Android Pay nu mai funcționează cu rădăcină fără sistem

Atingeți. A plati. Terminat. Dacă sunteți proprietarul unui telefon Android cu NFC care rulează 4.4+, atunci probabil ați auzit de Android Pay. Aplicația acceptă adăugarea de carduri de la multe bănci diferite și funcționează în mulți retaileri majori și este, de asemenea, destul de ușor de configurat. Google este practic cerșindtu să te înscrii!

Adică, cu excepția cazului în care sunteți un utilizator cu putere care are un dispozitiv rootat. Pentru noi, a trebuit să alegem între a avea acces root și toate beneficiile pe care le presupune (blocarea anunțurilor, tematică, Xposed etc.) și folosirea Android Pay. Google a declarat că restricționarea accesului Android Pay pentru utilizatorii rootați a fost un pas de precauție pentru a preveni orice șansă de încălcare a securității financiare.

În timp ce platforma poate și ar trebui să continue să prospere ca mediu prietenos pentru dezvoltatori, există o mână de aplicații (care nu fac parte din platformă) în care trebuie să ne asigurăm că este modelul de securitate al Android intact.

Această „asigurare” este realizată de Android Pay și chiar de aplicațiile terțe prin intermediul API-ului SafetyNet. După cum vă puteți imagina cu toții, atunci când sunt implicate acreditările de plată și, prin proxy, bani reali, oamenii de securitate ca mine devin foarte nervoși. Eu și omologii mei din industria plăților ne-am uitat lung și serios la cum să ne asigurăm că Android Pay rulează pe un dispozitiv care are un set bine documentat de API-uri și o securitate bine înțeleasă model.

Am ajuns la concluzia că singura modalitate de a face acest lucru pentru Android Pay a fost să ne asigurăm că dispozitivul Android trece suita de teste de compatibilitate – care include verificări pentru modelul de securitate. Serviciul anterior Google Wallet de tip tap-and-pay a fost structurat diferit și i-a oferit Wallet-ului capacitatea de a evalua în mod independent riscul fiecărei tranzacții înainte de autorizarea plății. În schimb, în ​​Android Pay, lucrăm cu rețele de plată și bănci pentru a tokeniza informațiile reale ale cardului și pentru a transmite aceste informații doar comerciantului. Comerciantul elimină apoi aceste tranzacții, cum ar fi achizițiile tradiționale cu cardul. Știu că mulți dintre voi sunteți experți și utilizatori puternici, dar este important să rețineți că nu avem cu adevărat o modalitate bună de a articula nuanțele de securitate ale unui anumit dispozitiv de dezvoltator la întregul ecosistem de plăți sau pentru a determina dacă ați fi luat personal anumite contramăsuri împotriva atacurilor – într-adevăr, mulți nu ar fi luat avea. - jasondclinton_google, inginer de securitate la Google vorbind pe forumurile noastre

Din fericire, XDA găsește întotdeauna o cale (deși de data aceasta, neintenționat). Prin rootarea dispozitivului fără a face modificări la partiția /system (adică. rădăcină fără sistem de la XDA Senior Recognized Developer and Developer Admin Lanț de foc), utilizatorii au putut să ocolească restricția de rădăcină și accesați Android Pay. Într-o postare pe Google+Cu toate acestea, Chainfire a menționat că această „remediere” este doar „din întâmplare, și nu prin proiectare, iar Android Pay va fi actualizat pentru a-l bloca”. Ei bine, se pare că Google a intervenit în sfârșit și și-a actualizat API-ul SafetyNet, la 91 de zile după lansarea metodei de înrădăcinare fără sistem.

Bună, Darkness, vechiul meu prieten

Există mai multe rapoarte în jur Reddit și pe propriile noastre forumuri că cea mai nouă verificare SafetyNet detectează rădăcina fără sistem, ceea ce înseamnă că nu mai puteți utiliza Android Pay cu un dispozitiv rootat. Dacă sunteți un utilizator Android Pay cu un dispozitiv rootat folosind metoda rootless fără sistem, atunci s-ar putea să observați acest lucru aplicația încă se deschide pentru tine și vei fi în negare (știu, e greu de recunoscut...) dar, din păcate, este Adevărat. Android Pay verifică dispozitivul dacă trece suita de dispozitive de compatibilitate numai atunci când aplicația este instalată și deschisă pentru prima dată, când este adăugat un card nou și în momentul unei tranzacții. Utilizatorii de pe forumurile noastre remarcă faptul că aplicația îți poate da o bifă verde, liniștindu-te în speranțe false că a funcționat, dar, din păcate, nu, tranzacția nu va mai procesa.

Nu totul este însă pierdut. Din fericire, puteți dezactiva su din aplicația SuperSu înainte de a face o achiziție pentru a permite temporar dispozitivului dvs. să treacă de verificarea CTS. Apoi, după ce ați făcut achiziția, puteți deschide aplicația SuperSu, ignorați fereastra pop-up „actualizare binar”., și reactivați su. Un inconvenient minor, sigur, dar cel puțin vă veți putea bucura în continuare Module Xposed blocant reclame în timp ce faceți achiziții de pe telefon.

Corecție: modulele Xposed vor declanșa în continuare verificarea CTS, așa că va trebui, de asemenea, să dezactivați Xposed înainte de a utiliza Android Pay.