ein Sicherheitsingenieur für Google aus Mountain View, hat sich XDA angeschlossen, um die Probleme mit Android Pay auf gerooteten Geräten zu besprechen
Ein Forummitglied, von dem bestätigt wurde, dass es als Sicherheitsingenieur für Google in Mountain View arbeitet, ist XDA beigetreten, um dies zu tun Besprechen Sie die Probleme mit Android Pay auf gerooteten Geräten, warum es nicht funktioniert, und haben Sie bestätigt, dass Google Ihnen zuhört Rückmeldung. Bezüglich Root-Zugriff und Android Pay er hat dies gesagt:
„Android-Benutzer, die ihre Geräte rooten, gehören zu unseren glühendsten Fans, und wenn diese Gruppe spricht, hören wir zu. Einige von uns bei Google haben Threads wie diesen gehört und wir wissen, dass Sie von uns enttäuscht sind. Ich bin ein Sicherheitsingenieur, der mit Android Pay arbeitet, und daher hat mich dieser Thread besonders berührt. Ich wollte mich an Sie alle wenden und Ihnen sagen, dass wir Sie hören.
Google setzt sich unbedingt dafür ein, Android offen zu halten, und das bedeutet, Entwickler-Builds zu fördern. Während die Plattform als entwicklerfreundliche Umgebung weiterhin florieren kann und sollte, gibt es eine Handvoll davon Anwendungen (die nicht Teil der Plattform sind), bei denen wir sicherstellen müssen, dass das Sicherheitsmodell von Android vorhanden ist intakt.
Diese „Gewährleistung“ übernehmen Android Pay und sogar Anwendungen von Drittanbietern über die SafetyNet-API. Wie Sie sich alle vorstellen können, werden Sicherheitsleute wie ich besonders nervös, wenn es um Zahlungsdaten und – stellvertretend – um echtes Geld geht. Ich und meine Kollegen in der Zahlungsbranche haben lange und intensiv darüber nachgedacht, wie wir sicherstellen können, dass Android Pay läuft auf einem Gerät, das über einen gut dokumentierten Satz von APIs und eine gut verstandene Sicherheit verfügt Modell.
Wir sind zu dem Schluss gekommen, dass dies für Android Pay nur möglich ist, indem sichergestellt wird, dass das Android-Gerät die Kompatibilitätstestsuite besteht, zu der auch Überprüfungen des Sicherheitsmodells gehören. Der frühere Tap-and-Pay-Dienst von Google Wallet war anders strukturiert und gab Wallet die Möglichkeit, das Risiko jeder Transaktion vor der Zahlungsautorisierung unabhängig zu bewerten. Im Gegensatz dazu arbeiten wir bei Android Pay mit Zahlungsnetzwerken und Banken zusammen, um Ihre tatsächlichen Karteninformationen zu tokenisieren und diese Token-Informationen nur an den Händler weiterzugeben. Der Händler wickelt diese Transaktionen dann wie herkömmliche Kartenkäufe ab. Ich weiß, dass viele von Ihnen Experten und Power-User sind, aber es ist wichtig zu beachten, dass wir nicht wirklich eine gute Möglichkeit haben, die Sicherheitsnuancen eines bestimmten Themas zu artikulieren Entwicklergerät auf das gesamte Zahlungsökosystem zu übertragen oder um festzustellen, ob Sie persönlich möglicherweise bestimmte Gegenmaßnahmen gegen Angriffe ergriffen haben – was viele jedoch nicht tun würden haben. " - jasondclinton_google
Auf die Möglichkeit, dass dies bedeute, dass es eines Tages möglicherweise Unterstützung für gerootete Geräte geben könnte, antwortete Jason: „Mir ist derzeit oder in naher Zukunft keine Möglichkeit bekannt, eine Aussage darüber zu treffen, dass es sich um eine bestimmte App handelt Datenspeicher ist auf einem nicht CTS-kompatiblen Gerät sicher. Daher lautet die Antwort vorerst „Nein“." und als Antwort auf die Aussage eines Benutzers, dass er sich für Root entscheiden würde, wenn er zwischen Root und Android Pay wählen müsste, Jason drückte sein Mitgefühl aus und behauptete, er wünschte, es wäre möglich, Root-Funktionalität ohne tatsächliche Unterstützung zu erreichen Verwurzelung. Er hat auch Feedback zur Platzierung einer Warnung im Play Store entgegengenommen, die besagt, dass die App auf gerooteten Geräten nicht funktioniert.
Leider wurde bestätigt, dass jeder nicht offizielle Build SafetyNet nicht bestehen wird, da das System-Image nicht erwartet wird. Das führte er weiter aus. „Eine Möglichkeit, darüber nachzudenken, besteht darin, dass die Signatur als Ersatz für den vorherigen CTS-Bestehensstatus verwendet werden kann. (Wenn wir jede vom Kernel aufgelistete Datei und jedes Telefongerät scannen würden, um daraus abzuleiten, in welcher Umgebung wir ausgeführt werden, würden wir Ihr Gerät mehrere zehn Minuten lang blockieren.) Wir beginnen also mit dem CTS-Status, der durch eine Produktionsbildsignatur abgeleitet wird, und machen uns dann auf die Suche nach Dingen, die nicht richtig aussehen. Diese Community hat bereits einige der Dinge identifiziert, mit denen wir uns befassen: das Vorhandensein von „su“ zum Beispiel.“ – jasondclinton_google
Er wird weiterhin verwandte Threads zu Android Pay auf XDA im Auge behalten, kann jedoch nicht versprechen, auf alle Kommentare zu antworten, wird aber auf jeden Fall zuhören. Um über seine Kommentare im Thread auf dem Laufenden zu bleiben, klicken Sie hier Hier. Es ist jedoch ein Schritt in die richtige Richtung. Da wir nun wissen, dass sie zuhören und konstruktives Feedback entgegennehmen, werden wir hoffentlich mehr Diskussionen zwischen den Google-Mitarbeitern und den Forumsmitgliedern sehen.