inżynier bezpieczeństwa Google z Mountain View dołączył do XDA, aby omówić problemy z Androidem Pay na urządzeniach zrootowanych
Członek forum, którego potwierdzono, że pracuje jako inżynier ds. bezpieczeństwa w Google poza Mountain View, dołączył do XDA, aby: omówić problemy z Androidem Pay na urządzeniach zrootowanych, dlaczego nie będzie działać i potwierdził, że Google nasłuchuje Twoich informacja zwrotna. Jeśli chodzi o dostęp do roota i Android Pay powiedział to:
„ Użytkownicy Androida, którzy rootują swoje urządzenia, należą do naszych najbardziej zagorzałych fanów, a kiedy ta grupa mówi, słuchamy. Kilku z nas w Google słuchało takich wątków jak ten i wiemy, że jesteście nami zawiedzeni. Jestem inżynierem ds. bezpieczeństwa i pracuję nad Androidem Pay, więc ten wątek szczególnie mnie uderzył. Chciałem się z wami wszystkimi skontaktować i powiedzieć, że was słyszymy.
Google dokłada wszelkich starań, aby system Android był otwarty, co oznacza zachęcanie programistów do tworzenia kompilacji. Chociaż platforma może i powinna nadal rozwijać się jako środowisko przyjazne programistom, istnieje kilka takich rozwiązań aplikacje (niebędące częścią platformy), w których musimy zadbać o to, aby model bezpieczeństwa Androida był nienaruszony.
To „zapewnienie” odbywa się za pośrednictwem Androida Pay, a nawet aplikacji innych firm za pośrednictwem interfejsu API SafetyNet. Jak wszyscy możecie sobie wyobrazić, gdy w grę wchodzą dane uwierzytelniające płatności i – za pośrednictwem pełnomocnika – prawdziwe pieniądze, osoby odpowiedzialne za bezpieczeństwo, takie jak ja, stają się bardziej zdenerwowane. Ja i moi koledzy z branży płatności długo i intensywnie zastanawialiśmy się, jak zapewnić, że Android Pay działa na urządzeniu, które ma dobrze udokumentowany zestaw interfejsów API i dobrze rozumiane bezpieczeństwo Model.
Doszliśmy do wniosku, że jedynym sposobem, aby to zrobić w przypadku Androida Pay, jest upewnienie się, że urządzenie z Androidem przejdzie zestaw testów zgodności, który obejmuje sprawdzenie modelu zabezpieczeń. Wcześniejsza usługa „dotknij i zapłać” w Portfelu Google miała inną strukturę i umożliwiała Portfelowi niezależną ocenę ryzyka każdej transakcji przed autoryzacją płatności. Z kolei w przypadku Androida Pay współpracujemy z sieciami płatniczymi i bankami, aby tokenizować rzeczywiste dane karty i przekazywać je jedynie sprzedawcy. Następnie sprzedawca rozlicza te transakcje, tak jak tradycyjne zakupy kartą. Wiem, że wielu z Was to eksperci i zaawansowani użytkownicy, ale należy pamiętać, że tak naprawdę nie mamy dobrego sposobu na wyrażenie niuansów bezpieczeństwa konkretnego urządzenie programisty do całego ekosystemu płatności lub aby ustalić, czy osobiście podjąłeś szczególne środki zaradcze przeciwko atakom – w rzeczywistości wiele osób by tego nie zrobiło Posiadać. " - jasondclinton_google
Odpowiadając na możliwość, że oznacza to, że pewnego dnia pojawi się obsługa zrootowanych urządzeń, Jason stwierdził „Nie znam żadnego sposobu, aby obecnie lub w najbliższej przyszłości stwierdzić, że dana aplikacja jest magazyn danych jest bezpieczny na urządzeniu niezgodnym z CTS. W związku z tym na razie odpowiedź brzmi „nie”" i odpowiadając na wypowiedź jednego z użytkowników, że gdyby miał wybierać między rootem a Androidem Pay, wybrałby root, Jason wyraził współczucie i stwierdził, że chciałby, aby możliwe było osiągnięcie funkcjonalności roota bez konieczności korzenie. Wziął także pod uwagę opinie dotyczące umieszczenia w Sklepie Play ostrzeżenia informującego, że aplikacja nie będzie działać na urządzeniach zrootowanych.
Niestety potwierdzono, że żadna nieoficjalna kompilacja nie przejdzie przez SafetyNet, ponieważ nie oczekuje się obrazu systemu. Kontynuując to stwierdził. „Jednym ze sposobów myślenia o tym jest to, że podpis może być używany jako zastępstwo dla poprzedniego statusu pozytywnego zaliczenia CTS. (Gdybyśmy przeskanowali każdy plik i urządzenie telefoniczne wyliczone przez jądro, aby dowiedzieć się, w jakim środowisku działamy, zablokowalibyśmy Twoje urządzenie na dziesiątki minut.) Zaczynamy więc od statusu CTS wywnioskowanego na podstawie podpisu obrazu produkcyjnego, a następnie szukamy rzeczy, które nie wyglądają dobrze. Społeczność ta zidentyfikowała już sporo rzeczy, którym się przyglądamy: na przykład obecność „su”.” - jasondclinton_google
Będzie w dalszym ciągu monitorował powiązane wątki dotyczące Androida Pay na XDA, jednak nie może obiecać, że odpowie na wszystkie komentarze, ale z pewnością będzie słuchał. Aby być na bieżąco z jego komentarzami w wątku, sprawdzaj Tutaj. Jednakże jest to krok we właściwym kierunku. Teraz, gdy wiemy, że słuchają i przyjmują konstruktywne uwagi, mamy nadzieję, że zobaczymy więcej dyskusji między pracownikami Google a członkami forum.