varnostni inženir za Google iz Mountain Viewa se je pridružil XDA, da bi razpravljal o težavah s sistemom Android Pay v napravah z zakoreninjenim dostopom
Član foruma, za katerega je bilo potrjeno, da dela kot varnostni inženir za Google iz Mountain Viewa, se je pridružil XDA, da bi razpravljali o težavah s sistemom Android Pay v napravah z zakoreninjenim dostopom, zakaj ne deluje in potrdili, da Google posluša vaše povratne informacije. Glede korenskega dostopa in Android Pay rekel je tole:
" Uporabniki Androida, ki uporabljajo root za svoje naprave, so med našimi najbolj gorečimi oboževalci in ko ta skupina spregovori, jih poslušamo. Nekaj nas okoli Googla je poslušalo teme, kot je ta, in vemo, da ste razočarani nad nami. Sem varnostni inženir, ki dela z Androidom Pay, zato me je ta tema še posebej prizadela. Želel sem se obrniti na vse vas in vam povedati, da vas slišimo.
Google je popolnoma zavezan ohranjanju Androida odprtega, kar pomeni spodbujanje gradenj razvijalcev. Medtem ko platforma lahko in mora še naprej uspevati kot razvijalcem prijazno okolje, jih je le peščica aplikacije (ki niso del platforme), kjer moramo zagotoviti varnostni model Androida nedotaknjen.
To "zagotavljanje" izvaja Android Pay in celo aplikacije tretjih oseb prek API-ja SafetyNet. Kot si vsi lahko predstavljate, ko gre za plačilne poverilnice in – po pooblaščencu – pravi denar, postanejo varnostniki, kot sem jaz, še dodatno živčni. Jaz in moji kolegi v plačilni industriji smo dolgo in natančno preučili, kako zagotoviti, da Android Pay se izvaja v napravi, ki ima dobro dokumentiran nabor API-jev in dobro razumljeno varnost model.
Ugotovili smo, da je edini način, da to storimo za Android Pay, da zagotovimo, da naprava Android opravi testni paket združljivosti, ki vključuje preverjanje varnostnega modela. Prejšnja storitev plačila z dotikom v Google Denarnici je bila strukturirana drugače in je omogočila Denarnici, da neodvisno oceni tveganje vsake transakcije pred avtorizacijo plačila. Nasprotno pa v sistemu Android Pay sodelujemo s plačilnimi omrežji in bankami, da tokeniziramo vaše dejanske podatke o kartici in te podatke o žetonih posredujemo samo trgovcu. Trgovec nato poravna te transakcije kot običajne nakupe s kartico. Vem, da ste mnogi strokovnjaki in napredni uporabniki, vendar je pomembno omeniti, da v resnici nimamo dobrega načina za artikulacijo varnostnih nians določenega razvijalsko napravo za celoten plačilni ekosistem ali ugotoviti, ali ste vi osebno morda sprejeli določene protiukrepe proti napadom – mnogi res ne bi imajo. " - jasondclinton_google
Jason je odgovoril na možnost, da to pomeni, da bo podpora za rootane naprave nekega dne prišla "Ne poznam nobenega načina, kako trenutno ali v bližnji prihodnosti trditi, da je določena aplikacija shranjevanje podatkov je varen na napravi, ki ni združljiva s CTS. Kot tak je za zdaj odgovor "ne"" in odgovor na izjavo enega uporabnika, da če bi moral izbirati med root in Android Pay, bi izbrali root, Jason je izrazil svoje sočutje in trdil, da si želi, da bi bilo mogoče doseči korensko funkcionalnost brez dejanskega ukoreninjenje. Sprejel je tudi povratne informacije o postavitvi opozorila v trgovino Play, ki navaja, da aplikacija ne bo delovala na napravah z rootanjem.
Na žalost je bilo potrjeno, da nobena neuradna zgradba ne bo prestala SafetyNet, ker sistemska slika ni pričakovana. Nadaljeval je z izjavo, da. "Eden od načinov razmišljanja o tem je, da se podpis lahko uporablja kot posrednik za prejšnji status prehoda CTS. (Če bi skenirali vsako datoteko in telefonsko napravo, ki jo našteje jedro, da bi ugotovili, v kakšnem okolju delujemo, bi vašo napravo zataknili za več deset minut.) Torej, začnemo s statusom CTS, ki ga izpeljemo s podpisom produkcijske slike, nato pa nadaljujemo z iskanjem stvari, ki niso videti v redu. Ta skupnost je že identificirala kar nekaj stvari, ki jih gledamo: prisotnost, na primer 'su'." - jasondclinton_google
Še naprej bo spremljal povezane teme v zvezi z Android Pay na XDA, vendar ne more obljubiti, da bo odgovoril na vse komentarje, vendar bo zagotovo poslušal. Če želite biti na tekočem z njegovimi komentarji v temi, preverite tukaj. Vendar je to korak v pravo smer, zdaj ko vemo, da poslušajo in sprejemajo konstruktivne povratne informacije, upamo, da bomo videli več razprav med Googlovim osebjem in člani foruma.