Android Pay nicht mehr mit Systemless Root arbeiten

Es hat Spaß gemacht, solange es dauerte

Zapfhahn. Zahlen. Getan. Wenn Sie Besitzer eines NFC-fähigen Android-Telefons mit Version 4.4+ sind, haben Sie wahrscheinlich schon von Android Pay gehört. Die App unterstützt das Hinzufügen von Karten von vielen verschiedenen Banken und funktioniert bei vielen großen Einzelhändlern. Sie ist auch recht einfach einzurichten. Google bittet Sie praktisch, sich anzumelden !

Das heißt, es sei denn, Sie sind ein Power-User mit einem gerooteten Gerät. Wir hatten die Wahl zwischen Root-Zugriff und allen damit verbundenen Vorteilen (Werbeblocker, Theming, Xposed usw.) und der Verwendung von Android Pay. Google hat erklärt, dass die Einschränkung des Zugriffs auf Android Pay für Root-Benutzer ein Vorsichtsmaßnahme ist, um die Möglichkeit von Verstößen gegen die finanzielle Sicherheit auszuschließen.

Während die Plattform als entwicklerfreundliche Umgebung weiterhin erfolgreich sein kann und soll, gibt es eine Handvoll Anwendungen (die nicht Teil der Plattform sind), bei denen wir sicherstellen müssen, dass das Sicherheitsmodell von Android intakt ist.

Dies wird von Android Pay und sogar von Anwendungen von Drittanbietern über die SafetyNet-API sichergestellt. Wie Sie sich alle vorstellen können, werden Sicherheitsleute wie ich besonders nervös, wenn es um Zahlungsausweise und - per Proxy - echtes Geld geht. Ich und meine Kollegen in der Zahlungsbranche haben lange und intensiv darüber nachgedacht, wie sichergestellt werden kann, dass Android Pay auf einem Gerät ausgeführt wird, das über gut dokumentierte APIs und ein gut bekanntes Sicherheitsmodell verfügt.

Wir kamen zu dem Schluss, dass die einzige Möglichkeit, dies für Android Pay zu tun, darin bestand, sicherzustellen, dass das Android-Gerät die Kompatibilitätstestsuite besteht, die Überprüfungen für das Sicherheitsmodell umfasst. Der frühere Tap-and-Pay-Service von Google Wallet war anders strukturiert und gab Wallet die Möglichkeit, das Risiko jeder Transaktion vor der Zahlungsautorisierung unabhängig zu bewerten. Im Gegensatz dazu arbeiten wir in Android Pay mit Zahlungsnetzwerken und Banken zusammen, um Ihre tatsächlichen Karteninformationen zu kennzeichnen und geben diese Informationen nur an den Händler weiter. Der Händler löscht diese Transaktionen dann wie herkömmliche Kartenkäufe. Ich weiß, dass viele von Ihnen Experten und Power-User sind, aber es ist wichtig zu bemerken, dass wir nicht wirklich eine gute Möglichkeit haben, die Sicherheitsnuancen eines bestimmten Entwicklergeräts auf das gesamte Zahlungssystem zu übertragen oder zu bestimmen, ob Sie persönlich darüber verfügen bestimmte Gegenmaßnahmen gegen Angriffe ergriffen haben - in der Tat würden viele nicht haben. - jasondclinton_google, ein Sicherheitstechniker bei Google, der in unseren Foren spricht

Zum Glück findet sich immer ein Weg (obwohl diesmal ungewollt). Durch Rooten Ihres Geräts, ohne Änderungen an der / system-Partition vorzunehmen (dh systemloses Root-Verzeichnis durch Senior Recognized Developer und Developer Admin Chainfire), konnten Benutzer die Root-Beschränkung umgehen und auf Android Pay zugreifen. In einem Google+ Post erwähnte Chainfire jedoch, dass dieses "Update" lediglich "zufällig" und nicht beabsichtigt ist und dass Android Pay aktualisiert wird, um es zu blockieren. Nun, es sieht so aus, als ob Google endlich eingegriffen und seine SafetyNet-API aktualisiert hat, 91 Tage nach der Freigabe der systemlosen Wurzelmethode.

Hallo Dunkelheit mein alter Freund

Es gibt verschiedene Berichte in Reddit und in unseren eigenen Foren, wonach der neueste SafetyNet-Check systemloses Root erkennt, was bedeutet, dass Sie Android Pay nicht mehr mit einem gerooteten Gerät verwenden können. Wenn Sie ein Android Pay-Benutzer mit einem Gerät sind, das mit der systemlosen Root-Methode gerootet wurde, werden Sie möglicherweise bemerken, dass die App immer noch für Sie geöffnet wird, und Sie werden abgelehnt (ich weiß, es ist schwer zuzugeben ...), aber leider ist dies der Fall wahr. Android Pay überprüft Ihr Gerät nur dann, wenn die App zum ersten Mal installiert und geöffnet wird, wenn eine neue Karte hinzugefügt wird und wenn eine Transaktion ausgeführt wird, auf das Bestehen der Kompatibilitäts-Gerätesuite. Benutzer in unseren Foren bemerken, dass die App Ihnen möglicherweise ein grünes Häkchen gibt und Sie in die falsche Hoffnung wiegt, dass sie funktioniert hat, aber leider wird die Transaktion nicht mehr verarbeitet.

Es ist jedoch nicht alles verloren. Glücklicherweise können Sie su in der SuperSu-App deaktivieren, bevor Sie einen Kauf tätigen, damit Ihr Gerät den CTS-Check vorübergehend bestehen kann. Nachdem Sie den Kauf getätigt haben, können Sie die SuperSu-App öffnen, das Popup-Fenster "Binärdatei aktualisieren" ignorieren und su erneut aktivieren. Sicher eine kleine Unannehmlichkeit, aber zumindest können Sie Ihren Xposed-Modul-Werbeblocker immer noch genießen, während Sie Einkäufe auf Ihrem Telefon tätigen.

Korrektur: Xposed-Module lösen den CTS-Check weiterhin aus, sodass Sie Xposed deaktivieren müssen, bevor Sie Android Pay verwenden können.