un ingegnere della sicurezza per Google di Mountain View, si è unito a XDA per discutere dei problemi con Android Pay sui dispositivi rooted
Un membro del forum che è stato confermato lavorare come ingegnere della sicurezza per Google fuori Mountain View, si è iscritto a XDA per farlo discuti i problemi con Android Pay sui dispositivi rooted, perché non funzionerà e ha confermato che Google ti sta ascoltando feedback. Per quanto riguarda l'accesso root e Android Pay ha detto questo:
"Gli utenti Android che eseguono il root dei propri dispositivi sono tra i nostri fan più accaniti e quando questo gruppo parla, ascoltiamo. Alcuni di noi su Google hanno ascoltato discussioni come questa e sappiamo che sei deluso da noi. Sono un ingegnere della sicurezza che lavora su Android Pay e quindi questo thread mi ha colpito particolarmente. Volevo contattare tutti voi e dirvi che vi ascoltiamo.
Google è assolutamente impegnato a mantenere Android aperto e ciò significa incoraggiare le build degli sviluppatori. Sebbene la piattaforma possa e debba continuare a prosperare come ambiente favorevole agli sviluppatori, ce ne sono alcuni applicazioni (che non fanno parte della piattaforma) in cui dobbiamo garantire che sia presente il modello di sicurezza di Android intatto.
Questa "garanzia" viene effettuata da Android Pay e anche da applicazioni di terze parti tramite l'API SafetyNet. Come tutti potrete immaginare, quando sono coinvolte credenziali di pagamento e, per procura, denaro reale, gli addetti alla sicurezza come me diventano ancora più nervosi. Io e i miei colleghi nel settore dei pagamenti abbiamo esaminato a lungo e attentamente come garantire che Android Pay è in esecuzione su un dispositivo che dispone di un set di API ben documentato e di una sicurezza ben compresa modello.
Abbiamo concluso che l'unico modo per farlo per Android Pay era garantire che il dispositivo Android superasse la suite di test di compatibilità, che include i controlli del modello di sicurezza. Il precedente servizio tocca e paga di Google Wallet era strutturato in modo diverso e dava a Wallet la possibilità di valutare in modo indipendente il rischio di ogni transazione prima dell'autorizzazione del pagamento. Al contrario, in Android Pay, collaboriamo con reti di pagamento e banche per tokenizzare i dati effettivi della tua carta e trasmetterli solo al commerciante. Il commerciante quindi cancella queste transazioni come gli acquisti tradizionali con carta. So che molti di voi sono esperti e utenti esperti, ma è importante notare che non disponiamo di un buon modo per articolare le sfumature di sicurezza di un particolare dispositivo dello sviluppatore all'intero ecosistema dei pagamenti o per determinare se personalmente potresti aver adottato particolari contromisure contro gli attacchi, anzi molti non lo farebbero Avere. " - jasondclinton_google
Rispondendo alla possibilità che ciò significhi che un giorno potrebbe arrivare il supporto per il dispositivo rooted, ha affermato Jason "Non conosco alcun modo per affermare attualmente o nel prossimo futuro che una particolare app archivio dati è sicuro su un dispositivo non compatibile con CTS. Pertanto, per ora, la risposta è "no"" e rispondendo all'affermazione di un utente secondo cui se dovesse scegliere tra root e Android Pay, sceglierebbe root, Jason ha espresso le sue condoglianze e ha affermato che avrebbe desiderato che fosse possibile ottenere la funzionalità root senza effettivamente radicamento. Ha anche ricevuto feedback riguardo all'inserimento di un avviso nel Play Store in cui si afferma che l'app non funzionerà su dispositivi rooted.
Sfortunatamente, è stato confermato che qualsiasi build non ufficiale non riuscirà a superare SafetyNet perché l'immagine del sistema non è prevista. Ha continuato affermando che. "Un modo di pensare a questo è che la firma può essere utilizzata come proxy per il precedente stato di passaggio del CTS. (Se dovessimo scansionare ogni file e dispositivo telefonico enumerato dal kernel per dedurre su quale ambiente stiamo eseguendo, impantaneremmo il tuo dispositivo per decine di minuti.) Quindi, iniziamo con lo stato CTS dedotto dalla firma di un'immagine di produzione e poi andiamo alla ricerca di cose che non sembrano giuste. Questa comunità ha già identificato alcune delle cose che stiamo osservando: la presenza di "su", per esempio." - jasondclinton_google
Continuerà a monitorare le discussioni correlate riguardanti Android Pay su XDA, tuttavia, non può promettere di rispondere a tutti i commenti, ma sicuramente ascolterà. Per rimanere aggiornato con i suoi commenti nel thread, controlla Qui. Tuttavia è un passo nella giusta direzione, ora che sappiamo che stanno ascoltando e ricevendo feedback costruttivi, speriamo di vedere più discussioni tra lo staff di Google e i membri del forum.