инженер по сигурността за Google от Mountain View, се присъедини към XDA, за да обсъди проблемите с Android Pay на руутнати устройства
Член на форума, за който е потвърдено, че работи като инженер по сигурността за Google извън Mountain View, се присъедини към XDA, за да обсъдете проблемите с Android Pay на руутнати устройства, защо няма да работи и потвърди, че Google слуша вашите обратна връзка. Относно root достъпа и Android Pay той е казал това:
„Потребителите на Android, които руутват устройствата си, са сред нашите най-ревностни фенове и когато тази група говори, ние слушаме. Няколко от нас около Google слушаме теми като тази и знаем, че сте разочаровани от нас. Аз съм инженер по сигурността, който работи с Android Pay и затова тази тема ме порази особено силно. Исках да се свържа с всички вас и да ви кажа, че ви чуваме.
Google е абсолютно ангажиран да поддържа Android отворен и това означава да насърчава компилациите на разработчиците. Докато платформата може и трябва да продължи да процъфтява като удобна за разработчици среда, има няколко приложения (които не са част от платформата), където трябва да гарантираме, че е моделът за сигурност на Android непокътнати.
Това „осигуряване“ се извършва от Android Pay и дори от приложения на трети страни чрез SafetyNet API. Както всички може да си представите, когато са включени идентификационни данни за плащане и - чрез пълномощник - реални пари, хората по сигурността като мен стават допълнително нервни. Аз и колегите ми в платежната индустрия разгледахме дълго и внимателно как да се уверим, че Android Pay работи на устройство, което има добре документиран набор от API и добре разбрана сигурност модел.
Заключихме, че единственият начин да направим това за Android Pay е да се уверим, че устройството с Android преминава тестовия пакет за съвместимост, който включва проверки за модела за сигурност. По-ранната услуга за докосване и плащане на Google Wallet беше структурирана по различен начин и даде възможност на Wallet независимо да оцени риска на всяка транзакция преди разрешение за плащане. За разлика от това, в Android Pay ние работим с разплащателни мрежи и банки, за да токенизираме информацията за вашата действителна карта и да предаваме тази информация само на търговеца. След това търговецът изчиства тези транзакции като традиционни покупки с карта. Знам, че много от вас са експерти и опитни потребители, но е важно да се отбележи, че всъщност нямаме добър начин да формулираме нюансите на сигурността на конкретен устройство за разработчици към цялата платежна екосистема или за да определите дали вие лично може да сте предприели конкретни контрамерки срещу атаки - наистина много не биха имат. " - jasondclinton_google
Отговаряйки на възможността, че това означава, че един ден може да се появи поддръжка за руутнато устройство, каза Джейсън „Не знам за някакъв начин в момента или в близко бъдеще да направя твърдение, че дадено приложение е хранилище на данни е защитен на устройство, което не е съвместимо с CTS. Като такъв, засега отговорът е „не“" и отговаряйки на изявлението на един потребител, че ако трябва да избира между root и Android Pay, те биха избрали root, Джейсън даде своите симпатии и заяви, че му се иска да е възможно да се постигне root функционалност без действително вкореняване. Той също така получи обратна връзка относно поставянето на предупреждение в магазина за игра, в което се посочва, че приложението няма да работи на руутнати устройства.
За съжаление беше потвърдено, че всяка неофициална компилация няма да успее да премине SafetyNet поради това, че системното изображение не се очаква. Той продължи, като заяви това. „Един от начините да мислим за това е, че подписът може да се използва като прокси за предишен статус на преминаване на CTS. (Ако трябваше да сканираме всеки файл и телефонно устройство, изброено от ядрото, за да заключим в каква среда работим, щяхме да блокираме вашето устройство за десетки минути.) И така, започваме със статуса на CTS, изведен от сигнатура на производствено изображение, и след това продължаваме да търсим неща, които не изглеждат правилно. Тази общност вече е идентифицирала доста от нещата, които разглеждаме: наличието на „su“ например.“ – jasondclinton_google
Той ще продължи да следи свързани теми относно Android Pay на XDA, но не може да обещае да отговори на всички коментари, но със сигурност ще слуша. За да сте в крак с неговите коментари в темата, проверете тук. Въпреки това, това е стъпка в правилната посока, сега, когато знаем, че те слушат и приемат конструктивни отзиви, се надяваме, че ще видим повече дискусии между служителите на Google и членовете на форума.