Інженер безпеки Google з Маунтін-В’ю приєднався до XDA, щоб обговорити проблеми з Android Pay на пристроях з root-доступом
Учасник форуму, який, як було підтверджено, працює інженером безпеки для Google з Маунтін-В’ю, приєднався до XDA, щоб обговорити проблеми з Android Pay на пристроях з root-доступом, чому він не працює, і підтвердив, що Google слухає ваші зворотній зв'язок. Щодо root-доступу та Android Pay він сказав таке:
«Користувачі Android, які рутують свої пристрої, є одними з наших найпалкіших шанувальників, і коли ця група говорить, ми слухаємо. Дехто з нас у Google прислухався до подібних тем, і ми знаємо, що ви в нас розчаровані. Я інженер із безпеки, який працюю з Android Pay, тому ця тема мене особливо вразила. Я хотів звернутися до вас усіх і сказати, що ми вас чуємо.
Google прагне залишати Android відкритим, а це означає заохочення розробників до створення. Хоча платформа може і повинна продовжувати процвітати як середовище, зручне для розробників, існує кілька програми (які не є частиною платформи), де ми повинні переконатися, що модель безпеки Android неушкодженим.
Це «забезпечення» здійснюється за допомогою Android Pay і навіть сторонніх програм через SafetyNet API. Як ви всі можете собі уявити, коли задіяні платіжні облікові дані та — за дорученням — реальні гроші, люди з безпеки, як я, нервують ще більше. Я та мої колеги в платіжній індустрії довго і ретельно шукали, як переконатися, що Android Pay працює на пристрої, який має добре задокументований набір API і добре зрозумілу безпеку модель.
Ми дійшли висновку, що єдиний спосіб зробити це для Android Pay — переконатися, що пристрій Android пройшов набір тестів на сумісність, який включає перевірку моделі безпеки. Попередня послуга одноразової оплати Google Wallet була структурована по-іншому й давала Wallet можливість самостійно оцінювати ризик кожної транзакції перед авторизацією платежу. Навпаки, в Android Pay ми працюємо з платіжними мережами та банками, щоб токенізувати інформацію вашої фактичної картки та лише передати цю інформацію продавцю. Потім продавець очищає ці транзакції, як традиційні покупки карткою. Я знаю, що багато з вас є експертами та досвідченими користувачами, але важливо зазначити, що ми насправді не маємо хорошого способу сформулювати нюанси безпеки конкретного пристрій розробника для всієї платіжної екосистеми або щоб визначити, чи могли ви особисто вжити певних заходів протидії атакам – справді, багато хто не вжив би мати. " - jasondclinton_google
Відповідаючи на те, що це означало, що одного дня може з’явитися підтримка рутованих пристроїв, Джейсон заявив «Я не знаю жодного способу зараз або в найближчому майбутньому стверджувати, що конкретна програма сховище даних є безпечним на пристрої, несумісному з CTS. Таким чином, наразі відповідь "ні"" і відповідаючи на заяву одного користувача, що якби йому довелося вибирати між root і Android Pay, вони вибрали б root, Джейсон висловив свої співчуття та стверджував, що він хотів би, щоб було можливо отримати root-функціональність без фактичного використання вкорінення. Він також отримав відгук щодо розміщення попередження в Play Store про те, що програма не працюватиме на пристроях із root-доступом.
На жаль, було підтверджено, що будь-яка неофіційна збірка не зможе пройти SafetyNet через те, що не очікується зображення системи. Він продовжив, заявивши, що. «Один зі способів думати про це полягає в тому, що підпис можна використовувати як проксі для попереднього статусу проходження CTS. (Якби ми сканували кожен файл і телефонний пристрій, перерахований ядром, щоб визначити, у якому середовищі ми працюємо, ми б заблокували ваш пристрій на десятки хвилин.) Отже, ми починаємо зі статусу CTS, отриманого за підписом робочого зображення, а потім шукаємо речі, які виглядають не так. Ця спільнота вже визначила досить багато речей, які ми розглядаємо, наприклад, наявність «su». - jasondclinton_google
Він продовжуватиме стежити за темами, пов’язаними з Android Pay на XDA, однак не може обіцяти відповідати на всі коментарі, але обов’язково буде слухати. Щоб бути в курсі його коментарів у темі, перевіряйте тут. Однак це крок у правильному напрямку. Тепер, коли ми знаємо, що вони слухають і приймають конструктивні відгуки, ми сподіваємося побачити більше дискусій між співробітниками Google і учасниками форуму.