Googlen turvallisuusinsinööri Mountain View'sta, on liittynyt XDA: han keskustellakseen Android Payn ongelmista juurtuneissa laitteissa
Foorumin jäsen, jonka on vahvistettu työskentelevän Googlen tietoturva-insinöörinä Mountain View'n ulkopuolella, on liittynyt XDA: han keskustele Android Payn ongelmista juurtuneissa laitteissa, miksi se ei toimi, ja on vahvistanut, että Google kuuntelee sinua palautetta. Mitä tulee pääkäyttäjän oikeuksiin ja Android Payhin hän on sanonut tämän:
"Laitteitaan juurruttavat Android-käyttäjät ovat innokkaimpia fanejamme ja kun tämä ryhmä puhuu, me kuuntelemme. Jotkut meistä Googlessa ovat kuunnelleet tämän kaltaisia ketjuja, ja tiedämme, että olet pettynyt meihin. Olen tietoturvainsinööri, joka työskentelee Android Payssa, joten tämä viestiketju vaikutti minuun erityisen voimakkaasti. Halusin tavoittaa teitä kaikkia ja kertoa, että kuulemme teitä.
Google on ehdottomasti sitoutunut pitämään Androidin auki, mikä tarkoittaa kehittäjien rakentamisen rohkaisemista. Vaikka alusta voi ja sen pitäisi jatkaa menestystä kehittäjäystävällisenä ympäristönä, niitä on kourallinen sovelluksia (jotka eivät ole osa alustaa), joissa meidän on varmistettava, että Androidin suojausmalli on ehjänä.
Tämän "varmistuksen" tekevät Android Pay ja jopa kolmannen osapuolen sovellukset SafetyNet API: n kautta. Kuten voitte kuvitella, kun maksutietoihin ja - välityspalvelimen mukaan - oikeaan rahaan liittyy, minun kaltaiseni turvahenkilöt hermostuvat erityisen paljon. Minä ja kollegani maksualalla pohdimme pitkään, hartaasti, kuinka varmistaa, että Android Pay toimii laitteella, jossa on hyvin dokumentoitu sovellusliittymäsarja ja hyvin ymmärretty suojaus malli.
Päätimme, että ainoa tapa tehdä tämä Android Payssa oli varmistaa, että Android-laite läpäisee yhteensopivuustestipaketin, joka sisältää suojausmallin tarkistukset. Aiempi Google Wallet napauta ja maksa -palvelu oli rakenteeltaan erilainen ja antoi Walletille mahdollisuuden arvioida itsenäisesti jokaisen tapahtuman riskit ennen maksun valtuutusta. Sitä vastoin Android Payssa teemme yhteistyötä maksuverkkojen ja pankkien kanssa todellisten korttitietojesi tokenisoimiseksi ja välittääksemme nämä tunnustiedot vain kauppiaalle. Tämän jälkeen kauppias selvittää nämä tapahtumat kuten perinteiset korttiostot. Tiedän, että monet teistä ovat asiantuntijoita ja tehokäyttäjiä, mutta on tärkeää huomata, että meillä ei todellakaan ole hyvää tapaa ilmaista tietyn tietoturvan vivahteita. kehittäjälaitteen koko maksuekosysteemiin tai sen selvittämiseksi, oletko itse saattanut ryhtyä tiettyihin vastatoimiin hyökkäyksiä vastaan – monet eivät omistaa. " - jasondclinton_google
Vastatessaan mahdollisuuteen, että tämä tarkoitti, että tuki juurtuneelle laitteelle saattaa tulla jonain päivänä, Jason totesi "En tiedä tällä hetkellä tai lähitulevaisuudessa mitään tapaa väittää, että tietty sovellus olisi tietovarasto on suojattu ei-CTS-yhteensopivassa laitteessa. Näin ollen vastaus on toistaiseksi "ei"" ja vastaamalla yhden käyttäjän lausuntoon, että jos hänen pitäisi valita rootin ja Android Payn välillä, he valitsisivat rootin, Jason ilmaisi myötätuntonsa ja väitti toivovansa, että juuri toiminnallisuus olisi mahdollista saavuttaa ilman sitä juurtuminen. Hän on myös ottanut palautetta varoituksen sijoittamisesta Play-kauppaan, jonka mukaan sovellus ei toimi juurtuneilla laitteilla.
Valitettavasti on vahvistettu, että kaikki ei-viralliset koontiversiot eivät läpäise SafetyNetiä, koska järjestelmäkuvaa ei odoteta. Hän jatkoi toteamalla sen. "Yksi tapa ajatella tätä on, että allekirjoitusta voidaan käyttää aikaisemman CTS-läpäisytilan välityspalvelimena. (Jos tarkistaisimme kaikki ytimen luettelemat tiedostot ja puhelinlaitteet päätelläksemme, missä ympäristössä käytämme, jumiutuisimme laitteesi kymmeniksi minuutiksi.) Aloitamme siis tuotantokuvan allekirjoituksesta päätellystä CTS-tilasta ja etsimme sitten asioita, jotka eivät näytä oikealta. Tämä yhteisö on tunnistanut jo useita asioita, joita tarkastelemme: esimerkiksi "su":n läsnäolo." jasondclinton_google
Hän jatkaa XDA: n Android Payta koskevien aiheiden seuraamista, mutta ei voi luvata vastata kaikkiin kommentteihin, mutta kuuntelee varmasti. Jos haluat pysyä ajan tasalla hänen kommenteistaan ketjussa, tarkista tässä. Se on kuitenkin askel oikeaan suuntaan. Nyt kun tiedämme, että he kuuntelevat ja ottavat rakentavaa palautetta vastaan, näemme toivottavasti lisää keskustelua Googlen henkilökunnan ja foorumin jäsenten välillä.