O Android já não paga mais com a raiz sem sistema

Foi divertido enquanto durou

Toque. Pagar. Feito. Se você é proprietário de um telefone Android habilitado para NFC executando 4.4 ou superior, provavelmente já ouviu falar do Android Pay. O aplicativo suporta a adição de cartões de muitos bancos diferentes e funciona em muitos grandes varejistas, e também é muito fácil de configurar. O Google está praticamente implorando para você se inscrever!

Ou seja, a menos que você seja um usuário avançado com um dispositivo raiz. Para nós, tivemos que escolher entre ter acesso root e todos os benefícios que ele implica (bloqueio de anúncios, temas, Xposed etc.) e usar o Android Pay. O Google afirmou que restringir o acesso ao Android Pay para usuários enraizados era uma medida de precaução para evitar qualquer chance de violações de segurança financeira.

Embora a plataforma possa e deva continuar prosperando como um ambiente favorável ao desenvolvedor, há um punhado de aplicativos (que não fazem parte da plataforma) onde precisamos garantir que o modelo de segurança do Android esteja intacto.

Essa “garantia” é feita pelo Android Pay e até aplicativos de terceiros através da API SafetyNet. Como todos podem imaginar, quando estão envolvidas credenciais de pagamento e, por procuração, dinheiro real, pessoas da segurança como eu ficam mais nervosas. Eu e meus colegas do setor de pagamentos analisamos de maneira longa e detalhada como garantir que o Android Pay esteja sendo executado em um dispositivo com um conjunto bem documentado de APIs e um modelo de segurança bem compreendido.

Concluímos que a única maneira de fazer isso no Android Pay era garantir que o dispositivo Android passasse no conjunto de testes de compatibilidade - que inclui verificações do modelo de segurança. O serviço de toque e pagamento anterior da Google Wallet foi estruturado de maneira diferente e deu à Wallet a capacidade de avaliar independentemente o risco de cada transação antes da autorização de pagamento. Por outro lado, no Android Pay, trabalhamos com redes e bancos de pagamento para tokenizar as informações reais do cartão e transmitir essas informações apenas ao comerciante. O comerciante limpa essas transações como as compras tradicionais com cartão. Sei que muitos de vocês são especialistas e usuários avançados, mas é importante observar que não temos realmente uma boa maneira de articular as nuances de segurança de um dispositivo desenvolvedor específico para todo o ecossistema de pagamentos ou para determinar se você pode ter pessoalmente tomaram medidas especiais contra ataques - na verdade muitos não teriam. - jasondclinton_google, engenheiro de segurança do Google, falando em nossos fóruns

Felizmente, sempre encontra um caminho (embora desta vez, sem querer). Ao fazer o root no seu dispositivo sem fazer modificações na partição / system (isto é, raiz sem sistema pelo desenvolvedor sênior reconhecido e pelo administrador de desenvolvedor Chainfire), os usuários conseguiram contornar a restrição de raiz e acessar o Android Pay. Em uma publicação no Google+, no entanto, Chainfire mencionou que essa "correção" é meramente "acidental e não por design, e o Android Pay será atualizado para bloqueá-la". Bem, parece que o Google finalmente entrou e atualizou sua API SafetyNet, 91 dias após o lançamento do método de enraizamento sem sistema.

Olá escuridão, minha velha amiga

Existem vários relatórios no Reddit e em nossos próprios fóruns de que a verificação SafetyNet mais recente detecta a raiz sem sistema, o que significa que você não pode mais usar o Android Pay com um dispositivo enraizado. Se você é um usuário do Android Pay com um dispositivo enraizado usando o método de raiz sem sistema, pode perceber que o aplicativo ainda abre para você e estará em negação (eu sei, é difícil admitir ...), mas infelizmente é verdadeiro. O Android Pay verifica apenas se o seu dispositivo passou no conjunto de dispositivos de compatibilidade quando o aplicativo foi instalado e aberto pela primeira vez, quando um novo cartão foi adicionado e no momento de uma transação. Os usuários de nossos fóruns estão notando que o aplicativo pode lhe dar uma marca de verificação verde, acalentando você com falsas esperanças de que funcionou, mas, infelizmente, não, a transação não será mais processada.

Nem tudo está perdido, no entanto. Felizmente, você pode desativar o su do aplicativo SuperSu antes de fazer uma compra para permitir temporariamente que seu dispositivo seja aprovado na verificação CTS. Depois de fazer sua compra, você pode abrir o aplicativo SuperSu, ignorar o pop-up 'atualizar binário' e reativar o su. Um pequeno inconveniente, claro, mas pelo menos você ainda poderá aproveitar o bloqueador de anúncios dos módulos Xposed enquanto faz compras no seu telefone.

Correção: os módulos Xposed ainda ativam a verificação CTS, então você também precisará desativar o Xposed antes de usar o Android Pay.