Mountain View 출신의 Google 보안 엔지니어가 루팅된 기기의 Android Pay 관련 문제를 논의하기 위해 XDA에 합류했습니다.
Mountain View에서 Google의 보안 엔지니어로 근무하고 있는 것으로 확인된 포럼 회원이 XDA에 가입했습니다. 루팅된 기기에서 Android Pay 관련 문제, Android Pay가 작동하지 않는 이유에 대해 논의하고 Google이 귀하의 의견을 듣고 있음을 확인했습니다. 피드백. 루트 액세스 및 Android Pay 관련 그는 이렇게 말했습니다.
" 기기를 루팅한 Android 사용자는 우리의 가장 열렬한 팬 중 하나이며 이 그룹이 말할 때 우리는 경청합니다. Google 주변의 몇몇 사람들은 이와 같은 스레드를 듣고 있으며 귀하가 우리에게 실망했다는 것을 알고 있습니다. 저는 Android Pay를 담당하는 보안 엔지니어이기 때문에 이 스레드가 저에게 특히 큰 충격을 주었습니다. 저는 여러분 모두에게 다가가서 우리가 여러분의 말을 듣고 있다고 말하고 싶었습니다.
Google은 Android를 개방적으로 유지하기 위해 최선을 다하고 있으며 이는 개발자 빌드를 장려한다는 것을 의미합니다. 플랫폼은 개발자 친화적인 환경으로 계속 번창할 수 있고 그래야 하지만, 몇 가지 문제가 있습니다. Android의 보안 모델이 다음과 같은지 확인해야 하는 애플리케이션(플랫폼의 일부가 아님) 손대지 않은.
이러한 '보장'은 Android Pay는 물론 SafetyNet API를 통한 타사 애플리케이션에서도 수행됩니다. 여러분 모두가 상상할 수 있듯이, 지불 자격 증명과 대리로 실제 돈이 관련되면 저와 같은 보안 담당자는 더욱 긴장하게 됩니다. 저와 결제 업계의 동료들은 Android가 어떻게 작동하는지 오랫동안 열심히 살펴보았습니다. Pay는 잘 문서화된 API 세트와 잘 이해된 보안을 갖춘 장치에서 실행됩니다. 모델.
우리는 Android Pay에서 이를 수행하는 유일한 방법은 Android 기기가 보안 모델 검사를 포함하는 호환성 테스트 제품군을 통과하는지 확인하는 것이라고 결론지었습니다. 이전 Google 지갑 탭앤페이 서비스는 다르게 구성되었으며 결제 승인 전에 모든 거래의 위험을 독립적으로 평가할 수 있는 기능을 지갑에 제공했습니다. 반면 Android Pay에서는 결제 네트워크 및 은행과 협력하여 실제 카드 정보를 토큰화하고 이 토큰 정보만 판매자에게 전달합니다. 그러면 판매자는 기존 카드 구매처럼 이러한 거래를 처리합니다. 여러분 중 상당수가 전문가이자 고급 사용자라는 것을 알고 있습니다. 그러나 특정 보안의 미묘한 차이를 명확하게 표현할 수 있는 좋은 방법이 없다는 점에 유의하는 것이 중요합니다. 전체 결제 생태계에 개발자 장치를 배포하거나 귀하가 개인적으로 공격에 대해 특별한 대응 조치를 취했는지 여부를 확인하기 위해 실제로 많은 사람들이 그렇지 않을 것입니다. 가지다. "
- jasondclinton_google
이것이 루팅된 장치에 대한 지원이 언젠가 올 수 있다는 것을 의미할 가능성에 대해 Jason은 다음과 같이 말했습니다. "현재 또는 가까운 미래에 특정 앱이 데이터 저장소 CTS와 호환되지 않는 기기에서는 안전합니다. 따라서 현재로서는 대답은 "아니요"입니다."라는 질문에 루트와 Android Pay 중 하나를 선택해야 한다면 루트를 선택할 것이라는 한 사용자의 말에 답하면서, Jason은 동정심을 표하며 실제로 아무런 조치 없이도 루트 기능을 달성할 수 있었으면 좋겠다고 주장했습니다. 응원. 그는 또한 앱이 루팅된 기기에서는 작동하지 않는다는 경고를 Play 스토어에 표시하는 것과 관련하여 피드백을 받았습니다.
안타깝게도 시스템 이미지가 예상되지 않아 비공식 빌드가 SafetyNet을 통과하지 못하는 것으로 확인되었습니다. 그는 계속해서 이렇게 말했습니다. "이것에 대해 생각하는 한 가지 방법은 서명이 이전 CTS 통과 상태에 대한 프록시로 사용될 수 있다는 것입니다. (우리가 실행 중인 환경을 추론하기 위해 커널에 의해 열거된 모든 파일과 전화 장치를 스캔한다면 수십 분 동안 장치를 정지시킬 것입니다.) 그래서 우리는 프로덕션 이미지 서명을 통해 유추된 CTS 상태부터 시작하여 이상해 보이는 것을 찾아 나섭니다. 이 커뮤니티는 이미 우리가 보고 있는 것 중 상당수를 확인했습니다. 예를 들어 'su'의 존재입니다." - jasondclinton_google
그는 XDA의 Android Pay 관련 스레드를 계속 모니터링할 예정이지만 모든 댓글에 답변을 드릴 것이라고 약속할 수는 없지만 확실히 듣고 있을 것입니다. 스레드에서 그의 의견을 최신 상태로 유지하려면 다음을 확인하세요. 여기. 그러나 이는 올바른 방향으로 나아가는 단계입니다. 이제 그들이 듣고 건설적인 피드백을 받고 있다는 것을 알았으므로 Google 직원과 포럼 회원 간에 더 많은 논의가 이루어지기를 바랍니다.