„Google“ saugos inžinierius iš Mauntin Vju prisijungė prie XDA, kad aptartų „Android Pay“ problemas įsišaknijusiuose įrenginiuose
Forumo narys, kuris buvo patvirtintas dirbantis „Google“ saugos inžinieriumi iš Mauntin Vju, prisijungė prie XDA, kad galėtų aptarkite problemas, susijusias su „Android Pay“ įsišaknijusiuose įrenginiuose, kodėl jis neveiks, ir patvirtino, kad „Google“ klausosi jūsų Atsiliepimas. Dėl root prieigos ir „Android Pay“. jis pasakė štai ką:
„Android naudotojai, kurie įsigyja savo įrenginius, yra vieni aršiausių mūsų gerbėjų ir kai ši grupė kalba, mes klausomės. Keletas iš mūsų „Google“ klausėsi tokių temų kaip ši ir žinome, kad esate mumis nusivylę. Esu saugos inžinierius, dirbantis su „Android Pay“, todėl ši tema mane ypač sukrėtė. Norėjau susisiekti su jumis visais ir pasakyti, kad mes jus girdime.
„Google“ yra visiškai įsipareigojusi išlaikyti „Android“ atvirą, o tai reiškia, kad reikia skatinti kūrėjų kūrimą. Nors platforma gali ir turėtų toliau klestėti kaip kūrėjams palanki aplinka, yra keletas programos (kurios nėra platformos dalis), kuriose turime užtikrinti, kad „Android“ saugos modelis yra nepažeistas.
Tą „užtikrinimą“ atlieka „Android Pay“ ir net trečiųjų šalių programos per „SafetyNet“ API. Kaip jūs visi galite įsivaizduoti, kai kalbama apie mokėjimo kredencialus ir (pagal įgaliojimą) tikrus pinigus, tokie saugumo darbuotojai kaip aš labiau nervinasi. Aš ir mano kolegos mokėjimų pramonėje ilgai ir sunkiai ieškojome, kaip užtikrinti, kad „Android“. „Pay“ veikia įrenginyje, kuriame yra gerai dokumentuotas API rinkinys ir gerai suprantama sauga modelis.
Padarėme išvadą, kad vienintelis būdas tai padaryti naudojant „Android Pay“ – užtikrinti, kad „Android“ įrenginys atitiktų suderinamumo testų rinkinį, į kurį įtrauktos saugos modelio patikros. Ankstesnė „Google“ piniginės palieskite ir mokėkite paslauga buvo struktūrizuota kitaip ir suteikė Piniginei galimybę nepriklausomai įvertinti kiekvienos operacijos riziką prieš suteikiant mokėjimo patvirtinimą. Priešingai, naudodami „Android Pay“ bendradarbiaujame su mokėjimo tinklais ir bankais, kad patvirtintume tikrąją kortelės informaciją ir perduotume šią prieigos rakto informaciją tik prekybininkui. Tada prekybininkas išgrynina šias operacijas kaip tradicinius pirkinius kortele. Žinau, kad daugelis iš jūsų yra ekspertai ir patyrę vartotojai, tačiau svarbu pažymėti, kad mes iš tikrųjų neturime tinkamo būdo išreikšti konkretaus saugumo niuansus. kūrėjo įrenginį visai mokėjimų ekosistemai arba nustatyti, ar jūs asmeniškai galėjote imtis konkrečių atsakomųjų priemonių prieš atakas – iš tikrųjų daugelis to nedarytų. turėti. " - jasondclinton_google
Atsakydamas į galimybę, kad tai reiškė, kad vieną dieną gali atsirasti įsišaknijusių įrenginių palaikymas, pareiškė Jasonas „Nežinau, kaip šiuo metu ar artimiausioje ateityje būtų galima teigti, kad tam tikra programa duomenų saugykla yra saugus su CTS nesuderinamame įrenginyje. Taigi, kol kas atsakymas yra „ne““ ir atsakydamas į vieno vartotojo teiginį, kad jei jis turėtų pasirinkti tarp root ir Android Pay, jie pasirinktų root, Jasonas pareiškė užuojautą ir tvirtino, kad norėtų, kad būtų įmanoma pasiekti pagrindinę funkciją be iš tikrųjų įsišaknijimas. Jis taip pat atsiliepė apie įspėjimą „Play“ parduotuvėje, kuriame teigiama, kad programa neveiks įrenginiuose, kuriuose yra įsišaknijimas.
Deja, buvo patvirtinta, kad bet kokia neoficiali versija nepradės „SafetyNet“, nes sistemos vaizdo nesitikimas. Jis tęsė tai teigdamas. „Vienas iš būdų apie tai galvoti yra tai, kad parašas gali būti naudojamas kaip ankstesnės CTS išlaikymo būsenos tarpinis serveris. (Jei turėtume nuskaityti kiekvieną branduolio surašytą failą ir telefono įrenginį, kad padarytume išvadą, kokioje aplinkoje dirbame, jūsų įrenginį užblokuotume dešimčiai minučių.) Taigi, pradedame nuo CTS būsenos, nulemtos gamybos vaizdo parašo, o tada ieškome dalykų, kurie atrodo netinkamai. Ši bendruomenė jau nustatė nemažai dalykų, į kuriuos mes jau žiūrime: pavyzdžiui, „su“ buvimas. jasondclinton_google
Jis ir toliau stebės susijusias temas, susijusias su „Android Pay“ XDA, tačiau negali pažadėti atsakyti į visus komentarus, bet tikrai klausys. Norėdami neatsilikti nuo jo komentarų gijoje, patikrinkite čia. Tačiau tai žingsnis teisinga kryptimi. Dabar, kai žinome, kad jie klausosi ir priima konstruktyvius atsiliepimus, tikimės, kad sulauksime daugiau diskusijų tarp „Google“ darbuotojų ir forumo narių.