sigurnosni inženjer za Google iz Mountain Viewa, pridružio se XDA-i kako bi razgovarali o problemima s Android Payom na rootanim uređajima
Član foruma za kojeg je potvrđeno da radi kao sigurnosni inženjer za Google iz Mountain Viewa, pridružio se XDA-u kako bi razgovarati o problemima s Android Payom na rootanim uređajima, zašto ne radi i potvrdio je da Google sluša vaše Povratne informacije. Što se tiče root pristupa i Android Paya rekao je ovo:
" Android korisnici koji rootaju svoje uređaje među našim su najvatrenijim obožavateljima i kada ova grupa govori, mi slušamo. Nekoliko nas iz Googlea slušalo je teme poput ove i znamo da ste razočarani u nas. Ja sam inženjer sigurnosti koji radi na Android Payu, pa mi se ova tema posebno dopala. Htio sam vam se svima obratiti i reći vam da vas čujemo.
Google je apsolutno predan održavanju Androida otvorenim, a to znači poticanje razvoja programera. Iako platforma može i treba nastaviti napredovati kao okruženje prilagođeno programerima, postoji pregršt takvih aplikacije (koje nisu dio platforme) gdje moramo osigurati da je sigurnosni model Androida netaknuta.
To "osiguranje" obavlja Android Pay, pa čak i aplikacije trećih strana kroz SafetyNet API. Kao što svi možete zamisliti, kada su vjerodajnice za plaćanje i--preko posrednika-pravi novac uključeni, zaštitari poput mene postaju dodatno nervozni. Ja i moji kolege u industriji plaćanja dugo smo i pažljivo razmatrali kako osigurati da Android Pay radi na uređaju koji ima dobro dokumentiran skup API-ja i dobro poznatu sigurnost model.
Zaključili smo da je jedini način da to učinimo za Android Pay bio osigurati da Android uređaj prođe skup testova kompatibilnosti -- koji uključuje provjere sigurnosnog modela. Ranija usluga dodirni i plati Google novčanika bila je drugačije strukturirana i dala je novčaniku mogućnost neovisne procjene rizika svake transakcije prije autorizacije plaćanja. Nasuprot tome, u Android Payu surađujemo s mrežama za plaćanje i bankama kako bismo tokenizirali vaše stvarne podatke o kartici i samo proslijedili te podatke o tokenu trgovcu. Trgovac zatim obračunava te transakcije poput tradicionalnih kupnji karticom. Znam da su mnogi od vas stručnjaci i napredni korisnici, ali važno je napomenuti da zapravo nemamo dobar način da artikuliramo sigurnosne nijanse određenog razvojnog uređaja za cijeli ekosustav plaćanja ili kako bismo utvrdili jeste li vi osobno možda poduzeli određene protumjere protiv napada - mnogi doista ne bi imati. " - jasondclinton_google
Odgovarajući na mogućnost da to znači da bi podrška za rootane uređaje jednog dana mogla doći, rekao je Jason "Ne znam ni za kakav način da trenutno ili u bliskoj budućnosti dam tvrdnju da je određena aplikacija pohrana podataka siguran je na uređaju koji nije kompatibilan s CTS-om. Kao takav, za sada je odgovor "ne"" i odgovarajući na izjavu jednog korisnika da bi, kad bi morao birati između roota i Android Paya, izabrao root, Jason je izrazio svoje simpatije i tvrdio da bi volio da je moguće postići root funkcionalnost bez zapravo navijati. Također je primio povratne informacije u vezi s postavljanjem upozorenja u Play Store u kojem se navodi da aplikacija neće raditi na rootanim uređajima.
Nažalost, potvrđeno je da bilo koja neslužbena verzija neće proći SafetyNet jer se ne očekuje slika sustava. Nastavio je izjavom da. "Jedan od načina razmišljanja o tome je da se potpis može koristiti kao zamjena za prethodni status prolaznosti CTS-a. (Kada bismo skenirali svaku datoteku i telefonski uređaj nabrojan od strane kernela kako bismo zaključili u kakvom okruženju radimo, zaglavili bismo vaš uređaj na desetke minuta.) Dakle, počinjemo s CTS statusom izvedenim potpisom proizvodne slike, a zatim nastavljamo tražiti stvari koje ne izgledaju dobro. Ova je zajednica već identificirala dosta stvari koje promatramo: prisutnost, na primjer, 'su'." - jasondclinton_google
Nastavit će pratiti povezane teme u vezi s Android Payom na XDA, međutim, ne može obećati da će odgovoriti na sve komentare, ali će svakako slušati. Kako biste bili u tijeku s njegovim komentarima u temi, provjerite ovdje. Međutim, to je korak u pravom smjeru, sada kada znamo da slušaju i primaju konstruktivne povratne informacije, nadamo se da ćemo vidjeti više rasprava između Googleovog osoblja i članova foruma.