un ingeniero de seguridad de Google de Mountain View se ha unido a XDA para discutir los problemas con Android Pay en dispositivos rooteados
Un miembro del foro que se ha confirmado que trabaja como ingeniero de seguridad para Google en Mountain View se ha unido a XDA para discute los problemas con Android Pay en dispositivos rooteados, por qué no funciona y ha confirmado que Google está escuchando tu comentario. Respecto al acceso root y Android Pay él ha dicho esto:
"Los usuarios de Android que rootean sus dispositivos se encuentran entre nuestros fans más fervientes y cuando este grupo habla, escuchamos. Algunos de nosotros en Google hemos estado escuchando hilos como este y sabemos que estás decepcionado con nosotros. Soy un ingeniero de seguridad que trabaja en Android Pay y por eso este hilo me llamó especialmente la atención. Quería comunicarme con todos ustedes y decirles que los escuchamos.
Google está absolutamente comprometido a mantener Android abierto y eso significa fomentar la creación de desarrolladores. Si bien la plataforma puede y debe seguir prosperando como un entorno amigable para los desarrolladores, hay un puñado de aplicaciones (que no forman parte de la plataforma) donde tenemos que asegurarnos de que el modelo de seguridad de Android sea intacto.
Esa "garantía" la realizan Android Pay e incluso aplicaciones de terceros a través de la API SafetyNet. Como todos podrán imaginar, cuando se trata de credenciales de pago y, por poder, dinero real, la gente de seguridad como yo se pone muy nerviosa. Mis homólogos de la industria de pagos y yo analizamos detenidamente cómo asegurarnos de que Android El pago se ejecuta en un dispositivo que tiene un conjunto de API bien documentado y una seguridad bien comprendida. modelo.
Llegamos a la conclusión de que la única forma de hacer esto para Android Pay era garantizar que el dispositivo Android pasara el conjunto de pruebas de compatibilidad, que incluye comprobaciones del modelo de seguridad. El servicio anterior de tocar y pagar de Google Wallet estaba estructurado de manera diferente y le daba a Wallet la capacidad de evaluar de forma independiente el riesgo de cada transacción antes de la autorización del pago. Por el contrario, en Android Pay, trabajamos con redes de pago y bancos para tokenizar la información real de su tarjeta y pasar esta información del token solo al comerciante. Luego, el comerciante compensa estas transacciones como compras con tarjeta tradicional. Sé que muchos de ustedes son expertos y usuarios avanzados, pero es importante señalar que realmente no tenemos una buena manera de articular los matices de seguridad de un tema en particular. dispositivo del desarrollador a todo el ecosistema de pagos o para determinar si usted personalmente podría haber tomado contramedidas particulares contra los ataques; de hecho, muchos no lo harían. tener. " - jasondclinton_google
En respuesta a la posibilidad de que esto signifique que algún día llegue el soporte para dispositivos rooteados, Jason afirmó "No conozco ninguna forma de, actualmente o en el futuro cercano, hacer una afirmación de que una aplicación en particular Almacén de datos es seguro en un dispositivo no compatible con CTS. Por lo tanto, por ahora, la respuesta es "no"." y respondiendo a la afirmación de un usuario de que si tuviera que elegir entre root y Android Pay, elegiría root, Jason expresó su solidaridad y afirmó que deseaba que fuera posible lograr la funcionalidad raíz sin enraizamiento. También recibió comentarios sobre la colocación de una advertencia en Play Store que indica que la aplicación no funcionará en dispositivos rooteados.
Desafortunadamente, se ha confirmado que cualquier compilación no oficial no pasará SafetyNet debido a que no se espera la imagen del sistema. Continuó afirmando eso. "Una forma de pensar en esto es que la firma se puede utilizar como un proxy para el estado previo de aprobación del CTS. (Si tuviéramos que escanear todos los archivos y dispositivos telefónicos enumerados por el kernel para inferir en qué entorno estamos ejecutando, bloquearíamos su dispositivo durante decenas de minutos). Entonces, comenzamos con el estado CTS inferido por la firma de una imagen de producción y luego buscamos cosas que no se ven bien. Esta comunidad ya ha identificado bastantes de las cosas que estamos viendo: la presencia de 'su', por ejemplo." - jasondclinton_google
Continuará monitoreando los hilos relacionados con Android Pay en XDA; sin embargo, no puede prometer responder a todos los comentarios, pero ciertamente estará escuchando. Para mantenerse actualizado con sus comentarios en el hilo, consulte aquí. Sin embargo, es un paso en la dirección correcta. Ahora que sabemos que están escuchando y recibiendo comentarios constructivos, esperamos ver más debates entre el personal de Google y los miembros del foro.