Mountain View dışından bir Google Güvenlik Mühendisi, root erişimli cihazlarda Android Pay ile ilgili sorunları tartışmak için XDA'ya katıldı
Mountain View dışında Google için Güvenlik Mühendisi olarak çalıştığı doğrulanan bir forum üyesi, XDA'ya şu amaçlarla katıldı: Root erişimli cihazlarda Android Pay ile ilgili sorunları, neden çalışmayacağını tartışın ve Google'ın sizi dinlediğini doğrulayın geri bildirim. Kök erişimi ve Android Pay ile ilgili şunu söyledi:
" Cihazlarını rootlayan Android kullanıcıları en ateşli hayranlarımız arasında yer alıyor ve bu grup konuştuğunda dinliyoruz. Google'da aramızdan birkaçı bunun gibi konuları dinliyor ve bizim için hayal kırıklığına uğradığınızı biliyoruz. Android Pay'de çalışan bir güvenlik mühendisiyim ve bu nedenle bu konu beni özellikle çok etkiledi. Hepinize ulaşıp sizi duyduğumuzu söylemek istedim.
Google, Android'i açık tutmaya kesinlikle kararlıdır ve bu, geliştiricilerin derlemelerini teşvik etmek anlamına gelir. Platform, geliştirici dostu bir ortam olarak gelişmeye devam edebilir ve etmelidir. Android'in güvenlik modelinin uygun olduğundan emin olmamız gereken uygulamalar (platformun parçası olmayan) bozulmamış.
Bu "güvenlik", Android Pay ve hatta SafetyNet API aracılığıyla üçüncü taraf uygulamalar tarafından gerçekleştirilir. Hepinizin tahmin edebileceği gibi, işin içine ödeme bilgileri ve (vekaleten) gerçek para girdiğinde, benim gibi güvenlik çalışanları daha da tedirgin oluyor. Ben ve ödemeler sektöründeki meslektaşlarım Android'in güvenli olduğundan nasıl emin olabileceğimizi uzun uzun inceledik. Ödeme, iyi belgelenmiş bir dizi API'ye ve iyi anlaşılmış bir güvenliğe sahip bir cihazda çalışıyor modeli.
Bunu Android Pay için yapmanın tek yolunun, Android cihazının güvenlik modeli kontrollerini de içeren uyumluluk test paketini geçmesini sağlamak olduğu sonucuna vardık. Daha önceki Google Cüzdan dokun ve öde hizmeti farklı bir şekilde yapılandırılmıştı ve Cüzdan'a, ödeme yetkilendirmesinden önce her işlemin riskini bağımsız olarak değerlendirme olanağı sağlıyordu. Bunun aksine, Android Pay'de, gerçek kart bilgilerinizi jeton haline getirmek ve bu jeton bilgilerini yalnızca satıcıya iletmek için ödeme ağları ve bankalarla birlikte çalışıyoruz. Satıcı daha sonra bu işlemleri geleneksel kart alımları gibi gerçekleştirir. Çoğunuzun uzman ve deneyimli kullanıcılar olduğunuzu biliyorum, ancak belirli bir güvenlik sorununun güvenlik nüanslarını ifade etmenin gerçekten iyi bir yoluna sahip olmadığımızı belirtmek önemlidir. geliştirici cihazını tüm ödeme ekosistemine iletmek veya kişisel olarak saldırılara karşı belirli karşı önlemler alıp almadığınızı belirlemek için (aslında pek çoğu bunu yapmaz) sahip olmak. " - jasondclinton_google
Bunun, root erişimli cihaz desteğinin bir gün gelebileceği anlamına geldiği ihtimaline yanıt veren Jason, şunları söyledi: "Şu anda veya yakın gelecekte belirli bir uygulamanın Bilgi deposu CTS uyumlu olmayan bir cihazda güvenlidir. Bu nedenle şimdilik yanıt "hayır"" ve bir kullanıcının root ile Android Pay arasında seçim yapmak zorunda kalması durumunda root'u seçeceği yönündeki beyanına yanıt vererek, Jason taziyelerini ifade etti ve root işlevselliğine ulaşmanın mümkün olmasını dilediğini iddia etti. köklenme. Ayrıca Play Store'a uygulamanın rootlu cihazlarda çalışmayacağını belirten bir uyarı yerleştirilmesi konusunda da geri bildirim aldı.
Ne yazık ki, sistem görüntüsünün beklenmemesi nedeniyle resmi olmayan herhangi bir yapının SafetyNet'i geçemeyeceği doğrulandı. Bunu belirterek devam etti. "Bunu düşünmenin bir yolu, imzanın önceki CTS geçme durumu için bir vekil olarak kullanılabilmesidir. (Hangi ortamda çalıştığımızı anlamak için çekirdek tarafından numaralandırılan her dosyayı ve telefon cihazını tararsak, cihazınızı onlarca dakika boyunca çıkmaza sokarız.) Bu nedenle, üretim görseli imzasından elde edilen CTS durumuyla başlıyoruz ve ardından doğru görünmeyen şeyleri aramaya başlıyoruz. Bu topluluk, halihazırda baktığımız şeylerin birçoğunu tanımladı: örneğin 'su'nun varlığı." - jasondclinton_google
XDA'da Android Pay ile ilgili konuları izlemeye devam edecek ancak tüm yorumlara yanıt vereceğine söz veremez ancak kesinlikle dinleyecektir. Konudaki yorumlarını güncel tutmak için, kontrol edin Burada. Ancak bu doğru yönde atılmış bir adımdır; artık onları dinlediklerini ve yapıcı geri bildirimler aldıklarını bildiğimize göre, Google personeli ve forum üyeleri arasında daha fazla tartışma görmeyi umuyoruz.