en sikkerhedsingeniør for Google fra Mountain View har sluttet sig til XDA for at diskutere problemerne med Android Pay på rootede enheder
Et forummedlem, der er blevet bekræftet at arbejde som sikkerhedsingeniør for Google fra Mountain View, har tilsluttet sig XDA for at diskutere problemerne med Android Pay på rootede enheder, hvorfor det ikke virker, og har bekræftet, at Google lytter til din feedback. Angående root-adgang og Android Pay han har sagt dette:
"Android-brugere, der rooter deres enheder, er blandt vores mest ivrige fans, og når denne gruppe taler, lytter vi. Et par af os omkring Google har lyttet til tråde som denne, og vi ved, at du er skuffet over os. Jeg er en sikkerhedsingeniør, der arbejder på Android Pay, og derfor slog denne tråd mig særligt hårdt. Jeg ville gerne nå ud til jer alle og fortælle jer, at vi hører jer.
Google er absolut forpligtet til at holde Android åben, og det betyder at opmuntre udvikler builds. Selvom platformen kan og bør fortsætte med at trives som et udviklervenligt miljø, er der en håndfuld af applikationer (der ikke er en del af platformen), hvor vi skal sikre, at sikkerhedsmodellen af Android er intakt.
Denne "sikring" udføres af Android Pay og endda tredjepartsapplikationer gennem SafetyNet API. Som I alle måske kan forestille jer, når betalingsoplysninger og – ved fuldmagt – rigtige penge er involveret, bliver sikkerhedsfolk som mig ekstra nervøse. Jeg og mine modparter i betalingsindustrien tog et langt, hårdt kig på, hvordan man kunne sikre sig, at Android Pay kører på en enhed, der har et veldokumenteret sæt API'er og en velforstået sikkerhed model.
Vi konkluderede, at den eneste måde at gøre dette på for Android Pay var at sikre, at Android-enheden består kompatibilitetstestpakken – som inkluderer kontrol af sikkerhedsmodellen. Den tidligere Google Wallet tap-og-betal-tjeneste var struktureret anderledes og gav Wallet mulighed for selvstændigt at evaluere risikoen ved hver transaktion før betalingsgodkendelse. I modsætning hertil arbejder vi i Android Pay med betalingsnetværk og banker for at tokenisere dine faktiske kortoplysninger og kun videregive disse tokenoplysninger til sælgeren. Forretningen klarer derefter disse transaktioner som traditionelle kortkøb. Jeg ved, at mange af jer er eksperter og superbrugere, men det er vigtigt at bemærke, at vi ikke rigtig har en god måde at formulere sikkerhedsnuancerne af en bestemt udviklerenhed til hele betalingsøkosystemet eller for at afgøre, om du personligt kunne have truffet særlige modforanstaltninger mod angreb – mange ville faktisk ikke har. " - jasondclinton_google
Som svar på muligheden for, at dette betød, at understøttelse af en rootet enhed måske en dag kommer, udtalte Jason "Jeg kender ikke til nogen måde, hvorpå jeg i øjeblikket eller i den nærmeste fremtid kan påstå, at en bestemt app er datalager er sikker på en ikke-CTS-kompatibel enhed. Som sådan, indtil videre, er svaret "nej"" og svare på en brugers udtalelse om, at hvis han skulle vælge mellem root og Android Pay, ville de vælge root, Jason gav sine sympatier og hævdede, at han ville ønske, at det var muligt at opnå root-funktionalitet uden faktisk rode. Han har også modtaget feedback om at placere en advarsel i play-butikken om, at appen ikke vil fungere på rootede enheder.
Desværre er det blevet bekræftet, at enhver ikke-officiel build ikke vil bestå SafetyNet på grund af, at systembilledet ikke forventes. Det fortsatte han med at sige. "En måde at tænke dette på er, at signaturen kan bruges som en proxy for tidligere CTS-beståelsesstatus. (Hvis vi skulle scanne hver eneste fil og telefonenhed, der er opregnet af kernen for at udlede, hvilket miljø vi kører på, ville vi spolere din enhed i ti minutter.) Så vi starter med CTS-status udledt af en produktionsbilledsignatur og går derefter i gang med at lede efter ting, der ikke ser rigtigt ud. Dette fællesskab har allerede identificeret en hel del af de ting, vi kigger på: tilstedeværelse, af 'su', for eksempel." - jasondclinton_google
Han vil fortsætte med at overvåge relaterede tråde vedrørende Android Pay på XDA, kan dog ikke love at svare på alle kommentarer, men vil bestemt lytte. For at holde dig ajour med hans kommentarer i tråden, tjek her. Men det er et skridt i den rigtige retning, nu hvor vi ved, at de lytter og tager konstruktiv feedback ind, vil vi forhåbentlig se mere diskussion mellem Googles medarbejdere og forummedlemmer.