um engenheiro de segurança do Google de Mountain View, juntou-se ao XDA para discutir os problemas do Android Pay em dispositivos com acesso root
Um membro do fórum que foi confirmado como engenheiro de segurança do Google em Mountain View juntou-se ao XDA para discutiu os problemas com o Android Pay em dispositivos com acesso root, por que ele não funcionará e confirmou que o Google está ouvindo seu opinião. Em relação ao acesso root e Android Pay ele disse isso:
"Os usuários do Android que fazem root em seus dispositivos estão entre nossos fãs mais fervorosos e quando esse grupo fala, nós ouvimos. Alguns de nós no Google temos ouvido tópicos como este e sabemos que você está decepcionado conosco. Sou um engenheiro de segurança que trabalha no Android Pay e por isso esse tópico me impressionou particularmente. Eu queria entrar em contato com todos vocês e dizer que estamos ouvindo vocês.
O Google está absolutamente comprometido em manter o Android aberto e isso significa encorajar construções de desenvolvedores. Embora a plataforma possa e deva continuar a prosperar como um ambiente favorável ao desenvolvedor, há um punhado de aplicativos (que não fazem parte da plataforma) onde temos que garantir que o modelo de segurança do Android seja intacto.
Essa “garantia” é feita pelo Android Pay e até mesmo por aplicativos de terceiros por meio da API SafetyNet. Como todos podem imaginar, quando estão envolvidas credenciais de pagamento e – por procuração – dinheiro real, pessoas de segurança como eu ficam ainda mais nervosas. Eu e meus colegas do setor de pagamentos analisamos demoradamente como garantir que o Android O Pay está sendo executado em um dispositivo que possui um conjunto bem documentado de APIs e uma segurança bem compreendida modelo.
Concluímos que a única maneira de fazer isso no Android Pay era garantir que o dispositivo Android passasse no conjunto de testes de compatibilidade, que inclui verificações do modelo de segurança. O serviço anterior de tocar e pagar da Carteira virtual do Google era estruturado de forma diferente e dava à Carteira virtual a capacidade de avaliar de forma independente o risco de cada transação antes da autorização do pagamento. Por outro lado, no Android Pay, trabalhamos com redes de pagamento e bancos para tokenizar as informações reais do seu cartão e transmiti-las apenas ao comerciante. O comerciante então compensa essas transações como compras com cartão tradicional. Sei que muitos de vocês são especialistas e usuários avançados, mas é importante observar que não temos realmente uma boa maneira de articular as nuances de segurança de um determinado dispositivo do desenvolvedor para todo o ecossistema de pagamentos ou para determinar se você pessoalmente pode ter tomado contramedidas específicas contra ataques - na verdade, muitos não o fariam ter. " - jasondclinton_google
Respondendo à possibilidade de que isso significasse que um dia o suporte para dispositivos com acesso root poderia chegar, Jason afirmou "Não conheço nenhuma maneira de afirmar, atualmente ou no futuro próximo, que o uso de um determinado aplicativo banco de dados é seguro em um dispositivo não compatível com CTS. Como tal, por enquanto, a resposta é “não”" e respondendo à declaração de um usuário de que se ele tivesse que escolher entre root e Android Pay, eles escolheriam root, Jason expressou sua simpatia e afirmou que gostaria que fosse possível obter funcionalidade root sem realmente enraizando. Ele também recebeu feedback sobre a colocação de um aviso na Play Store informando que o aplicativo não funcionará em dispositivos com acesso root.
Infelizmente, foi confirmado que qualquer compilação não oficial não passará no SafetyNet devido à imagem do sistema não ser esperada. Ele continuou afirmando isso. “Uma maneira de pensar sobre isso é que a assinatura pode ser usada como um proxy para o status anterior de aprovação do CTS. (Se escaneássemos todos os arquivos e dispositivos telefônicos enumerados pelo kernel para inferir em qual ambiente estamos executando, paralisaríamos seu dispositivo por dezenas de minutos.) Então, começamos com o status CTS inferido por uma assinatura de imagem de produção e depois procuramos por coisas que não parecem certas. Esta comunidade já identificou algumas das coisas que estamos observando: presença, de 'su', por exemplo." - jasondclinton_google
Ele continuará monitorando tópicos relacionados ao Android Pay no XDA, no entanto, não pode prometer responder a todos os comentários, mas certamente estará ouvindo. Para se manter atualizado com seus comentários no tópico, verifique aqui. No entanto, é um passo na direção certa, agora que sabemos que eles estão ouvindo e recebendo comentários construtivos, esperamos ver mais discussões entre a equipe do Google e os membros do fórum.