bezpečnostný inžinier pre Google z Mountain View sa pripojil k XDA s cieľom prediskutovať problémy so službou Android Pay na odomknutých zariadeniach
Člen fóra, u ktorého bolo potvrdené, že pracuje ako bezpečnostný inžinier pre Google z Mountain View, sa pripojil k XDA, aby prediskutujte problémy so službou Android Pay na odomknutých zariadeniach, prečo to nebude fungovať, a potvrdil, že Google vás počúva spätná väzba. Čo sa týka prístupu root a Android Pay povedal toto:
„Používatelia Androidu, ktorí rootujú svoje zariadenia, patria medzi našich najhorlivejších fanúšikov a keď táto skupina hovorí, počúvame. Niektorí z nás v spoločnosti Google počúvali vlákna, ako je táto, a vieme, že ste z nás sklamaní. Som bezpečnostný inžinier, ktorý pracuje so službou Android Pay, a preto ma toto vlákno mimoriadne zasiahlo. Chcel som vás všetkých osloviť a povedať vám, že vás počujeme.
Google je absolútne odhodlaný udržiavať Android otvorený a to znamená podporovať vývojové zostavy. Zatiaľ čo platforma môže a mala by naďalej prosperovať ako prostredie priateľské k vývojárom, existuje niekoľko aplikácie (ktoré nie sú súčasťou platformy), kde musíme zabezpečiť, aby bol bezpečnostný model Androidu neporušené.
Toto „zabezpečenie“ vykonáva služba Android Pay a dokonca aj aplikácie tretích strán prostredníctvom rozhrania SafetyNet API. Ako si všetci viete predstaviť, keď ide o platobné poverenia a – prostredníctvom splnomocnenca – skutočné peniaze, ľudia z bezpečnostných služieb ako ja sú mimoriadne nervózni. Ja a moji kolegovia v platobnom priemysle sme sa dlho a dôkladne pozreli na to, ako zabezpečiť, aby bol Android Pay beží na zariadení, ktoré má dobre zdokumentovanú sadu rozhraní API a dobre pochopené zabezpečenie Model.
Dospeli sme k záveru, že jediný spôsob, ako to pre Android Pay dosiahnuť, je zabezpečiť, aby zariadenie s Androidom prešlo testom kompatibility, ktorý zahŕňa kontroly modelu zabezpečenia. Skoršia služba platby priložením v Peňaženke Google mala odlišnú štruktúru a umožnila Peňaženke nezávisle vyhodnotiť riziko každej transakcie pred autorizáciou platby. Na rozdiel od toho v službe Android Pay spolupracujeme s platobnými sieťami a bankami na tokenovaní vašich skutočných informácií o karte a tieto informácie o tokene odovzdávame iba obchodníkovi. Obchodník potom tieto transakcie vymaže ako klasické nákupy kartou. Viem, že mnohí z vás sú odborníci a skúsení používatelia, ale je dôležité poznamenať, že v skutočnosti nemáme dobrý spôsob, ako vyjadriť bezpečnostné nuansy konkrétneho vývojárskeho zariadenia do celého platobného ekosystému alebo aby ste zistili, či ste vy osobne mohli podniknúť konkrétne protiopatrenia proti útokom – mnohí by to neurobili mať. " - jasondclinton_google
V odpovedi na možnosť, že to znamenalo, že podpora pre zakorenené zariadenia môže jedného dňa prísť, uviedol Jason „Neviem o žiadnom spôsobe, ako v súčasnosti alebo v blízkej budúcnosti tvrdiť, že ide o konkrétnu aplikáciu Uloženie údajov je zabezpečený na zariadení, ktoré nie je kompatibilné s CTS. Ako taká je zatiaľ odpoveď „nie““ a odpoveď na vyhlásenie jedného používateľa, že ak by si mal vybrať medzi rootom a Android Pay, vybral by si root, Jason vyjadril svoje sympatie a tvrdil, že by si želal, aby bolo možné dosiahnuť funkčnosť rootov bez toho, aby to bolo skutočne možné zakorenenie. Prijal tiež spätnú väzbu týkajúcu sa umiestnenia varovania v obchode Play, v ktorom sa uvádza, že aplikácia nebude fungovať na zakorenených zariadeniach.
Bohužiaľ sa potvrdilo, že akákoľvek neoficiálna zostava neprejde SafetyNet, pretože sa neočakáva obraz systému. Pokračoval konštatovaním. "Jedným spôsobom, ako o tom premýšľať, je, že podpis možno použiť ako proxy pre predchádzajúci stav absolvovania CTS. (Ak by sme skenovali každý súbor a telefónne zariadenie vymenované jadrom, aby sme zistili, v akom prostredí bežíme, zablokovali by sme vaše zariadenie na desiatky minút.) Začneme teda stavom CTS odvodeným z produkčného obrazového podpisu a potom pokračujeme v hľadaní vecí, ktoré nevyzerajú správne. Táto komunita už identifikovala pomerne veľa vecí, na ktoré sa pozeráme: napríklad prítomnosť 'su'." - jasondclinton_google
Naďalej bude sledovať súvisiace vlákna týkajúce sa Android Pay na XDA, nemôže však sľúbiť, že odpovie na všetky komentáre, ale určite bude počúvať. Ak chcete byť informovaní o jeho komentároch vo vlákne, skontrolujte tu. Je to však krok správnym smerom, teraz, keď vieme, že počúvajú a prijímajú konštruktívnu spätnú väzbu, dúfame, že uvidíme viac diskusií medzi zamestnancami Google a členmi fóra.