bezpečnostní inženýr pro Google z Mountain View se připojil k XDA, aby prodiskutoval problémy se službou Android Pay na zakořeněných zařízeních
Člen fóra, u kterého bylo potvrzeno, že pracuje jako bezpečnostní inženýr pro Google z Mountain View, se připojil k XDA, aby prodiskutujte problémy se službou Android Pay na zakořeněných zařízeních, proč to nebude fungovat, a potvrdil, že Google naslouchá vašim zpětná vazba. Ohledně přístupu root a Android Pay řekl toto:
„Uživatelé Androidu, kteří rootují svá zařízení, patří mezi naše nejzarytější fanoušky, a když tato skupina mluví, nasloucháme. Několik z nás kolem Googlu poslouchalo vlákna, jako je toto, a víme, že jste z nás zklamaní. Jsem bezpečnostní technik, který pracuje se službou Android Pay, a tak mě toto vlákno obzvlášť zasáhlo. Chtěl jsem vás všechny oslovit a říct vám, že vás slyšíme.
Společnost Google je absolutně odhodlána udržovat Android otevřený, a to znamená podporovat vývojové sestavy. Zatímco platforma může a měla by i nadále prosperovat jako prostředí přátelské pro vývojáře, existuje jich několik aplikací (které nejsou součástí platformy), kde musíme zajistit, aby bezpečnostní model Androidu byl neporušený.
Toto „zajištění“ provádí Android Pay a dokonce i aplikace třetích stran prostřednictvím SafetyNet API. Jak si jistě všichni dokážete představit, když se jedná o platební údaje a – v zastoupení – skutečné peníze, bezpečnostní pracovníci jako já jsou navíc nervózní. Já a moji kolegové v platebním průmyslu jsme se dlouze a tvrdě podívali na to, jak zajistit, aby byl Android Pay běží na zařízení, které má dobře zdokumentovanou sadu API a dobře srozumitelné zabezpečení Modelka.
Došli jsme k závěru, že jediným způsobem, jak toho pro Android Pay dosáhnout, je zajistit, aby zařízení Android prošlo sadou testů kompatibility, která zahrnuje kontroly modelu zabezpečení. Dřívější služba placení dotykem v Peněžence Google byla strukturována jinak a umožňovala Peněžence nezávisle vyhodnotit riziko každé transakce před autorizací platby. Naproti tomu ve službě Android Pay spolupracujeme s platebními sítěmi a bankami na tokenizaci vašich skutečných informací o kartě a tyto informace o tokenu předáváme pouze obchodníkovi. Obchodník pak tyto transakce vymaže jako tradiční nákupy kartou. Vím, že mnozí z vás jsou odborníci a zkušení uživatelé, ale je důležité si uvědomit, že ve skutečnosti nemáme dobrý způsob, jak formulovat bezpečnostní nuance konkrétního vývojářské zařízení do celého platebního ekosystému nebo k určení, zda jste vy osobně možná podnikli konkrétní protiopatření proti útokům – mnozí by to ve skutečnosti neudělali mít. " - jasondclinton_google
V reakci na možnost, že to znamenalo, že podpora pro rootovaná zařízení může jednoho dne přijít, uvedl Jason „Nevím o žádném způsobu, jak v současnosti nebo v blízké budoucnosti tvrdit, že konkrétní aplikace je úložiště dat je zabezpečený na zařízení, které není kompatibilní s CTS. Jako taková je prozatím odpověď „ne““ a v odpovědi na prohlášení jednoho uživatele, že kdyby si měl vybrat mezi rootem a Android Pay, zvolil by root, Jason vyjádřil své sympatie a tvrdil, že by si přál, aby bylo možné dosáhnout funkčnosti root bez skutečného použití zakořenění. Přijal také zpětnou vazbu ohledně umístění varování do obchodu Play, že aplikace nebude fungovat na zakořeněných zařízeních.
Bohužel bylo potvrzeno, že jakékoli neoficiální sestavení neprojde SafetyNet kvůli neočekávanému obrazu systému. Pokračoval tím, že to prohlásil. "Jedním způsobem, jak o tom přemýšlet, je, že podpis lze použít jako proxy pro předchozí stav absolvování CTS. (Pokud bychom skenovali každý soubor a telefonní zařízení vyjmenované jádrem, abychom odvodili, v jakém prostředí běžíme, zablokovali bychom vaše zařízení na desítky minut.) Začneme tedy stavem CTS odvozeným z produkčního obrazového podpisu a pak jdeme hledat věci, které nevypadají správně. Tato komunita již identifikovala několik věcí, na které se díváme: například přítomnost 'su'." - jasondclinton_google
Bude i nadále sledovat související vlákna týkající se Android Pay na XDA, nemůže však slíbit, že odpoví na všechny komentáře, ale určitě bude naslouchat. Chcete-li být informováni o jeho komentářích ve vlákně, zkontrolujte tady. Nicméně je to krok správným směrem, nyní, když víme, že naslouchají a přijímají konstruktivní zpětnou vazbu, doufejme, že uvidíme další diskusi mezi zaměstnanci společnosti Google a členy fóra.