Juan Carlos González
ColaboradorCon el lanzamiento de Android Pay en Estados Unidos surgió una duda ¿qué iba a pasar con los usuarios que tenían root? A día de hoy hay algunos pequeños trucos para saltarse esta limitación pero hasta ahora no habíamos tenido una respuesta oficial que nos hablara claro sobre la decisión que habían tomado en Google. Ahora, por fin, un ingeniero experto en seguridad ha salido para aclarar la situación.
Jason D. Clinton además de trabajar en Google también es un habitual del foro de desarrolladores XDA y ahí explicó la posición actual de la compañía. Según explica, en Mountain View están comprometidos a mantener Android abierto para motivar a los desarrolladores a que produzcan servicios y aplicaciones. Sin embargo, matiza que hay una serie de servicios donde tienen que asegurarse que el modelo de seguridad permanece intacto y funciona.
La seguridad ante todo
Para asegurarse de ello, Android Pay utiliza un estándar del que ya hemos hablado alguna vez: SafetyNet. Una API que intercambia la información de las tarjetas entre el cliente y la tienda a través de tokens cifrados donde en ningún momento los datos quedan al descubierto. La verificación de estos paquetes de información es suficiente para validar de forma segura la transacción.
Según Clinton, la única forma de asegurar que el pago se realizaba correctamente y sin modificaciones, era pasar un test de compatibilidad previo en el que se comprobaba, entre otras cosas, que el dispositivo no estaba rooteado. Dicho esto, el ingeniero de Google empezó a recibir críticas haciendo referencia a que Google Wallet (la aplicación anterior) funcionaba con root sin ningún problema de seguridad aparente.
Ahí es donde Clinton recordó que este tipo de usuarios, al igual que los desarrolladores, son muy valiosos para Google y que cada vez que hacen algún comentario constructivo se tiene en cuenta su opinión. Sin embargo, este ingeniero pone en entredicho que el root se use siempre de forma correcta y donde el usuario es siempre consciente de lo que hace.
Esto es importante porque al final hay mucha diferencia entre quien usa root con herramientas avanzadas y consciente de ellos a quien simplemente sigue este proceso para simplemente cambiar de ROM o instalarse alguna aplicación que requiere de ello como por ejemplo Greenify, Titanium Backup, etc.
De momento esta es la postura de Google y si realmente no pueden garantizar la seguridad de SafetyNet sin root, es lo mejor que pueden hacer. Lo que no le conviene a Android Pay de ningún modo es que su seguridad se ponga en entredicho. La confianza es fundamental en los pagos móviles y si quieren expandirse, deben ganársela y poner las medidas que sean necesarias sin comprometer a los usuarios por supuesto.
En Xataka Android | A falta de Android Pay, estas son las alternativas para pagar con el móvil en España
Ver 11 comentarios
11 comentarios
godsavedavid
Una mierda menos de la que preocuparme en mi movil
apertotes
Pues de momento prefiero pagar con la tarjeta y seguir con Titanium Backup, Greenify y Tasker en el teléfono. Mientras Google no ofrezca sus características de forma nativa en Android, seguirá habiendo mucha gente que pase de Google Pay.
what
De momento esta es la postura de Google y si realmente no pueden garantizar la seguridad de SafetyNet sin root, es lo mejor que pueden hacer.
Supongo, será con root.
androidster
Ya, bueno.. Aún para que llegue a España falta. Lo primero que llegue aquí y después ya veremos lo que pasa.
rafaroldanguerra
No estoy de acuerdo con Google. Cada uno debería saber a qué se expone rooteando el teléfono y si eso provoca problemas de seguridad, que pague con las consecuencias. Yo permitiría la aplicación, pero le añadiría un aviso importante de que con el teléfono rooteado, no se puede garantizar la seguridad y entonces que el usuario decida si le conviene o no.
majordutch
Como lo de pagar con g.pay tenga éxito yo me pongo en modo catastrofista:
Ellos mismos se encargarán de cerrar más el ecosistema, al estilo apple: impedir instalar desde orígenes desconocidos y así obligarnos a todos a pasar por su tienda de google play.
sebaz84
O dicho de otra manera, Android Pay es inseguro si el móvil tiene root... ya, bueno, supongo que el escenario será que el móvil caiga en "malas manos" y por lo tanto los permisos root sirvan para llegar a los datos sensibles de alguna manera... el problema es que aunque no tengas root, la mayoría de los móviles pueden rootearse en un par de minutos, entonces ¿es seguro Android Pay con root o sin él?.. a mi esto no me deja tranquilo.