Android Pay es el sistema de pagos de Google. Funciona a través del NFC de los móviles y se puede activar fácilmente gracias a los sensores de huellas dactilar que empiezan a incorporar todos los nuevos dispositivos. Sin embargo los pagos desde el móvil exigen una cosa: seguridad.
Nuestro sistema operativo está construido de tal forma que todas las transacciones sean seguras, se controlen todos los pasos y el pago con el móvil sea algo tan trivial como hacerlo con una tarjeta de crédito. Sin embargo siempre existe la posibilidad de saltarse esas limitaciones. Para hacerlo y acceder a supuestas vulnerabilidades, se necesita imprescindiblemente el acceso root.
Android Pay en root no funcionará
Precisamente por eso Android Pay o Samsung Pay no se llevan bien con dispositivos rooteados. Actualmente hay un par de métodos para que nos funcione Android Pay aunque tengamos root, pero en general fallan cuando intentamos pagar. En definitiva, la aplicación funciona y nos deja añadir tarjetas pero al final el sistema detecta que somos root y evita el pago. Ya se han visto diversos trucos para evitar esta restricción y lograr pagar con dispositivos root, pero ese no es el motivo del artículo de hoy.
La noticia viene de los foros de XDA donde los usuarios discutían sobre Android Pay y root. Un ingeniero de seguridad de Google que trabaja en Android Pay ha escrito una respuesta diciendo básicamente que Android Pay no funcionará en dispositivos rooteados.
«Los usuarios de Android que tienen rooteado su dispositivo se encuentran entre los fans más acérrimos, y os escuchamos». Dice expresamente el ingeniero. Google quiere mantener Android libre y eso significa apoyar a los desarrolladores de ROMs. Sin embargo hay una serie de aplicaciones (que no forman parte de la propia plataforma) que deben mantener su seguridad intacta. La API Safety NET es la que se encarga de ello.
Android Pay trabaja con sistemas de pagos y bancos para chequear la información y pasarla al vendedor. Estas transaciones funcionan igual que los pagos tradicionales. Aquí os dejamos el párrafo en concreto donde se argumenta esta disyuntiva y lo que lleva a Google a bloquear (al menos inicialmente) Android Pay a los usuarios root.
The earlier Google Wallet tap-and-pay service was structured differently and gave Wallet the ability to independently evaluate the risk of every transaction before payment authorization. In contrast, in Android Pay, we work with payment networks and banks to tokenize your actual card information and only pass this token info to the merchant. The merchant then clears these transactions like traditional card purchases. I know that many of you are experts and power users but it is important to note that we don’t really have a good way to articulate the security nuances of a particular developer device to the entire payments ecosystem or to determine whether you personally might have taken particular countermeasures against attacks–indeed many would not have.