Android Pay ไม่ทำงานอีกต่อไปกับรูทแบบไม่มีระบบ

แตะ. จ่าย. เสร็จแล้ว. หากคุณเป็นเจ้าของโทรศัพท์ Android ที่ใช้ NFC เวอร์ชัน 4.4 ขึ้นไป คุณคงเคยได้ยินเรื่องนี้มาก่อน แอนดรอยด์เพย์. แอปนี้รองรับการเพิ่มบัตรจากธนาคารหลายแห่งและใช้ได้กับร้านค้าปลีกรายใหญ่หลายราย และยังตั้งค่าได้ง่ายอีกด้วย Google ใช้งานได้จริง ขอทานคุณต้องสมัคร!

นั่นก็คือ เว้นแต่ว่าคุณเป็นผู้ใช้ระดับสูงที่มีอุปกรณ์ที่รูทแล้ว สำหรับเรา เราต้องเลือกระหว่างการเข้าถึงรูทและสิทธิประโยชน์ทั้งหมดที่ได้รับ (การบล็อกโฆษณา ธีม Xposed ฯลฯ) และการใช้ Android Pay Google ระบุว่าการจำกัดการเข้าถึง Android Pay สำหรับผู้ใช้ที่รูทเป็นขั้นตอนป้องกันไว้ก่อนเพื่อป้องกันโอกาสที่จะเกิดการละเมิดความปลอดภัยทางการเงิน

แม้ว่าแพลตฟอร์มจะสามารถและควรเติบโตต่อไปในฐานะสภาพแวดล้อมที่เป็นมิตรกับนักพัฒนา แต่ก็มีอยู่ไม่มากนัก แอปพลิเคชัน (ที่ไม่ได้เป็นส่วนหนึ่งของแพลตฟอร์ม) ซึ่งเราต้องแน่ใจว่ามีรูปแบบความปลอดภัยของ Android ไม่บุบสลาย

“การรับรอง” นั้นทำได้โดย Android Pay และแม้แต่แอปพลิเคชันบุคคลที่สามผ่าน SafetyNet API ดังที่คุณทุกคนอาจจินตนาการได้ เมื่อข้อมูลประจำตัวในการชำระเงินและเงินจริงเข้ามาเกี่ยวข้อง เจ้าหน้าที่รักษาความปลอดภัยอย่างฉันก็กังวลเป็นพิเศษ ฉันและเพื่อนร่วมงานในอุตสาหกรรมการชำระเงินใช้เวลาพิจารณาอย่างหนักและยาวนานเกี่ยวกับวิธีการตรวจสอบให้แน่ใจว่า Android การจ่ายเงินทำงานบนอุปกรณ์ที่มีชุด API ที่ได้รับการบันทึกไว้อย่างดีและการรักษาความปลอดภัยที่เข้าใจดี แบบอย่าง.

เราสรุปได้ว่าวิธีเดียวที่จะทำเช่นนี้สำหรับ Android Pay คือต้องแน่ใจว่าอุปกรณ์ Android ผ่านการทดสอบความเข้ากันได้ ซึ่งรวมถึงการตรวจสอบโมเดลความปลอดภัยด้วย บริการแตะและจ่ายของ Google Wallet ก่อนหน้านี้มีโครงสร้างที่แตกต่างกัน และทำให้ Wallet สามารถประเมินความเสี่ยงของทุกธุรกรรมได้อย่างอิสระก่อนอนุมัติการชำระเงิน ในทางตรงกันข้าม ใน Android Pay เราทำงานร่วมกับเครือข่ายการชำระเงินและธนาคารเพื่อสร้างโทเค็นข้อมูลบัตรจริงของคุณ และส่งต่อข้อมูลโทเค็นนี้ให้กับผู้ขายเท่านั้น จากนั้นผู้ค้าจะเคลียร์ธุรกรรมเหล่านี้เหมือนกับการซื้อบัตรแบบดั้งเดิม ฉันรู้ว่าพวกคุณหลายคนเป็นผู้เชี่ยวชาญและผู้ใช้ระดับสูง แต่สิ่งสำคัญคือต้องทราบว่าเราไม่มีวิธีที่ดีในการอธิบายความแตกต่างด้านความปลอดภัยของสิ่งใดสิ่งหนึ่ง อุปกรณ์ของนักพัฒนาซอฟต์แวร์ไปยังระบบนิเวศการชำระเงินทั้งหมด หรือเพื่อพิจารณาว่าคุณอาจใช้มาตรการตอบโต้การโจมตีเป็นการส่วนตัวโดยเฉพาะหรือไม่ ซึ่งจริงๆ แล้วหลายคนคงไม่ทำ มี. - jasondclinton_googleวิศวกรด้านความปลอดภัยของ Google พูดในฟอรัมของเรา

โชคดีที่ XDA ค้นพบวิธีอยู่เสมอ (แม้ว่าคราวนี้จะไม่ได้ตั้งใจก็ตาม) โดยการรูทอุปกรณ์ของคุณโดยไม่ทำการแก้ไขพาร์ติชัน /system (เช่น. รูตที่ไม่มีระบบ โดย XDA นักพัฒนาและผู้ดูแลระบบนักพัฒนาอาวุโสที่ได้รับการยอมรับ เชนไฟร์) ผู้ใช้สามารถข้ามข้อจำกัดของรูทและได้ เข้าถึง Android Pay. ใน โพสต์ของ Google+อย่างไรก็ตาม Chainfire กล่าวว่า "การแก้ไข" นี้เป็นเพียงเท่านั้น "โดยบังเอิญ ไม่ใช่โดยการออกแบบ และ Android Pay จะได้รับการอัปเดตเพื่อบล็อก" ดูเหมือนว่าในที่สุด Google ก็ก้าวเข้ามาและอัปเดต SafetyNet API ของพวกเขาแล้ว 91 วันหลังจากการเปิดตัววิธีการรูทแบบไร้ระบบ

สวัสดีความมืด เพื่อนเก่าของฉัน

มีรายงานหลายฉบับเกิดขึ้น เรดดิต และต่อไป ฟอรั่มของเราเอง การตรวจสอบ SafetyNet ใหม่ล่าสุดตรวจพบการรูทที่ไม่มีระบบ ซึ่งหมายความว่าคุณจะไม่สามารถใช้ Android Pay กับอุปกรณ์ที่รูทได้อีกต่อไป หากคุณเป็นผู้ใช้ Android Pay ที่มีอุปกรณ์ที่รูทโดยใช้วิธีการรูทแบบไม่มีระบบ คุณอาจสังเกตเห็นสิ่งนั้น แอปยังคงเปิดอยู่สำหรับคุณ และคุณจะถูกปฏิเสธ (ฉันรู้ว่ามันยากที่จะยอมรับ...) แต่น่าเสียดายที่มัน จริง. Android Pay จะตรวจสอบอุปกรณ์ของคุณเพื่อดูการส่งผ่านชุดอุปกรณ์ที่เข้ากันได้เมื่อมีการติดตั้งและเปิดแอปครั้งแรก เมื่อมีการเพิ่มบัตรใหม่ และในเวลาที่ทำธุรกรรมเท่านั้น ผู้ใช้ในฟอรัมของเราสังเกตว่าแอปอาจให้เครื่องหมายถูกสีเขียวแก่คุณ หลอกให้คุณคาดหวังอย่างผิด ๆ ว่ามันได้ผล แต่อนิจจา ไม่ ธุรกรรมจะไม่ดำเนินการอีกต่อไป

อย่างไรก็ตามไม่ใช่ทั้งหมดจะสูญหายไป โชคดีที่คุณสามารถปิดการใช้งาน su จากแอป SuperSu ก่อนตัดสินใจซื้อเพื่ออนุญาตให้อุปกรณ์ของคุณผ่านการตรวจสอบ CTS ชั่วคราว หลังจากที่คุณทำการซื้อแล้ว คุณสามารถเปิดแอป SuperSu ได้ ไม่ต้องสนใจป๊อปอัป 'อัปเดตไบนารี'และเปิดใช้งาน su อีกครั้ง แน่นอนว่าเป็นความไม่สะดวกเล็กๆ น้อยๆ แต่อย่างน้อยคุณก็ยังสามารถเพลิดเพลินไปกับมันได้ โมดูล Xposed ad-blocker ในขณะที่ทำการซื้อบนโทรศัพท์ของคุณ

การแก้ไข: โมดูล Xposed จะยังคงตรวจสอบ CTS ดังนั้นคุณจะต้องปิดการใช้งาน Xposed ก่อนที่จะใช้ Android Pay