un inginer de securitate pentru Google din Mountain View, sa alăturat XDA pentru a discuta problemele legate de Android Pay pe dispozitivele înrădăcinate
Un membru al forumului care a fost confirmat ca lucrează ca inginer de securitate pentru Google din Mountain View, s-a alăturat XDA pentru a discutați problemele legate de Android Pay pe dispozitivele înrădăcinate, de ce nu va funcționa și a confirmat că Google vă ascultă părere. În ceea ce privește accesul root și Android Pay el a spus asta:
„Utilizatorii Android care își rootează dispozitivele sunt printre cei mai înfocați fani ai noștri și atunci când acest grup vorbește, ascultăm. Câțiva dintre noi din jurul Google am ascultat subiecte ca acesta și știm că ești dezamăgit de noi. Sunt un inginer de securitate care lucrează pe Android Pay și, prin urmare, acest subiect m-a lovit deosebit de greu. Am vrut să vă adresez pe toți și să vă spun că vă auzim.
Google se angajează absolut să mențină Android deschis și asta înseamnă să încurajeze versiunile pentru dezvoltatori. În timp ce platforma poate și ar trebui să continue să prospere ca mediu prietenos pentru dezvoltatori, există o mână de aplicații (care nu fac parte din platformă) în care trebuie să ne asigurăm că este modelul de securitate al Android intact.
Această „asigurare” este realizată de Android Pay și chiar de aplicațiile terțe prin intermediul API-ului SafetyNet. După cum vă puteți imagina cu toții, atunci când sunt implicați acreditările de plată și - prin proxy - bani reali, oamenii de securitate ca mine devin foarte nervoși. Eu și omologii mei din industria plăților ne-am uitat lung și serios la cum să ne asigurăm că Android Pay rulează pe un dispozitiv care are un set bine documentat de API-uri și o securitate bine înțeleasă model.
Am ajuns la concluzia că singura modalitate de a face acest lucru pentru Android Pay a fost să ne asigurăm că dispozitivul Android trece suita de teste de compatibilitate, care include verificări pentru modelul de securitate. Serviciul anterior Google Wallet de tip tap-and-pay a fost structurat diferit și i-a oferit Wallet-ului capacitatea de a evalua în mod independent riscul fiecărei tranzacții înainte de autorizarea plății. În schimb, în Android Pay, lucrăm cu rețele de plată și bănci pentru a tokeniza informațiile reale ale cardului și pentru a transmite aceste informații doar comerciantului. Comerciantul elimină apoi aceste tranzacții, cum ar fi achizițiile tradiționale cu cardul. Știu că mulți dintre voi sunteți experți și utilizatori puternici, dar este important să rețineți că nu avem cu adevărat o modalitate bună de a articula nuanțele de securitate ale unui anumit dispozitiv de dezvoltator la întregul ecosistem de plăți sau pentru a determina dacă dvs. personal ați fi luat anumite contramăsuri împotriva atacurilor - într-adevăr, mulți nu ar fi luat avea. " - jasondclinton_google
Răspunzând la posibilitatea ca aceasta să însemne că suportul pentru dispozitivul rootat poate veni într-o zi, a declarat Jason „Nu cunosc vreo modalitate de a face în prezent sau în viitorul apropiat o afirmație că o anumită aplicație este depozit de date este sigur pe un dispozitiv care nu este compatibil CTS. Ca atare, deocamdată, răspunsul este „nu”" și răspunzând la declarația unui utilizator că, dacă ar trebui să aleagă între root și Android Pay, ar alege root, Jason și-a exprimat simpatia și a susținut că și-ar fi dorit să fie posibil să obțină funcționalitatea root fără de fapt înrădăcinare. El a primit, de asemenea, feedback cu privire la plasarea unui avertisment în magazinul de jocuri care afirmă că aplicația nu va funcționa pe dispozitivele rootate.
Din păcate, s-a confirmat că orice versiune neoficială nu va trece SafetyNet din cauza imaginii sistemului care nu este așteptată. El a continuat afirmând că. „Un mod de a gândi la acest lucru este că semnătura poate fi folosită ca proxy pentru statutul anterioară de promovare a CTS. (Dacă ar fi să scanăm fiecare fișier și dispozitiv de telefon enumerat de kernel pentru a deduce mediul în care rulăm, ți-am bloca dispozitivul timp de zeci de minute.) Deci, începem cu statutul CTS dedus de o semnătură de imagine de producție și apoi căutăm lucruri care nu arată corect. Această comunitate a identificat deja câteva dintre lucrurile la care ne uităm deja: prezența lui „su”, de exemplu.” - jasondclinton_google
El va continua să monitorizeze firele conexe referitoare la Android Pay pe XDA, cu toate acestea, nu poate promite că va răspunde la toate comentariile, dar cu siguranță va asculta. Pentru a fi la curent cu comentariile lui din thread, verificați Aici. Cu toate acestea, este un pas în direcția corectă, acum că știm că ascultă și primesc feedback constructiv, sperăm că vom vedea mai multe discuții între personalul Google și membrii forumului.