en sikkerhetsingeniør for Google fra Mountain View, har sluttet seg til XDA for å diskutere problemene med Android Pay på rotfestede enheter
Et forummedlem som har blitt bekreftet å jobbe som sikkerhetsingeniør for Google fra Mountain View, har sluttet seg til XDA for å diskuter problemene med Android Pay på rotfestede enheter, hvorfor det ikke vil fungere og har bekreftet at Google lytter til tilbakemelding. Angående root-tilgang og Android Pay han har sagt dette:
"Android-brukere som rooter enhetene sine er blant våre mest ivrige fans, og når denne gruppen snakker, lytter vi. Noen av oss rundt på Google har hørt på tråder som denne, og vi vet at du er skuffet over oss. Jeg er en sikkerhetsingeniør som jobber med Android Pay, så denne tråden slo meg spesielt hardt. Jeg ønsket å nå ut til dere alle og fortelle dere at vi hører dere.
Google er absolutt forpliktet til å holde Android åpen, og det betyr å oppmuntre utviklerbygg. Mens plattformen kan og bør fortsette å trives som et utviklervennlig miljø, er det en håndfull applikasjoner (som ikke er en del av plattformen) der vi må sørge for at sikkerhetsmodellen til Android er intakt.
Denne "sikre" gjøres av Android Pay og til og med tredjepartsapplikasjoner gjennom SafetyNet API. Som dere alle kanskje kan forestille dere, når betalingslegitimasjon og – ved proxy – ekte penger er involvert, blir sikkerhetsfolk som meg ekstra nervøse. Jeg og mine kolleger i betalingsbransjen tok en lang, hard titt på hvordan vi kunne sikre at Android Pay kjører på en enhet som har et godt dokumentert sett med API-er og en godt forstått sikkerhet modell.
Vi konkluderte med at den eneste måten å gjøre dette på for Android Pay var å sikre at Android-enheten består kompatibilitetstestpakken – som inkluderer sjekker for sikkerhetsmodellen. Den tidligere Google Wallet-trykk-og-betal-tjenesten var strukturert annerledes og ga Wallet muligheten til uavhengig å vurdere risikoen for hver transaksjon før betalingsautorisasjon. I Android Pay samarbeider vi derimot med betalingsnettverk og banker for å tokenisere den faktiske kortinformasjonen din og bare gi denne tokeninformasjonen til selgeren. Selgeren klarerer deretter disse transaksjonene som tradisjonelle kortkjøp. Jeg vet at mange av dere er eksperter og superbrukere, men det er viktig å merke seg at vi egentlig ikke har en god måte å artikulere sikkerhetsnyansene til en bestemt utviklerenhet til hele betalingsøkosystemet eller for å finne ut om du personlig kan ha tatt spesielle mottiltak mot angrep – mange ville faktisk ikke ha. " - jasondclinton_google
Som svar på muligheten for at dette betydde at støtte for rotfestet enhet kan komme en dag, uttalte Jason "Jeg vet ikke om noen måte for øyeblikket eller i nær fremtid å komme med en påstand om at en bestemt app er datalager er sikker på en ikke-CTS-kompatibel enhet. Som sådan, for nå, er svaret "nei"" og svare på en brukers uttalelse om at hvis han måtte velge mellom root og Android Pay, ville de velge root, Jason ga sine sympatier og hevdet at han ønsket at det var mulig å oppnå root-funksjonalitet uten faktisk rotfeste. Han har også tatt tilbakemeldinger angående å plassere en advarsel i play-butikken om at appen ikke vil fungere på rootede enheter.
Dessverre har det blitt bekreftet at enhver ikke-offisiell versjon ikke vil passere SafetyNet på grunn av at systembildet ikke er forventet. Han fortsatte med å si det. "En måte å tenke på dette er at signaturen kan brukes som en proxy for tidligere CTS-bestått status. (Hvis vi skulle skanne hver fil og telefonenhet som er oppregnet av kjernen for å konkludere med hvilket miljø vi kjører på, ville vi lagt ned enheten din i flere titalls minutter.) Så vi starter med CTS-statusen utledet av en produksjonsbildesignatur, og går så i gang med å lete etter ting som ikke ser riktig ut. Dette fellesskapet har identifisert ganske mange av tingene vi ser på, allerede: tilstedeværelse, av 'su', for eksempel." - jasondclinton_google
Han vil fortsette å overvåke relaterte tråder angående Android Pay på XDA, men kan ikke love å svare på alle kommentarer, men vil absolutt lytte. For å holde deg oppdatert med kommentarene hans i tråden, sjekk her. Men det er et skritt i riktig retning, nå som vi vet at de lytter og tar konstruktive tilbakemeldinger, vil vi forhåpentligvis se mer diskusjon mellom Googles ansatte og forummedlemmer.