en säkerhetsingenjör för Google från Mountain View, har gått med i XDA för att diskutera problemen med Android Pay på rotade enheter
En forummedlem som har bekräftats arbeta som säkerhetsingenjör för Google från Mountain View, har gått med i XDA för att diskutera problemen med Android Pay på rotade enheter, varför det inte kommer att fungera och har bekräftat att Google lyssnar på din respons. Angående root-åtkomst och Android Pay han har sagt detta:
"Android-användare som rotar sina enheter är bland våra ivrigaste fans och när den här gruppen pratar lyssnar vi. Några av oss runt om på Google har lyssnat på trådar som denna och vi vet att du är besviken på oss. Jag är en säkerhetsingenjör som arbetar med Android Pay och därför slog den här tråden mig särskilt hårt. Jag ville nå ut till er alla och berätta att vi hör er.
Google är absolut engagerat i att hålla Android öppet och det innebär att uppmuntra utvecklarbyggen. Även om plattformen kan och bör fortsätta att frodas som en utvecklarvänlig miljö, finns det en handfull applikationer (som inte är en del av plattformen) där vi måste se till att säkerhetsmodellen för Android är intakt.
Att "säkra" görs av Android Pay och till och med tredjepartsapplikationer via SafetyNet API. Som ni alla kanske föreställer er, när betalningsuppgifter och – genom proxy – riktiga pengar är inblandade, blir säkerhetsmän som jag extra nervösa. Jag och mina motsvarigheter inom betalningsbranschen tog en lång, hård titt på hur man säkerställer att Android Pay körs på en enhet som har en väldokumenterad uppsättning API: er och en välkänd säkerhet modell.
Vi drog slutsatsen att det enda sättet att göra detta för Android Pay var att säkerställa att Android-enheten klarar kompatibilitetstestsviten – som inkluderar kontroller av säkerhetsmodellen. Den tidigare Google Wallets tryck-och-betala-tjänst var strukturerad på ett annat sätt och gav Wallet möjlighet att självständigt utvärdera risken för varje transaktion innan betalningsauktorisering. I Android Pay arbetar vi däremot med betalningsnätverk och banker för att tokenisera din faktiska kortinformation och bara skicka denna tokeninformation till handlaren. Säljaren rensar sedan dessa transaktioner som traditionella kortköp. Jag vet att många av er är experter och avancerade användare men det är viktigt att notera att vi inte riktigt har ett bra sätt att formulera säkerhetsnyanserna hos en viss utvecklarenhet till hela betalningsekosystemet eller för att avgöra om du personligen kan ha vidtagit särskilda motåtgärder mot attacker – många skulle faktiskt inte ha. " - jasondclinton_google
Som svar på möjligheten att detta innebar att stöd för rotad enhet kan komma en dag, konstaterade Jason "Jag vet inte om något sätt att för närvarande eller i en nära framtid göra ett påstående att en viss app är datalagring är säker på en icke-CTS-kompatibel enhet. Som sådan, för nu, är svaret "nej"" och svara på en användares uttalande att om han var tvungen att välja mellan root och Android Pay, skulle de välja root, Jason gav sina sympatier och hävdade att han önskade att det var möjligt att uppnå root-funktionalitet utan att faktiskt rota. Han har också tagit emot feedback angående att placera en varning i play store om att appen inte kommer att fungera på rotade enheter.
Tyvärr har det bekräftats att en icke-officiell version inte kommer att passera SafetyNet på grund av att systembilden inte förväntas. Han fortsatte med att konstatera det. "Ett sätt att tänka på detta är att signaturen kan användas som en proxy för tidigare CTS-passeringsstatus. (Om vi skulle skanna alla filer och telefonenheter som räknas upp av kärnan för att sluta oss till vilken miljö vi kör på, skulle vi köra ner din enhet i tiotals minuter.) Så vi börjar med CTS-statusen som härleds av en produktionsbildsignatur och går sedan vidare och letar efter saker som inte ser rätt ut. Den här gruppen har redan identifierat en hel del av de saker som vi tittar på: närvaro, av 'su', till exempel." - jasondclinton_google
Han kommer att fortsätta att övervaka relaterade trådar angående Android Pay på XDA, kan dock inte lova att svara på alla kommentarer, men kommer säkert att lyssna. För att hålla dig uppdaterad med hans kommentarer i tråden, kolla här. Men det är ett steg i rätt riktning, nu när vi vet att de lyssnar och tar in konstruktiv feedback, kommer vi förhoppningsvis att se mer diskussion mellan Googles personal och forummedlemmar.