უსაფრთხოების ინჟინერი Google-ისთვის Mountain View-დან, შეუერთდა XDA-ს, რათა განიხილოს პრობლემები Android Pay-თან დაფუძნებულ მოწყობილობებზე
ფორუმის წევრი, რომელიც დადასტურებულია, რომ მუშაობს Google-ის უსაფრთხოების ინჟინერად Mountain View-დან, შეუერთდა XDA-ს, რათა განიხილეთ Android Pay-თან დაკავშირებული პრობლემები root მოწყობილობებზე, რატომ არ იმუშავებს და დაადასტურა, რომ Google უსმენს თქვენს უკუკავშირი. რაც შეეხება root წვდომას და Android Pay-ს მან თქვა ეს:
"Android-ის მომხმარებლები, რომლებიც ძირს უთხრის თავიანთ მოწყობილობებს, ჩვენი ყველაზე მგზნებარე თაყვანისმცემლები არიან და როდესაც ეს ჯგუფი საუბრობს, ჩვენ ვუსმენთ. რამდენიმე ჩვენგანი Google-ის გარშემო უსმენდა მსგავს თემებს და ვიცით, რომ ჩვენგან იმედგაცრუებული ხართ. მე ვარ უსაფრთხოების ინჟინერი, რომელიც ვმუშაობ Android Pay-ზე და ამიტომ ეს თემა განსაკუთრებით მძიმედ დამემართა. მინდოდა ყველას მოგმართოთ და გეთქვათ, რომ გვესმის.
Google აბსოლუტურად ერთგულია Android-ის ღიად შენარჩუნებაზე და ეს ნიშნავს დეველოპერის კონსტრუქციების წახალისებას. მიუხედავად იმისა, რომ პლატფორმას შეუძლია და უნდა განაგრძოს განვითარება, როგორც დეველოპერებისთვის ხელსაყრელი გარემო, არსებობს რამდენიმე აპლიკაციები (რომლებიც არ არის პლატფორმის ნაწილი), სადაც ჩვენ უნდა დავრწმუნდეთ, რომ არის Android-ის უსაფრთხოების მოდელი ხელუხლებელი.
ეს "უზრუნველყოფა" ხორციელდება Android Pay-ს და მესამე მხარის აპლიკაციების მიერ SafetyNet API-ის მეშვეობით. როგორც თქვენ წარმოგიდგენიათ, როდესაც გადახდის სერთიფიკატები და - მარიონეტული პირის მეშვეობით - რეალური ფულია ჩართული, უსაფრთხოების ადამიანები, როგორიც მე ვარ, დამატებით ნერვიულობენ. მე და ჩემმა კოლეგებმა გადახდების ინდუსტრიაში დიდხანს და რთულად განვიხილეთ, თუ როგორ უნდა დავრწმუნდეთ, რომ Android გადახდა მუშაობს მოწყობილობაზე, რომელსაც აქვს API-ების კარგად დოკუმენტირებული ნაკრები და კარგად გააზრებული უსაფრთხოება მოდელი.
ჩვენ დავასკვენით, რომ Android Pay-სთვის ამის გაკეთების ერთადერთი გზა იყო იმის უზრუნველყოფა, რომ Android მოწყობილობამ გაიარა თავსებადობის ტესტის ნაკრები - რომელიც მოიცავს უსაფრთხოების მოდელის შემოწმებებს. Google Wallet-ის ადრინდელი შეხება-და-გადახდა სერვისი სხვაგვარად იყო სტრუქტურირებული და მისცა საფულეს შესაძლებლობა დამოუკიდებლად შეეფასებინა ყოველი ტრანზაქციის რისკი გადახდის ავტორიზაციამდე. ამის საპირისპიროდ, Android Pay-ში ჩვენ ვმუშაობთ გადახდის ქსელებთან და ბანკებთან თქვენი ბარათის რეალური ინფორმაციის ტოკენიზაციისთვის და მხოლოდ მოვაჭრეებს გადავცემთ ამ ტოკენის ინფორმაციას. ვაჭარი შემდეგ ასუფთავებს ამ ტრანზაქციებს, როგორც ტრადიციული ბარათის შესყიდვები. მე ვიცი, რომ ბევრი თქვენგანი ექსპერტი და ძლიერი მომხმარებელია, მაგრამ მნიშვნელოვანია აღინიშნოს, რომ ჩვენ ნამდვილად არ გვაქვს კარგი გზა კონკრეტული უსაფრთხოების ნიუანსების ჩამოყალიბებისთვის. დეველოპერის მოწყობილობა გადახდების მთელ ეკოსისტემაზე ან იმის დასადგენად, შეიძლება თუ არა თქვენ პირადად მიგეღოთ კონკრეტული საპასუხო ზომები თავდასხმების წინააღმდეგ - მართლაც, ბევრი არ მიიღებს აქვს. " - jasondclinton_google
პასუხის გაცემის შესაძლებლობაზე, რომ ეს ნიშნავს, რომ Rooted მოწყობილობის მხარდაჭერა შეიძლება ერთ დღეს მოვიდეს, ჯეისონმა განაცხადა ”მე არ ვიცი რაიმე გზა, რომ ამჟამად ან უახლოეს მომავალში გავაკეთო მტკიცება, რომ კონკრეტული აპლიკაცია მონაცემთა მაღაზია უსაფრთხოა არა-CTS თავსებად მოწყობილობაზე. როგორც ასეთი, ჯერჯერობით პასუხი არის "არა""და უპასუხა ერთი მომხმარებლის განცხადებას, რომ თუ მას მოუწევდა არჩევანის გაკეთება root და Android Pay-ს შორის, ისინი აირჩევდნენ root, ჯეისონმა თანაგრძნობა გამოხატა და თქვა, რომ სურდა, რომ შესაძლებელი ყოფილიყო root ფუნქციონირების მიღწევა რეალურად დაფესვიანება. მან ასევე მიიღო გამოხმაურება Play Store-ში გაფრთხილების განთავსებასთან დაკავშირებით, სადაც ნათქვამია, რომ აპლიკაცია არ იმუშავებს root მოწყობილობებზე.
სამწუხაროდ, დადასტურდა, რომ ნებისმიერი არაოფიციალური კონსტრუქცია ვერ გაივლის SafetyNet-ს იმის გამო, რომ სისტემის სურათი არ არის მოსალოდნელი. ამის შესახებ მან განაგრძო. „ამაზე ფიქრის ერთ-ერთი გზა არის ის, რომ ხელმოწერა შეიძლება გამოყენებულ იქნას როგორც პროქსი წინა CTS-ის ჩაბარების სტატუსისთვის. (თუ ჩვენ დაგვემოწმება ბირთვის მიერ ჩამოთვლილი ყველა ფაილი და ტელეფონის მოწყობილობა, რათა დავასკვნათ, რომელ გარემოში ვმუშაობთ, თქვენს მოწყობილობას ათობით წუთის განმავლობაში დავტვირთავთ.) ასე რომ, ჩვენ ვიწყებთ CTS სტატუსით, რომელიც გამოითვლება წარმოების გამოსახულების ხელმოწერით და შემდეგ ვაგრძელებთ იმ ნივთების ძიებას, რომლებიც არასწორად გამოიყურება. ამ საზოგადოებამ გამოავლინა საკმაოდ ბევრი რამ, რასაც ჩვენ უკვე ვუყურებთ: მაგალითად, "სუ"-ს არსებობა." - jasondclinton_google
ის გააგრძელებს Android Pay-თან დაკავშირებული თემების მონიტორინგს XDA-ზე, თუმცა, ვერ გპირდებათ, რომ ყველა კომენტარს უპასუხებს, მაგრამ აუცილებლად მოუსმენს. იმისათვის, რომ განაახლოთ მისი კომენტარები თემაში, შეამოწმეთ აქ. თუმცა, ეს სწორი მიმართულებით გადადგმული ნაბიჯია, ახლა, როცა ვიცით, რომ ისინი უსმენენ და იღებენ კონსტრუქციულ გამოხმაურებას, იმედია ვიხილავთ მეტ დისკუსიას Google-ის თანამშრომლებსა და ფორუმის წევრებს შორის.