seorang Insinyur Keamanan untuk Google dari Mountain View, telah bergabung dengan XDA untuk membahas masalah Android Pay pada perangkat yang di-rooting
Seorang anggota forum yang telah dikonfirmasi bekerja sebagai Insinyur Keamanan untuk Google di luar Mountain View, telah bergabung dengan XDA untuk melakukannya diskusikan masalah dengan Android Pay pada perangkat yang di-rooting, mengapa itu tidak berfungsi dan telah mengonfirmasi bahwa Google mendengarkan Anda masukan. Mengenai akses root dan Android Pay dia telah mengatakan ini:
" Pengguna Android yang melakukan root pada perangkat mereka adalah salah satu penggemar paling bersemangat kami dan ketika grup ini berbicara, kami mendengarkan. Beberapa dari kami di Google telah mendengarkan topik seperti ini dan kami tahu Anda kecewa pada kami. Saya seorang insinyur keamanan yang bekerja pada Android Pay dan thread ini sangat mengejutkan saya. Saya ingin menghubungi Anda semua dan memberi tahu Anda bahwa kami mendengarkan Anda.
Google benar-benar berkomitmen untuk menjaga Android tetap terbuka dan itu berarti mendorong pengembangan pengembang. Meskipun platform ini dapat dan harus terus berkembang sebagai lingkungan yang ramah pengembang, ada beberapa di antaranya aplikasi (yang bukan bagian dari platform) di mana kita harus memastikan model keamanan Android utuh.
"Pemastikan" itu dilakukan oleh Android Pay dan bahkan aplikasi pihak ketiga melalui SafetyNet API. Seperti yang mungkin Anda bayangkan, ketika kredensial pembayaran dan--melalui proxy--uang sungguhan terlibat, petugas keamanan seperti saya menjadi sangat gugup. Saya dan rekan-rekan saya di industri pembayaran telah lama memikirkan cara memastikan bahwa Android Pembayaran berjalan pada perangkat yang memiliki kumpulan API yang terdokumentasi dengan baik dan keamanan yang dipahami dengan baik model.
Kami menyimpulkan bahwa satu-satunya cara untuk melakukan hal ini untuk Android Pay adalah memastikan bahwa perangkat Android lulus rangkaian uji kompatibilitas--yang mencakup pemeriksaan model keamanan. Layanan ketuk dan bayar Google Wallet sebelumnya memiliki struktur yang berbeda dan memberikan Wallet kemampuan untuk mengevaluasi risiko setiap transaksi secara independen sebelum otorisasi pembayaran. Sebaliknya, di Android Pay, kami bekerja sama dengan jaringan pembayaran dan bank untuk memberi token pada informasi kartu Anda yang sebenarnya dan hanya meneruskan informasi token ini ke pedagang. Pedagang kemudian menyelesaikan transaksi ini seperti pembelian kartu tradisional. Saya tahu banyak di antara Anda yang merupakan ahli dan pengguna tingkat lanjut, namun penting untuk dicatat bahwa kami tidak memiliki cara yang baik untuk mengartikulasikan nuansa keamanan tertentu. perangkat pengembang ke seluruh ekosistem pembayaran atau untuk menentukan apakah Anda secara pribadi mungkin telah mengambil tindakan pencegahan tertentu terhadap serangan--bahkan banyak yang tidak akan melakukannya memiliki. " - jasondclinton_google
Menjawab kemungkinan bahwa ini berarti bahwa dukungan untuk perangkat yang di-root suatu hari nanti akan datang, kata Jason “Saya tidak tahu cara apa pun saat ini atau dalam waktu dekat untuk membuat pernyataan bahwa aplikasi tertentu penyimpanan data aman pada perangkat yang tidak kompatibel dengan CTS. Oleh karena itu, untuk saat ini, jawabannya adalah “tidak”." dan membalas pernyataan salah satu pengguna bahwa jika dia harus memilih antara root dan Android Pay, mereka akan memilih root, Jason memberikan simpatinya dan menyatakan bahwa dia berharap dapat mencapai fungsionalitas root tanpa sebenarnya rooting. Dia juga menerima masukan mengenai penempatan peringatan di play store yang menyatakan bahwa aplikasi tidak akan berfungsi pada perangkat yang di-rooting.
Sayangnya, telah dipastikan bahwa build non-resmi apa pun akan gagal melewati SafetyNet karena image sistem tidak diharapkan. Dia melanjutkan dengan menyatakan bahwa. “Salah satu cara memikirkan hal ini adalah tanda tangan dapat digunakan sebagai proksi status kelulusan CTS sebelumnya. (Jika kami memindai setiap file dan perangkat telepon yang dihitung oleh kernel untuk menyimpulkan lingkungan apa yang sedang kami jalankan, kami akan menghentikan perangkat Anda selama puluhan menit.) Jadi, kita mulai dengan status CTS yang disimpulkan oleh tanda gambar produksi dan kemudian mencari hal-hal yang tidak beres. Komunitas ini telah mengidentifikasi beberapa hal yang sudah kami lihat: kehadiran 'su', misalnya." - jasondclinton_google
Dia akan terus memantau thread terkait mengenai Android Pay di XDA, namun dia tidak bisa berjanji untuk membalas semua komentar, tapi pasti akan mendengarkan. Untuk tetap mengetahui komentarnya di thread, periksa Di Sini. Namun hal ini merupakan langkah yang tepat, setelah kami mengetahui bahwa mereka mendengarkan dan menerima masukan yang membangun, semoga kita akan melihat lebih banyak diskusi antara staf Google dan anggota forum.