Android Pay ne deluje več z brezsistemskim korenom

Tapnite. plačaj Končano. Če ste lastnik telefona Android z omogočeno tehnologijo NFC in različico 4.4+, ste verjetno že slišali za Android Pay. Aplikacija podpira dodajanje kartic številnih različnih bank in deluje pri številnih večjih trgovcih na drobno, poleg tega pa jo je precej enostavno nastaviti. Google je praktično beračenjeda se prijaviš!

To je, razen če ste napreden uporabnik, ki ima zakoreninjeno napravo. Pri nas smo morali izbirati med korenskim dostopom in vsemi ugodnostmi, ki jih prinaša (blokiranje oglasov, tematiziranje, Xposed itd.) in uporabo Android Pay. Google je izjavil, da je bila omejitev dostopa do Android Pay za rootane uporabnike previdnostni korak za preprečitev morebitnih kršitev finančne varnosti.

Medtem ko platforma lahko in mora še naprej uspevati kot razvijalcem prijazno okolje, jih je le peščica aplikacije (ki niso del platforme), kjer moramo zagotoviti varnostni model Androida nedotaknjen.

To "zagotavljanje" izvaja Android Pay in celo aplikacije tretjih oseb prek API-ja SafetyNet. Kot si vsi lahko predstavljate, ko gre za plačilne poverilnice in – po pooblaščencu – pravi denar, postanejo varnostniki, kot sem jaz, še dodatno živčni. Jaz in moji kolegi v plačilni industriji smo dolgo in natančno preučili, kako zagotoviti, da Android Pay se izvaja v napravi, ki ima dobro dokumentiran nabor API-jev in dobro razumljeno varnost model.

Ugotovili smo, da je edini način, da to storimo za Android Pay, da zagotovimo, da naprava Android opravi testni paket združljivosti, ki vključuje preverjanje varnostnega modela. Prejšnja storitev plačila z dotikom v Google Denarnici je bila strukturirana drugače in je omogočila Denarnici, da neodvisno oceni tveganje vsake transakcije pred avtorizacijo plačila. Nasprotno pa v sistemu Android Pay sodelujemo s plačilnimi omrežji in bankami, da tokeniziramo vaše dejanske podatke o kartici in te podatke o žetonih posredujemo samo trgovcu. Trgovec nato poravna te transakcije kot običajne nakupe s kartico. Vem, da ste mnogi strokovnjaki in napredni uporabniki, vendar je pomembno omeniti, da v resnici nimamo dobrega načina za artikulacijo varnostnih nians določenega razvijalsko napravo za celoten plačilni ekosistem ali za ugotavljanje, ali ste vi osebno morda sprejeli določene protiukrepe proti napadom – mnogi res ne bi imajo. - jasondclinton_google, varnostni inženir pri Googlu govorjenje na naših forumih

Na srečo XDA vedno najde pot (čeprav tokrat nenamerno). Z rootanjem vaše naprave brez spreminjanja particije /system (tj. brezsistemski koren avtor XDA Senior Recognized Developer and Developer Admin Verižni ogenj), so uporabniki lahko zaobšli korensko omejitev in dostop do Android Pay. V objava v storitvi Google+, vendar je Chainfire omenil, da je ta "popravek" zgolj "po nesreči in ne načrtno, Android Pay pa bo posodobljen, da ga bo blokiral." No, videti je, da je Google končno vskočil in posodobil svoj SafetyNet API, 91 dni po izdaji brezsistemske metode rootanja.

Zdravo Darkness, moj stari prijatelj

Obstaja več poročil Reddit in naprej naših lastnih forumih da najnovejše preverjanje SafetyNet zazna root brez sistema, kar pomeni, da ne morete več uporabljati Android Pay z napravo root. Če ste uporabnik Android Pay z napravo, ki je zakoreninjena z uporabo brezsistemske korenske metode, boste to morda opazili aplikacija se vam še vedno odpre in zanikali boste (vem, težko je priznati ...), a na žalost je prav. Android Pay preveri, ali vaša naprava prehaja nabor združljivih naprav samo, ko je aplikacija prvič nameščena in odprta, ko je dodana nova kartica in v času transakcije. Uporabniki na naših forumih opažajo, da vam lahko aplikacija prikaže zeleno kljukico, kar vas zaziba v lažno upanje, da je delovala, a žal ne, transakcija ne bo več obdelana.

Vendar ni vse izgubljeno. Na srečo lahko onemogočite su iz aplikacije SuperSu pred nakupom, da začasno omogočite vaši napravi, da opravi preverjanje CTS. Potem ko opravite nakup, lahko odprete aplikacijo SuperSu, prezrite pojavno okno 'posodobi binarno datoteko'in znova omogočite su. Manjša nevšečnost, seveda, vendar boste vsaj še vedno lahko uživali v svojem Xposed moduli zaviralec oglasov med nakupovanjem v telefonu.

Popravek: moduli Xposed bodo še vedno sprožili preverjanje CTS, zato boste morali Xposed onemogočiti tudi pred uporabo Android Pay.