Android Pay ya no funciona con root sin sistema

Fue divertido mientras duró

Grifo. Pagar. Hecho. Si eres el propietario de un teléfono Android con NFC con 4.4+, entonces probablemente hayas oído hablar de Android Pay. La aplicación admite agregar tarjetas de muchos bancos diferentes y funciona en muchos minoristas importantes, y también es bastante fácil de configurar. ¡Google prácticamente te ruega que te registres!

Es decir, a menos que sea un usuario avanzado que tenga un dispositivo rooteado. Para nosotros, tuvimos que elegir entre tener acceso de root y todos los beneficios que conlleva (bloqueo de anuncios, temas, Xposed, etc.) y usar Android Pay. Google ha declarado que restringir el acceso a Android Pay para los usuarios rooteados es un paso de precaución para evitar cualquier posibilidad de violaciones de seguridad financiera.

Si bien la plataforma puede y debe continuar prosperando como un entorno amigable para el desarrollador, hay un puñado de aplicaciones (que no son parte de la plataforma) en las que debemos asegurarnos de que el modelo de seguridad de Android esté intacto.

Esa "garantía" se realiza mediante Android Pay e incluso aplicaciones de terceros a través de la API SafetyNet. Como todos pueden imaginar, cuando se trata de credenciales de pago y, por poder, dinero real, la gente de seguridad como yo se pone nerviosa. Yo y mis contrapartes en la industria de los pagos analizamos detenidamente cómo asegurarnos de que Android Pay se ejecute en un dispositivo que tenga un conjunto bien documentado de API y un modelo de seguridad bien entendido.

Llegamos a la conclusión de que la única forma de hacer esto para Android Pay era garantizar que el dispositivo Android pasara el conjunto de pruebas de compatibilidad, que incluye comprobaciones para el modelo de seguridad. El anterior servicio de pago y pago de Google Wallet se estructuraba de manera diferente y le daba a Wallet la capacidad de evaluar de forma independiente el riesgo de cada transacción antes de la autorización de pago. Por el contrario, en Android Pay, trabajamos con redes de pago y bancos para tokenizar la información real de su tarjeta y solo pasar esta información de token al comerciante. Luego, el comerciante borra estas transacciones como compras tradicionales con tarjeta. Sé que muchos de ustedes son expertos y usuarios avanzados, pero es importante tener en cuenta que realmente no tenemos una buena manera de articular los matices de seguridad de un dispositivo desarrollador en particular para todo el ecosistema de pagos o para determinar si usted personalmente podría tener tomado contramedidas particulares contra los ataques; de hecho, muchos no lo habrían hecho. - jasondclinton_google, un ingeniero de seguridad en Google hablando en nuestros foros

Afortunadamente, siempre encuentra un camino (aunque esta vez, sin querer). Al rootear su dispositivo sin realizar modificaciones en la partición / system (es decir, root sin sistema por Senior Recognized Developer y Developer Admin Chainfire), los usuarios pudieron evitar la restricción de root y acceder a Android Pay. Sin embargo, en una publicación de Google+, Chainfire mencionó que esta "solución" es simplemente "por accidente y no por diseño, y Android Pay se actualizará para bloquearlo". Bueno, parece que Google finalmente ha intervenido y actualizado su API SafetyNet, 91 días después del lanzamiento del método de enraizamiento sin sistema.

Hola oscuridad mi vieja amiga

Hay varios informes que circulan en Reddit y en nuestros propios foros de que la última comprobación de SafetyNet detecta la raíz sin sistema, lo que significa que ya no puede usar Android Pay con un dispositivo rooteado. Si eres un usuario de Android Pay con un dispositivo rooteado usando el método de raíz sin sistema, entonces podrías notar que la aplicación aún se abre para ti y estarás en negación (lo sé, es difícil de admitir ...) pero desafortunadamente es cierto. Android Pay solo verifica que su dispositivo pase el conjunto de dispositivos de compatibilidad cuando la aplicación se instala y abre por primera vez, cuando se agrega una nueva tarjeta y en el momento de una transacción. Los usuarios en nuestros foros están señalando que la aplicación puede darle una marca de verificación verde, lo que lo induce a una falsa esperanza de que funcionó, pero lamentablemente, no, la transacción ya no se procesará.

Sin embargo, no todo está perdido. Afortunadamente, puede deshabilitar su desde la aplicación SuperSu antes de realizar una compra para permitir temporalmente que su dispositivo pase el cheque CTS. Luego, después de realizar su compra, puede abrir la aplicación SuperSu, ignorar la ventana emergente 'actualizar binario' y volver a habilitar su. Un inconveniente menor, claro, pero al menos aún podrá disfrutar de su bloqueador de anuncios de módulos Xposed mientras realiza compras en su teléfono.

Corrección: los módulos Xposed aún dispararán la verificación CTS, por lo que también tendrá que deshabilitar Xposed antes de usar Android Pay.