，拒绝ROOT设备登录的金融App可视为提前声明的豁免协议。

但即便如此，总有人“不信邪”。面对金融应用root后无法使用的情况，Android社区基于著名的Magisk掩码提供了一整套解决方案。只需几个步骤即可关闭应用程序的检测root功能。不过，随着 Google PlayIntegrity API 的推出，使用 Magisk 绕过这些应用程序检测的做法正式结束。

当Google首次推出PlayIntegrity API时，并没有针对ROOT。其核心功能是帮助开发者在交互和服务器请求层面验证Android设备上运行的应用程序安装包文件的授权状态。开发者可以在用户支付等关键点调用Play Integrity API来检查用户操作或服务器请求是否来自未经修改的应用程序，从而保护应用程序免受欺诈交易。

最初，PlayIntegrity API 旨在支持用户以安全可信的方式支付数字产品和内容。随后Android开发者在实践中发现，PlayIntegrity API还可以用来验证用户当前使用的应用程序来源是否是Google。 Play 商店，而不是其他侧面加载渠道。一直关注安全问题的金融类应用也很快认识到了PlayIntegrity API在验证应用合法性方面的作用。

显然，ROOT后的Android设备缺乏PlayIntegrity API的支持。为此，一些海外开发者创建了开源项目AutoPIF，旨在解决特定设备运行Android应用程序时因指纹验证失败而导致的完整性问题。具体来说，AutoPIF通过借用其他Google Play Integrity API认证设备的ROM指纹信息来模仿设备，从而解决Play Integrity API检测问题。

之所以通过冒充指纹来绕过PlayIntegrity API检测，是因为指纹是当今Android手机最常见的生物识别解决方案。系统只需将采集到的指纹数据与可信数据库中预设的数据进行比对即可确定用户的身份。就像《碟中谍》电影中神奇的人皮面具一样，AutoPIF 只需要让 Play Integrity API 认为指纹是合法的。

谷歌屏蔽了Android ROM包的指纹信息，这意味着AutoPIF将没有可用的指纹信息。 ROOT后，所有需要指纹的验证机制将不再可用。不过，指纹识别目前广泛应用于Android应用程序中。你知道，每个人都会刷机/ROOT手机以获得更好的体验。一旦手机root后微信支付和支付宝无法使用移动支付，大家本就低迷的手机root热情必然会变得更加糟糕。

本来手机厂商为了自己的利益，对Bootloader解锁设置了很多障碍，但现在当用户克服重重困难，成功解锁刷机的时候，却不得不面对Play Integrity API。这一次，相当于谷歌在闪存机上再次施了紧咒。

本文来自微信公众号，作者：三一君，36氪授权发布。