माउंटेन व्यू से बाहर Google के लिए एक सुरक्षा इंजीनियर, रूट किए गए उपकरणों पर Android Pay के मुद्दों पर चर्चा करने के लिए XDA में शामिल हो गया है
एक फोरम सदस्य जिसकी माउंटेन व्यू से बाहर Google के लिए सुरक्षा इंजीनियर के रूप में काम करने की पुष्टि की गई है, वह XDA में शामिल हो गया है रूट किए गए डिवाइसों पर एंड्रॉइड पे के मुद्दों पर चर्चा करें, यह काम क्यों नहीं करेगा और पुष्टि की है कि Google आपकी बात सुन रहा है प्रतिक्रिया। रूट एक्सेस और Android Pay के संबंध में उन्होंने यह कहा है:
"एंड्रॉइड उपयोगकर्ता जो अपने डिवाइस को रूट करते हैं, वे हमारे सबसे उत्साही प्रशंसकों में से हैं और जब यह समूह बोलता है, तो हम सुनते हैं। Google पर हममें से कुछ लोग इस तरह के थ्रेड सुन रहे हैं और हम जानते हैं कि आप हमसे निराश हैं। मैं एक सुरक्षा इंजीनियर हूं जो एंड्रॉइड पे पर काम करता है और इसलिए इस धागे ने मुझे विशेष रूप से प्रभावित किया। मैं आप सभी तक पहुंचना चाहता था और आपको बताना चाहता था कि हम आपकी बात सुनते हैं।
Google एंड्रॉइड को खुला रखने के लिए पूरी तरह से प्रतिबद्ध है और इसका मतलब डेवलपर निर्माण को प्रोत्साहित करना है। जबकि प्लेटफ़ॉर्म डेवलपर-अनुकूल वातावरण के रूप में विकसित हो सकता है और जारी रहना चाहिए, कुछ मुट्ठी भर हैं एप्लिकेशन (जो प्लेटफ़ॉर्म का हिस्सा नहीं हैं) जहां हमें यह सुनिश्चित करना होगा कि एंड्रॉइड का सुरक्षा मॉडल है अखंड।
यह "सुनिश्चित" एंड्रॉइड पे और यहां तक कि सेफ्टीनेट एपीआई के माध्यम से तीसरे पक्ष के अनुप्रयोगों द्वारा किया जाता है। जैसा कि आप सभी कल्पना कर सकते हैं, जब भुगतान क्रेडेंशियल और - प्रॉक्सी द्वारा - वास्तविक पैसा शामिल होता है, तो मेरे जैसे सुरक्षा लोग अतिरिक्त घबरा जाते हैं। मैंने और भुगतान उद्योग में मेरे समकक्षों ने इस बात पर गहन विचार किया कि एंड्रॉइड को कैसे सुनिश्चित किया जाए पे एक ऐसे डिवाइस पर चल रहा है जिसमें एपीआई का एक अच्छी तरह से प्रलेखित सेट और एक अच्छी तरह से समझी गई सुरक्षा है नमूना।
हमने निष्कर्ष निकाला कि एंड्रॉइड पे के लिए ऐसा करने का एकमात्र तरीका यह सुनिश्चित करना था कि एंड्रॉइड डिवाइस संगतता परीक्षण सूट पास कर ले - जिसमें सुरक्षा मॉडल के लिए जांच शामिल है। पिछली Google वॉलेट टैप-एंड-पे सेवा को अलग तरह से संरचित किया गया था और वॉलेट को भुगतान प्राधिकरण से पहले प्रत्येक लेनदेन के जोखिम का स्वतंत्र रूप से मूल्यांकन करने की क्षमता दी गई थी। इसके विपरीत, एंड्रॉइड पे में, हम आपके वास्तविक कार्ड की जानकारी को टोकन देने के लिए भुगतान नेटवर्क और बैंकों के साथ काम करते हैं और केवल इस टोकन जानकारी को व्यापारी तक पहुंचाते हैं। इसके बाद व्यापारी इन लेनदेन को पारंपरिक कार्ड से की गई खरीदारी की तरह निपटाता है। मैं जानता हूं कि आप में से कई विशेषज्ञ और बिजली उपयोगकर्ता हैं, लेकिन यह ध्यान रखना महत्वपूर्ण है कि हमारे पास वास्तव में किसी विशेष की सुरक्षा बारीकियों को स्पष्ट करने का कोई अच्छा तरीका नहीं है। पूरे भुगतान पारिस्थितिकी तंत्र के लिए डेवलपर डिवाइस या यह निर्धारित करने के लिए कि क्या आपने व्यक्तिगत रूप से हमलों के खिलाफ विशेष जवाबी उपाय किए होंगे - वास्तव में कई लोग नहीं करेंगे पास होना। " - jasondclinton_google
इस संभावना का उत्तर देते हुए कि इसका मतलब है कि रूट किए गए डिवाइस के लिए समर्थन एक दिन आ सकता है, जेसन ने कहा "मैं वर्तमान में या निकट भविष्य में यह दावा करने का कोई तरीका नहीं जानता कि यह किसी विशेष ऐप का है डेटा भंडारण गैर-सीटीएस संगत डिवाइस पर सुरक्षित है। जैसे, अभी के लिए, उत्तर "नहीं" है" और एक उपयोगकर्ता के कथन का उत्तर देते हुए कि यदि उसे रूट और एंड्रॉइड पे के बीच चयन करना हो, तो वे रूट चुनेंगे, जेसन ने अपनी सहानुभूति व्यक्त की और दावा किया कि वह चाहते हैं कि बिना वास्तव में रूट कार्यक्षमता हासिल करना संभव हो जड़ें जमाना उन्होंने प्ले स्टोर में एक चेतावनी डालने के संबंध में भी फीडबैक लिया है जिसमें कहा गया है कि ऐप रूट किए गए डिवाइस पर काम नहीं करेगा।
दुर्भाग्य से, यह पुष्टि की गई है कि सिस्टम छवि अपेक्षित नहीं होने के कारण कोई भी गैर-आधिकारिक निर्माण सेफ्टीनेट को पारित करने में विफल रहेगा। उन्होंने यह कहते हुए अपनी बात जारी रखी. "इसके बारे में सोचने का एक तरीका यह है कि हस्ताक्षर का उपयोग पिछली सीटीएस पासिंग स्थिति के लिए प्रॉक्सी के रूप में किया जा सकता है। (यदि हम यह पता लगाने के लिए कि हम किस वातावरण पर चल रहे हैं, कर्नेल द्वारा गणना की गई प्रत्येक फ़ाइल और फ़ोन डिवाइस को स्कैन करें, तो हम आपके डिवाइस को दसियों मिनट के लिए बंद कर देंगे।) इसलिए, हम उत्पादन छवि हस्ताक्षर द्वारा अनुमानित सीटीएस स्थिति से शुरू करते हैं और फिर उन चीजों की तलाश करते हैं जो सही नहीं लगती हैं। इस समुदाय ने बहुत सी चीज़ों की पहचान कर ली है जिन पर हम पहले ही विचार कर रहे हैं: उदाहरण के लिए, 'सु' की उपस्थिति।" - jasondclinton_google
वह XDA पर Android Pay के संबंध में संबंधित थ्रेड्स की निगरानी करना जारी रखेगा, हालाँकि, वह सभी टिप्पणियों का उत्तर देने का वादा नहीं कर सकता है, लेकिन निश्चित रूप से सुनता रहेगा। थ्रेड में उनकी टिप्पणियों से अपडेट रहने के लिए, जांचें यहाँ. हालाँकि यह सही दिशा में एक कदम है, अब जब हम जानते हैं कि वे सुन रहे हैं और रचनात्मक प्रतिक्रिया ले रहे हैं, तो हमें उम्मीद है कि Google के कर्मचारियों और मंच के सदस्यों के बीच अधिक चर्चा देखने को मिलेगी।