ένας μηχανικός ασφαλείας για την Google εκτός Mountain View, έγινε μέλος του XDA για να συζητήσει τα προβλήματα με το Android Pay σε συσκευές με ρίζες
Ένα μέλος του φόρουμ που έχει επιβεβαιωθεί ότι εργάζεται ως Μηχανικός Ασφαλείας για την Google εκτός Mountain View, έγινε μέλος του XDA για να συζητήστε τα ζητήματα με το Android Pay σε συσκευές με ρίζες, γιατί δεν θα λειτουργήσει και έχει επιβεβαιώσει ότι η Google σας ακούει ανατροφοδότηση. Σχετικά με την πρόσβαση root και το Android Pay έχει πει αυτό:
"Οι χρήστες Android που κάνουν root τις συσκευές τους είναι από τους πιο ένθερμους θαυμαστές μας και όταν μιλάει αυτή η ομάδα, εμείς ακούμε. Μερικοί από εμάς στο Google ακούγαμε νήματα όπως αυτό και ξέρουμε ότι είστε απογοητευμένοι μαζί μας. Είμαι μηχανικός ασφαλείας που εργάζομαι στο Android Pay και έτσι αυτό το νήμα με εντυπωσίασε ιδιαίτερα. Ήθελα να επικοινωνήσω με όλους σας και να σας πω ότι σας ακούμε.
Η Google είναι απολύτως αφοσιωμένη στο να διατηρεί ανοιχτό το Android και αυτό σημαίνει ότι ενθαρρύνει τις κατασκευές προγραμματιστών. Ενώ η πλατφόρμα μπορεί και πρέπει να συνεχίσει να ευδοκιμεί ως περιβάλλον φιλικό προς τους προγραμματιστές, υπάρχουν μερικές από αυτές εφαρμογές (που δεν αποτελούν μέρος της πλατφόρμας) όπου πρέπει να διασφαλίσουμε ότι είναι το μοντέλο ασφαλείας του Android άθικτος.
Αυτή η «διασφάλιση» γίνεται από το Android Pay, ακόμη και από εφαρμογές τρίτων μέσω του SafetyNet API. Όπως όλοι μπορείτε να φανταστείτε, όταν εμπλέκονται διαπιστευτήρια πληρωμής και --μέσω πληρεξούσιου- πραγματικά χρήματα, οι άνθρωποι ασφαλείας σαν εμένα νευριάζουν περισσότερο. Εγώ και οι ομόλογοί μου στον κλάδο πληρωμών κοιτάξαμε πολύ προσεκτικά πώς να βεβαιωθούμε ότι το Android Η πληρωμή εκτελείται σε μια συσκευή που διαθέτει ένα καλά τεκμηριωμένο σύνολο API και μια καλά κατανοητή ασφάλεια μοντέλο.
Καταλήξαμε στο συμπέρασμα ότι ο μόνος τρόπος για να γίνει αυτό για το Android Pay ήταν να διασφαλίσουμε ότι η συσκευή Android θα περάσει τη σουίτα δοκιμής συμβατότητας -- η οποία περιλαμβάνει ελέγχους για το μοντέλο ασφαλείας. Η παλαιότερη υπηρεσία πάτημα και πληρωμή του Πορτοφολιού Google είχε διαφορετική δομή και έδωσε στο Πορτοφόλι τη δυνατότητα να αξιολογεί ανεξάρτητα τον κίνδυνο κάθε συναλλαγής πριν από την εξουσιοδότηση πληρωμής. Αντίθετα, στο Android Pay, συνεργαζόμαστε με δίκτυα πληρωμών και τράπεζες για να προσαρμόσουμε τα πραγματικά στοιχεία της κάρτας σας και να μεταβιβάσουμε μόνο αυτές τις πληροφορίες διακριτικού στον έμπορο. Στη συνέχεια, ο έμπορος εκκαθαρίζει αυτές τις συναλλαγές όπως οι παραδοσιακές αγορές με κάρτα. Γνωρίζω ότι πολλοί από εσάς είστε ειδικοί και ισχυροί χρήστες, αλλά είναι σημαντικό να σημειωθεί ότι δεν έχουμε πραγματικά έναν καλό τρόπο να διατυπώσουμε τις αποχρώσεις ασφαλείας ενός συγκεκριμένου συσκευή προγραμματιστή σε ολόκληρο το οικοσύστημα πληρωμών ή για να προσδιορίσετε εάν εσείς προσωπικά ενδέχεται να είχατε λάβει συγκεκριμένα αντίμετρα κατά των επιθέσεων -- πράγματι πολλοί δεν θα το έκαναν έχω. " - jasondclinton_google
Απαντώντας στην πιθανότητα ότι αυτό σήμαινε ότι μια μέρα μπορεί να έρθει υποστήριξη για rooted συσκευή, ο Jason δήλωσε «Δεν γνωρίζω κανέναν τρόπο για να διαβεβαιώσω αυτήν τη στιγμή ή στο εγγύς μέλλον ότι μια συγκεκριμένη εφαρμογή αποθήκευση δεδομένων είναι ασφαλές σε συσκευή που δεν είναι συμβατή με CTS. Ως εκ τούτου, προς το παρόν, η απάντηση είναι "όχι"" και απαντώντας στη δήλωση ενός χρήστη ότι αν έπρεπε να επιλέξει μεταξύ root και Android Pay, θα επέλεγε root, Ο Jason εξέφρασε τα συλλυπητήριά του και ισχυρίστηκε ότι θα ήθελε να ήταν δυνατή η επίτευξη λειτουργικότητας root χωρίς πραγματικά ριζοβολία. Έχει επίσης λάβει σχόλια σχετικά με την τοποθέτηση μιας προειδοποίησης στο play store που δηλώνει ότι η εφαρμογή δεν θα λειτουργεί σε συσκευές με root.
Δυστυχώς, έχει επιβεβαιωθεί ότι οποιαδήποτε μη επίσημη κατασκευή δεν θα περάσει από το SafetyNet λόγω της μη αναμενόμενης εικόνας του συστήματος. Συνέχισε δηλώνοντας ότι. "Ένας τρόπος σκέψης για αυτό είναι ότι η υπογραφή μπορεί να χρησιμοποιηθεί ως πληρεξούσιος για προηγούμενη κατάσταση μετάβασης CTS. (Αν σαρώναμε κάθε αρχείο και συσκευή τηλεφώνου που απαριθμούνται από τον πυρήνα για να συμπεράνουμε σε ποιο περιβάλλον τρέχουμε, θα βαλτώναμε τη συσκευή σας για δεκάδες λεπτά.) Έτσι, ξεκινάμε με την κατάσταση CTS που συνάγεται από μια υπογραφή εικόνας παραγωγής και στη συνέχεια αναζητούμε πράγματα που δεν φαίνονται σωστά. Αυτή η κοινότητα έχει εντοπίσει αρκετά από τα πράγματα που εξετάζουμε, ήδη: την παρουσία, του «su», για παράδειγμα." - jasondclinton_google
Θα συνεχίσει να παρακολουθεί σχετικά θέματα σχετικά με το Android Pay στο XDA, ωστόσο, δεν μπορεί να υποσχεθεί ότι θα απαντήσει σε όλα τα σχόλια, αλλά σίγουρα θα ακούει. Για να ενημερώνεστε για τα σχόλιά του στο νήμα, ελέγξτε εδώ. Ωστόσο, είναι ένα βήμα προς τη σωστή κατεύθυνση, τώρα που γνωρίζουμε ότι ακούν και λαμβάνουν εποικοδομητικά σχόλια, ελπίζουμε ότι θα δούμε περισσότερες συζητήσεις μεταξύ του προσωπικού της Google και των μελών του φόρουμ.