วิศวกรความปลอดภัยสำหรับ Google จาก Mountain View ได้เข้าร่วม XDA เพื่อหารือเกี่ยวกับปัญหาเกี่ยวกับ Android Pay บนอุปกรณ์ที่รูท
สมาชิกฟอรัมที่ได้รับการยืนยันว่าทำงานเป็นวิศวกรความปลอดภัยให้กับ Google จาก Mountain View ได้เข้าร่วม XDA เพื่อ หารือเกี่ยวกับปัญหาเกี่ยวกับ Android Pay บนอุปกรณ์ที่รูทแล้ว เหตุใดจึงไม่ทำงานและยืนยันว่า Google กำลังรับฟังคุณอยู่ ข้อเสนอแนะ. เกี่ยวกับการเข้าถึงรูทและ Android Pay เขาพูดอย่างนี้:
" ผู้ใช้ Android ที่รูทอุปกรณ์ของตนอยู่ในหมู่แฟนตัวยงของเรา และเมื่อกลุ่มนี้พูด เราก็ฟัง พวกเราบางคนใน Google เคยฟังกระทู้ลักษณะนี้ และเรารู้ว่าคุณผิดหวังในตัวเรา ฉันเป็นวิศวกรความปลอดภัยที่ทำงานบน Android Pay ดังนั้นกระทู้นี้จึงทำให้ฉันหนักใจเป็นพิเศษ ฉันอยากจะติดต่อกับพวกคุณทุกคนและบอกคุณว่าเราได้ยินคุณ
Google มุ่งมั่นอย่างยิ่งที่จะรักษา Android ให้เปิดอยู่เสมอ และนั่นหมายถึงการสนับสนุนให้นักพัฒนาสร้าง แม้ว่าแพลตฟอร์มจะสามารถและควรเติบโตต่อไปในฐานะสภาพแวดล้อมที่เป็นมิตรกับนักพัฒนา แต่ก็มีอยู่ไม่มากนัก แอปพลิเคชัน (ที่ไม่ได้เป็นส่วนหนึ่งของแพลตฟอร์ม) ซึ่งเราต้องแน่ใจว่ามีรูปแบบความปลอดภัยของ Android ไม่บุบสลาย
"การรับรอง" นั้นทำได้โดย Android Pay และแม้แต่แอปพลิเคชันบุคคลที่สามผ่าน SafetyNet API ดังที่คุณทุกคนอาจจินตนาการได้ เมื่อข้อมูลประจำตัวในการชำระเงินและเงินจริงเข้ามาเกี่ยวข้อง เจ้าหน้าที่รักษาความปลอดภัยอย่างฉันก็กังวลเป็นพิเศษ ฉันและเพื่อนร่วมงานในอุตสาหกรรมการชำระเงินใช้เวลาพิจารณาอย่างหนักและยาวนานเกี่ยวกับวิธีการตรวจสอบให้แน่ใจว่า Android การจ่ายเงินทำงานบนอุปกรณ์ที่มีชุด API ที่ได้รับการบันทึกไว้อย่างดีและการรักษาความปลอดภัยที่เข้าใจดี แบบอย่าง.
เราสรุปได้ว่าวิธีเดียวที่จะทำเช่นนี้สำหรับ Android Pay คือต้องแน่ใจว่าอุปกรณ์ Android ผ่านการทดสอบความเข้ากันได้ ซึ่งรวมถึงการตรวจสอบโมเดลความปลอดภัยด้วย บริการแตะและจ่ายของ Google Wallet ก่อนหน้านี้มีโครงสร้างที่แตกต่างกัน และทำให้ Wallet สามารถประเมินความเสี่ยงของทุกธุรกรรมได้อย่างอิสระก่อนอนุมัติการชำระเงิน ในทางตรงกันข้าม ใน Android Pay เราทำงานร่วมกับเครือข่ายการชำระเงินและธนาคารเพื่อสร้างโทเค็นข้อมูลบัตรจริงของคุณ และส่งต่อข้อมูลโทเค็นนี้ให้กับผู้ขายเท่านั้น จากนั้นผู้ค้าจะเคลียร์ธุรกรรมเหล่านี้เหมือนกับการซื้อบัตรแบบดั้งเดิม ฉันรู้ว่าพวกคุณหลายคนเป็นผู้เชี่ยวชาญและผู้ใช้ระดับสูง แต่สิ่งสำคัญคือต้องทราบว่าเราไม่มีวิธีที่ดีในการอธิบายความแตกต่างด้านความปลอดภัยของสิ่งใดสิ่งหนึ่ง อุปกรณ์ของนักพัฒนาซอฟต์แวร์ไปยังระบบนิเวศการชำระเงินทั้งหมด หรือเพื่อพิจารณาว่าคุณอาจใช้มาตรการตอบโต้การโจมตีเป็นการส่วนตัวหรือไม่ จริงๆ แล้วหลายคนคงไม่ทำ มี. " - jasondclinton_google
เจสันกล่าวเพื่อตอบถึงความเป็นไปได้ที่ว่านี่หมายความว่าการสนับสนุนอุปกรณ์ที่รูทอาจมาถึงในวันหนึ่ง "ฉันไม่ทราบวิธีใดที่จะยืนยันว่ามีแอปใดแอปหนึ่งในปัจจุบันหรือในอนาคตอันใกล้นี้ เก็บข้อมูล ปลอดภัยบนอุปกรณ์ที่ไม่รองรับ CTS ดังนั้น ณ ตอนนี้ คำตอบคือ "ไม่"" และตอบกลับข้อความของผู้ใช้รายหนึ่งว่าถ้าเขาต้องเลือกระหว่างรูทกับ Android Pay พวกเขาจะเลือกรูท เจสันแสดงความเห็นอกเห็นใจและอ้างว่าเขาหวังว่ามันจะเป็นไปได้ที่จะบรรลุการทำงานของรูทโดยปราศจากความเป็นจริง การรูต เขายังได้รับข้อเสนอแนะเกี่ยวกับการวางคำเตือนใน Play Store โดยระบุว่าแอปจะไม่ทำงานบนอุปกรณ์ที่รูทแล้ว
น่าเสียดายที่ได้รับการยืนยันแล้วว่างานสร้างที่ไม่เป็นทางการใดๆ จะไม่ผ่าน SafetyNet เนื่องจากไม่ได้คาดหวังอิมเมจระบบ เขาเล่าต่อว่า. "วิธีคิดอย่างหนึ่งเกี่ยวกับเรื่องนี้ก็คือ ลายเซ็นสามารถใช้เป็นพร็อกซีสำหรับสถานะการส่งผ่าน CTS ก่อนหน้านี้ได้ (หากเราสแกนไฟล์และอุปกรณ์โทรศัพท์ทุกไฟล์ที่เคอร์เนลแจกแจงเพื่ออนุมานสภาพแวดล้อมที่เรากำลังใช้งานอยู่ เราก็จะทำให้อุปกรณ์ของคุณค้างเป็นเวลาหลายสิบนาที) ดังนั้นเราจึงเริ่มต้นด้วยสถานะ CTS ที่อนุมานได้จากลายเซ็นของภาพที่ใช้งานจริง จากนั้นจึงค้นหาสิ่งที่ดูไม่ถูกต้อง ชุมชนนี้ได้ระบุหลายสิ่งที่เรากำลังดูอยู่ เช่น การมีอยู่ของ 'su' เป็นต้น" - jasondclinton_google
เขาจะยังคงตรวจสอบหัวข้อที่เกี่ยวข้องกับ Android Pay บน XDA ต่อไป อย่างไรก็ตาม ไม่สามารถสัญญาว่าจะตอบกลับความคิดเห็นทั้งหมด แต่จะรับฟังอย่างแน่นอน หากต้องการติดตามความคิดเห็นของเขาในกระทู้ให้ตรวจสอบ ที่นี่. อย่างไรก็ตาม นี่เป็นก้าวไปในทิศทางที่ถูกต้อง เมื่อเรารู้ว่าพวกเขากำลังรับฟังและรับข้อเสนอแนะที่สร้างสรรค์ เราหวังว่าจะได้เห็นการสนทนาเพิ่มเติมระหว่างเจ้าหน้าที่ของ Google และสมาชิกฟอรัม