Google'i turbeinsener Mountain View'st on liitunud XDA-ga, et arutada Android Payga seotud probleeme juurtega seadmetes
Foorumi liige, kelle kohta kinnitati, et ta töötab Google'i turbeinsenerina väljaspool Mountain View'i, liitus XDA-ga, et arutage Android Payga seotud probleeme juurdunud seadmetes, miks see ei tööta ja on kinnitanud, et Google kuulab teie sõnu tagasisidet. Juurjuurdepääsu ja Android Pay kohta ta on öelnud seda:
"Androidi kasutajad, kes juurutavad oma seadmeid, on meie tulihingelisemate fännide hulgas ja kui see grupp sõna võtab, siis me kuulame. Mõned meist Google'is on selliseid teemasid kuulanud ja teame, et olete meis pettunud. Olen turbeinsener, kes töötab Android Pays ja seetõttu mõjus see lõim mulle eriti tugevalt. Tahtsin teie kõigiga ühendust võtta ja öelda, et me kuuleme teid.
Google on täielikult pühendunud Androidi avatuna hoidmisele ja see tähendab arendajate ehitamise julgustamist. Kuigi platvorm võib ja peaks arendajasõbraliku keskkonnana edasi arenema, on neid siiski käputäis rakendused (mis ei ole platvormi osa), kus peame tagama, et Androidi turvamudel on olemas terved.
Selle "tagamise" teevad Android Pay ja isegi kolmandate osapoolte rakendused SafetyNet API kaudu. Nagu te kõik ette kujutate, lähevad minusugused turvatöötajad eriti närviliseks, kui tegemist on makseandmete ja – volikirja alusel – pärisrahaga. Mina ja mu kolleegid maksetööstuses vaatasime pikalt ja põhjalikult, kuidas Androidi veenduda Pay töötab seadmes, millel on hästi dokumenteeritud API-de komplekt ja hästi mõistetav turvalisus mudel.
Jõudsime järeldusele, et ainus viis seda Android Pay puhul teha oli tagada, et Android-seade läbib ühilduvustesti, mis hõlmab turvamudeli kontrollimist. Varasem Google Walleti puudutamise ja maksmise teenus oli üles ehitatud erinevalt ja andis Walletile võimaluse iseseisvalt hinnata iga tehingu riske enne makse autoriseerimist. Android Pay puhul teeme seevastu koostööd maksevõrkude ja pankadega, et muuta teie tegelik kaarditeave märgiseks ja edastada see märgiteave ainult kaupmehele. Seejärel arveldab kaupmees need tehingud nagu traditsioonilised kaardiostud. Ma tean, et paljud teist on eksperdid ja tõhusad kasutajad, kuid on oluline märkida, et meil ei ole tegelikult head viisi konkreetse turvanüansside sõnastamiseks. arendaja seadet kogu maksete ökosüsteemile või teha kindlaks, kas olete isiklikult võtnud rünnakute vastu konkreetseid vastumeetmeid – paljud seda tõepoolest ei teeks. on. " - jasondclinton_google
Jason ütles, et vastates võimalusele, et see tähendas, et juurdunud seadme tugi võib ühel päeval tulla "Ma ei tea praegu või lähitulevikus ühtegi võimalust väita, et konkreetne rakendus on andmehoidla on turvaline CTS-iga mitteühilduvas seadmes. Seetõttu on praegu vastus "ei"" ja vastates ühe kasutaja väitele, et kui ta peaks valima juur- ja Android Pay vahel, valiksid nad root, Jason avaldas kaastunnet ja väitis, et ta soovis, et juurfunktsiooni oleks võimalik saavutada ilma tegelikult juurdumine. Samuti on ta võtnud tagasisidet Play poodi hoiatuse paigutamise kohta, et rakendus ei tööta juurdunud seadmetes.
Kahjuks on kinnitust leidnud, et mitteametlik ehitamine ei läbi SafetyNeti, kuna süsteemi kujutist pole oodata. Ta jätkas seda väitega. "Üks mõtteviis sellest on see, et allkirja saab kasutada varasema CTS-i läbimise oleku puhverserverina. (Kui peaksime skannima kõiki kerneli loetletud faile ja telefoniseadmeid, et järeldada, millises keskkonnas me töötame, ummistaksime teie seadme kümneteks minutiteks.) Alustame CTS-i olekust, mille järeldatakse tootmispildi allkirja põhjal, ja seejärel otsime asju, mis ei tundu õiged. See kogukond on tuvastanud üsna paljud asjad, mida me juba vaatame: näiteks 'su' olemasolu. jasondclinton_google
Ta jätkab Android Payga seotud teemade jälgimist XDA-s, kuid ei saa lubada, et vastab kõigile kommentaaridele, kuid kuulab kindlasti. Et olla kursis tema kommentaaridega selles lõimes, kontrollige siin. Kuid see on samm õiges suunas. Nüüd, kui teame, et nad kuulavad ja võtavad konstruktiivset tagasisidet, näeme loodetavasti rohkem arutelusid Google'i töötajate ja foorumi liikmete vahel.