マウンテンビュー在住の Google のセキュリティ エンジニアが、root 化されたデバイスでの Android Pay の問題について話し合うために XDA に参加しました
マウンテン ビュー以外で Google のセキュリティ エンジニアとして働いていることが確認されているフォーラム メンバーは、次の目的で XDA に参加しました。 root化されたデバイスでのAndroid Payの問題、それが機能しない理由について話し合い、Googleがあなたの意見を聞いていることを確認しました フィードバック。 rootアクセスとAndroid Payについて 彼はこう言いました:
「自分のデバイスをルート化している Android ユーザーは私たちの最も熱心なファンの 1 人であり、このグループの話には耳を傾けます。 Google 周辺の何人かはこのようなスレッドを聞いており、皆さんが私たちに失望していることは承知しています。 私は Android Pay に携わるセキュリティ エンジニアなので、このスレッドには特に衝撃を受けました。 私は皆さんに連絡を取り、皆さんの意見を聞いていることを伝えたかったのです。
Google は Android をオープンに保つことに全力を尽くしており、それは開発者のビルドを奨励することを意味します。 このプラットフォームは開発者に優しい環境として成長し続けることができ、また成長し続ける必要がありますが、いくつかの問題があります。 Android のセキュリティ モデルが適切であることを確認する必要があるアプリケーション (プラットフォームの一部ではない) 無傷。
その「保証」は、Android Pay だけでなく、SafetyNet API を介してサードパーティのアプリケーションによっても行われます。 皆さんもご想像のとおり、支払いの認証情報と、代理で実際のお金が関係すると、私のようなセキュリティ担当者は余計に緊張します。 私と決済業界の同僚は、Android が Pay は、十分に文書化された一連の API と十分に理解されたセキュリティを備えたデバイス上で実行されています。 モデル。
Android Pay でこれを行う唯一の方法は、Android デバイスがセキュリティ モデルのチェックを含む互換性テスト スイートに合格することを確認することであると私たちは結論付けました。 以前の Google ウォレットのタップアンドペイ サービスは構造が異なり、支払いの承認前にウォレットにすべての取引のリスクを個別に評価できる機能が与えられていました。 対照的に、Android Pay では、決済ネットワークや銀行と協力して実際のカード情報をトークン化し、このトークン情報のみを販売者に渡します。 その後、販売者は従来のカード購入と同様にこれらの取引を決済します。 皆さんの多くが専門家やパワーユーザーであることは承知していますが、特定のセキュリティの微妙な違いを明確に表現する良い方法がないことに注意することが重要です。 開発者のデバイスを決済エコシステム全体に公開したり、攻撃に対して個人的に特別な対策を講じたかどうかを判断したりするため、実際に多くの人はそうではありません。 持っている。 "
- jasondclinton_google
これは、ルート化されたデバイスのサポートがいつか来るかもしれないことを意味する可能性に対して、ジェイソン氏は述べた 「現在、または近い将来、特定のアプリが データストア CTS 非互換デバイス上でも安全です。 したがって、今のところ、答えは「ノー」です」と、root か Android Pay のどちらかを選択しなければならない場合は root を選ぶだろうというあるユーザーの発言に返信し、 ジェイソンは同情の意を表し、実際に何もせずに root 機能を実現できればよかったのにと主張しました。 発根中。 また、アプリがルート化されたデバイスでは動作しないことを示す警告を Play ストアに掲載することに関するフィードバックも受け付けました。
残念ながら、システム イメージが予期されていないため、非公式ビルドは SafetyNet を通過できないことが確認されています。 彼はこう続けて述べた。 「これについての考え方の 1 つは、署名を以前の CTS 合格ステータスの代理として使用できるということです。 (カーネルによって列挙されたすべてのファイルと電話デバイスをスキャンして、どのような環境で実行されているかを推測した場合、デバイスは数十分にわたって停止することになります。) したがって、製品イメージの署名によって推測される CTS ステータスから始めて、正しく見えないものを探し始めます。 このコミュニティは、私たちが注目しているもののかなりの数をすでに特定しています: たとえば、「す」の存在です。」 jasondclinton_google
同氏は今後も XDA 上の Android Pay に関する関連スレッドの監視を続ける予定ですが、すべてのコメントに返信することはお約束できませんが、必ず耳を傾けるつもりです。 スレッド内の彼のコメントを最新の状態に保つには、以下をチェックしてください。 ここ. しかし、これは正しい方向への一歩であり、彼らが耳を傾け、建設的なフィードバックを取り入れていることがわかったので、Google のスタッフとフォーラムのメンバーの間でさらに議論が行われることを期待しています。