Android Pay werkt niet langer met systeemloze root

Kraan. Betalen. Klaar. Als u de eigenaar bent van een Android-telefoon met NFC-ondersteuning met 4.4+, dan heeft u er waarschijnlijk wel eens van gehoord Android Pay. De app ondersteunt het toevoegen van kaarten van veel verschillende banken en werkt bij veel grote retailers, en is ook vrij eenvoudig in te stellen. Google is praktisch bedelenjij om je aan te melden!

Dat wil zeggen, tenzij u een hoofdgebruiker bent met een geroot apparaat. Voor ons moesten we kiezen tussen root-toegang en alle voordelen die dit met zich meebrengt (advertentieblokkering, thema's, Xposed, enz.) en het gebruik van Android Pay. Google heeft verklaard dat het beperken van Android Pay-toegang voor geroote gebruikers een voorzorgsmaatregel was om elke kans op inbreuken op de financiële veiligheid te voorkomen.

Hoewel het platform kan en moet blijven floreren als een ontwikkelaarsvriendelijke omgeving, zijn er een handvol applicaties (die geen deel uitmaken van het platform) waarbij we ervoor moeten zorgen dat het beveiligingsmodel van Android klopt intact.

Dat “zorgen” wordt gedaan door Android Pay en zelfs applicaties van derden via de SafetyNet API. Zoals jullie je allemaal kunnen voorstellen, worden beveiligingsmensen zoals ik extra nerveus als er betalingsgegevens en (bij volmacht) echt geld bij betrokken zijn. Ik en mijn collega's in de betalingssector hebben lang en intensief gekeken naar hoe we ervoor konden zorgen dat Android Pay draait op een apparaat met een goed gedocumenteerde set API’s en een goed begrepen beveiliging model.

We kwamen tot de conclusie dat de enige manier om dit voor Android Pay te doen, was ervoor te zorgen dat het Android-apparaat de compatibiliteitstestsuite doorstaat, inclusief controles voor het beveiligingsmodel. De eerdere tap-and-pay-service van Google Wallet was anders gestructureerd en gaf Wallet de mogelijkheid om onafhankelijk het risico van elke transactie te evalueren voordat de betaling werd goedgekeurd. In Android Pay werken we daarentegen samen met betalingsnetwerken en banken om uw daadwerkelijke kaartgegevens te tokeniseren en deze tokengegevens alleen door te geven aan de verkoper. De handelaar vereffent deze transacties vervolgens zoals traditionele kaartaankopen. Ik weet dat velen van jullie experts en hoofdgebruikers zijn, maar het is belangrijk op te merken dat we niet echt een goede manier hebben om de beveiligingsnuances van een bepaald onderwerp onder woorden te brengen. ontwikkelaarsapparaat naar het hele betalingsecosysteem of om te bepalen of u persoonlijk bepaalde tegenmaatregelen tegen aanvallen zou hebben genomen – velen zouden dat zelfs niet doen hebben. - jasondclinton_google, een beveiligingsingenieur bij Google spreken op onze forums

Gelukkig vindt XDA altijd een manier (hoewel deze keer onbedoeld). Door uw apparaat te rooten zonder wijzigingen aan te brengen in de /system-partitie (d.w.z. systeemloze wortel door XDA Senior erkende ontwikkelaar en ontwikkelaarsbeheerder Kettingvuur), konden gebruikers de rootbeperking omzeilen en toegang tot Android Pay. In een Google+ berichtChainfire zei echter dat deze "oplossing" slechts een probleem is "per ongeluk, en niet door het ontwerp, en Android Pay zal worden bijgewerkt om het te blokkeren." Het lijkt erop dat Google eindelijk tussenbeide is gekomen en zijn SafetyNet API heeft bijgewerkt, 91 dagen na de release van de systeemloze rootmethode.

Hallo duisternis mijn oude vriend

Er gaan verschillende rapporten rond Reddit en verder onze eigen fora dat de nieuwste SafetyNet-controle systeemloos rooten detecteert, wat betekent dat u Android Pay niet langer kunt gebruiken met een geroot apparaat. Als u een Android Pay-gebruiker bent met een apparaat dat is geroot met de systeemloze rootmethode, dan merkt u dat wellicht de app wordt nog steeds voor je geopend en je zult in ontkenning zijn (ik weet het, het is moeilijk toe te geven...) maar helaas is het zo WAAR. Android Pay controleert uw apparaat alleen op het voldoen aan de compatibiliteitseisen wanneer de app voor het eerst wordt geïnstalleerd en geopend, wanneer een nieuwe kaart wordt toegevoegd en op het moment van een transactie. Gebruikers op onze forums merken op dat de app je mogelijk een groen vinkje geeft, waardoor je de valse hoop krijgt dat het werkt, maar helaas, nee, de transactie wordt niet meer verwerkt.

Niet alles is echter verloren. Gelukkig kun je su uitschakelen via de SuperSu-app voordat je een aankoop doet, zodat je apparaat tijdelijk de CTS-controle kan doorstaan. Nadat u uw aankoop heeft gedaan, kunt u de SuperSu-app openen, negeer de pop-up 'update binary'en schakel su opnieuw in. Een klein ongemak natuurlijk, maar je kunt er tenminste nog steeds van genieten Xposed-modules adblocker terwijl u aankopen doet op uw telefoon.

Correctie: Xposed-modules activeren nog steeds de CTS-controle, dus u zult Xposed ook moeten uitschakelen voordat u Android Pay gebruikt.