Android Pay fungerer ikke længere med systemløs rod

Tryk på. Betale. Færdig. Hvis du er ejer af en NFC-aktiveret Android-telefon, der kører 4.4+, så har du sikkert hørt om Android Pay. Appen understøtter tilføjelse af kort fra mange forskellige banker og fungerer i mange større forhandlere, og den er også ret nem at konfigurere. Google er praktisk talt tiggeridu skal tilmelde dig!

Det vil sige, medmindre du er en superbruger, der har en rootet enhed. For os skulle vi vælge mellem at have root-adgang og alle de fordele, det medfører (ad-blocking, theming, Xposed osv.) og bruge Android Pay. Google har udtalt, at begrænsning af Android Pay-adgang for rootede brugere var et forholdsregler for at forhindre enhver chance for brud på den økonomiske sikkerhed.

Selvom platformen kan og bør fortsætte med at trives som et udviklervenligt miljø, er der en håndfuld af applikationer (der ikke er en del af platformen), hvor vi skal sikre, at sikkerhedsmodellen af ​​Android er intakt.

Denne "sikring" udføres af Android Pay og endda tredjepartsapplikationer gennem SafetyNet API. Som I alle måske kan forestille jer, når betalingsoplysninger og – ved fuldmagt – rigtige penge er involveret, bliver sikkerhedsfolk som mig ekstra nervøse. Jeg og mine modparter i betalingsindustrien tog et langt, hårdt kig på, hvordan man kunne sikre sig, at Android Pay kører på en enhed, der har et veldokumenteret sæt API'er og en velforstået sikkerhed model.

Vi konkluderede, at den eneste måde at gøre dette på for Android Pay var at sikre, at Android-enheden består kompatibilitetstestpakken – som inkluderer kontrol af sikkerhedsmodellen. Den tidligere Google Wallet tap-og-betal-tjeneste var struktureret anderledes og gav Wallet mulighed for selvstændigt at evaluere risikoen ved hver transaktion før betalingsgodkendelse. I modsætning hertil arbejder vi i Android Pay med betalingsnetværk og banker for at tokenisere dine faktiske kortoplysninger og kun videregive disse tokenoplysninger til sælgeren. Forretningen klarer derefter disse transaktioner som traditionelle kortkøb. Jeg ved, at mange af jer er eksperter og superbrugere, men det er vigtigt at bemærke, at vi ikke rigtig har en god måde at formulere sikkerhedsnuancerne af en bestemt udviklerenhed til hele betalingsøkosystemet eller for at afgøre, om du personligt kunne have truffet særlige modforanstaltninger mod angreb – mange ville faktisk ikke har. - jasondclinton_google, sikkerhedsingeniør hos Google taler i vores fora

Heldigvis finder XDA altid en måde (selvom denne gang utilsigtet). Ved at roote din enhed uden at foretage ændringer i /systempartitionen (dvs. systemløs rod af XDA Senior anerkendt udvikler og udvikleradministrator Kædebål), var brugere i stand til at omgå root-begrænsningen og få adgang til Android Pay. I en Google+ indlægChainfire nævnte dog, at denne "fix" blot er "ved et uheld og ikke ved design, og Android Pay vil blive opdateret for at blokere det." Det ser ud til, at Google endelig er trådt ind og opdateret deres SafetyNet API, 91 dage efter udgivelsen af ​​den systemløse rooting-metode.

Hej mørke, min gamle ven

Der er flere rapporter i gang Reddit og på vores egne fora at det nyeste SafetyNet-tjek registrerer systemløs rod, hvilket betyder, at du ikke længere kan bruge Android Pay med en rootet enhed. Hvis du er en Android Pay-bruger med en enhed, der er rootet ved hjælp af den systemløse rodmetode, så bemærker du det måske appen åbner stadig for dig, og du vil være i benægtelse (jeg ved, det er svært at indrømme...), men det er desværre rigtigt. Android Pay tjekker kun din enhed for at passere kompatibilitetsenhedspakken, når appen først installeres og åbnes, når et nyt kort tilføjes, og på tidspunktet for en transaktion. Brugere på vores fora bemærker, at appen kan give dig et grønt flueben, hvilket giver dig et falsk håb om, at det virkede, men desværre, nej, transaktionen behandles ikke mere.

Ikke alt er dog tabt. Heldigvis kan du deaktivere su fra SuperSu-appen, før du foretager et køb, for midlertidigt at tillade din enhed at bestå CTS-kontrollen. Så efter du har foretaget dit køb, kan du åbne SuperSu-appen, ignorer pop op-vinduet 'update binary', og genaktiver su. En mindre besvær, selvfølgelig, men i det mindste vil du stadig være i stand til at nyde din Xposerede moduler ad-blocker, mens du foretager køb på din telefon.

Rettelse: Xposed-moduler vil stadig udløse CTS-kontrollen, så du bliver også nødt til at deaktivere Xposed, før du bruger Android Pay.