Google drošības inženieris no Mauntinvjū ir pievienojies XDA, lai apspriestu problēmas, kas saistītas ar Android Pay ierīcēs ar saknēm.
Foruma dalībnieks, kurš ir apstiprināts kā Google drošības inženieris ārpus Mauntinvjū, ir pievienojies XDA, lai pārrunājiet problēmas ar Android Pay ierīcēs ar saknes sistēmu, kāpēc tā nedarbosies, un ir apstiprinājusi, ka Google klausās jūsu atsauksmes. Attiecībā uz root piekļuvi un Android Pay viņš ir teicis šo:
"Android lietotāji, kuri ielādē savas ierīces, ir vieni no mūsu dedzīgākajiem faniem, un, kad šī grupa runā, mēs klausāmies. Daži no mums Google tīklā ir klausījušies tādus pavedienus kā šis, un mēs zinām, ka esat mūsos vīlušies. Esmu drošības inženieris, kas strādā lietotnē Android Pay, tāpēc šis pavediens mani pārsteidza īpaši smagi. Es gribēju sazināties ar jums visiem un pateikt, ka mēs jūs dzirdam.
Google ir pilnībā apņēmies uzturēt Android atvērtu, un tas nozīmē, ka jāveicina izstrādātāju veidojumi. Lai gan platforma var un tai vajadzētu turpināt attīstīties kā izstrādātājiem draudzīga vide, ir dažas lietojumprogrammas (kas neietilpst platformā), kurās mums ir jānodrošina Android drošības modelis neskarts.
Šo "nodrošināšanu" veic Android Pay un pat trešo pušu lietojumprogrammas, izmantojot SafetyNet API. Kā jūs visi varētu iedomāties, ja ir iesaistīti maksājumu akreditācijas dati un — izmantojot starpniekserveri — reāla nauda, drošības darbinieki, piemēram, es, kļūst īpaši nervozi. Es un mani kolēģi maksājumu nozarē ilgi un rūpīgi izskatījām, kā nodrošināt Android Pay darbojas ierīcē, kurai ir labi dokumentēts API kopums un labi saprotama drošība modelis.
Mēs secinājām, ka vienīgais veids, kā to izdarīt lietotnē Android Pay, bija nodrošināt, lai Android ierīce izturētu saderības testu komplektu, kas ietver drošības modeļa pārbaudes. Iepriekšējais Google maka pieskaršanās un maksāšanas pakalpojums tika strukturēts citādi, un tas sniedza Makam iespēju neatkarīgi novērtēt katra darījuma risku pirms maksājuma autorizācijas. Turpretim lietotnē Android Pay mēs sadarbojamies ar maksājumu tīkliem un bankām, lai marķierizētu jūsu faktisko kartes informāciju un nodotu šo marķiera informāciju tikai tirgotājam. Pēc tam tirgotājs notīra šos darījumus tāpat kā tradicionālos pirkumus ar karti. Es zinu, ka daudzi no jums ir eksperti un pieredzējuši lietotāji, taču ir svarīgi atzīmēt, ka mums nav īsti laba veida, kā formulēt konkrētas drošības nianses. izstrādātāja ierīci visai maksājumu ekosistēmai vai lai noteiktu, vai jūs personīgi varētu būt veicis īpašus pretpasākumus pret uzbrukumiem — daudzi to nedarītu. ir. " - jasondclinton_google
Atbildot uz iespēju, ka tas nozīmēja, ka kādu dienu var nākt atbalsts sakņotām ierīcēm, sacīja Džeisons "Es nezinu nekādus veidus, kā pašlaik vai tuvākajā nākotnē izteikt apgalvojumu, ka konkrēta lietotne datu krātuve ir drošs ierīcē, kas nav saderīga ar CTS. Līdz ar to pagaidām atbilde ir "nē"un atbildot uz viena lietotāja apgalvojumu, ka, ja viņam būtu jāizvēlas starp root vai Android Pay, viņi izvēlētos root, Džeisons izteica līdzjūtību un apgalvoja, ka vēlas, lai būtu iespējams sasniegt saknes funkcionalitāti bez tā sakņošanās. Viņš ir arī saņēmis atsauksmes par brīdinājuma ievietošanu Play veikalā, norādot, ka lietotne nedarbosies ierīcēs, kurām ir saknes tiesības.
Diemžēl ir apstiprināts, ka neviena neoficiāla versija nevarēs izturēt SafetyNet, jo sistēmas attēls nav gaidāms. Viņš turpināja, norādot, ka. "Viens no veidiem, kā par to domāt, ir tas, ka parakstu var izmantot kā starpniekserveri iepriekšējam CTS nokārtošanas statusam. (Ja mēs skenētu katru kodola uzskaitīto failu un tālruņa ierīci, lai secinātu, kurā vidē mēs darbojamies, mēs jūsu ierīci aizslēgtu uz desmitiem minūšu.) Tātad, mēs sākam ar CTS statusu, kas izriet no ražošanas attēla paraksta, un pēc tam turpinām meklēt lietas, kas neizskatās pareizi. Šī kopiena ir identificējusi diezgan daudzas lietas, kuras mēs jau aplūkojam: piemēram, "su" klātbūtne." - jasondclinton_google
Viņš turpinās uzraudzīt saistītos pavedienus par Android Pay vietnē XDA, taču nevar apsolīt atbildēt uz visiem komentāriem, taču noteikti klausīsies. Lai saņemtu jaunāko informāciju par viņa komentāriem pavedienā, pārbaudiet šeit. Tomēr tas ir solis pareizajā virzienā. Tagad, kad mēs zinām, ka viņi uzklausa un pieņem konstruktīvas atsauksmes, mēs, cerams, redzēsim vairāk diskusiju starp Google darbiniekiem un foruma dalībniekiem.