Con el lanzamiento de Android Pay en Estados Unidos surgió una duda ¿qué iba a pasar con los usuarios que tenían root? A día de hoy hay algunos pequeños trucos para saltarse esta limitación pero hasta ahora no habíamos tenido una respuesta oficial que nos hablara claro sobre la decisión que habían tomado en Google. Ahora, por fin, un ingeniero experto en seguridad ha salido para aclarar la situación.
Jason D. Clinton además de trabajar en Google también es un habitual del foro de desarrolladores XDA y ahí explicó la posición actual de la compañía. Según explica, en Mountain View están comprometidos a mantener Android abierto para motivar a los desarrolladores a que produzcan servicios y aplicaciones. Sin embargo, matiza que hay una serie de servicios donde tienen que asegurarse que el modelo de seguridad permanece intacto y funciona.
La seguridad ante todo
Para asegurarse de ello, Android Pay utiliza un estándar del que ya hemos hablado alguna vez: SafetyNet. Una API que intercambia la información de las tarjetas entre el cliente y la tienda a través de tokens cifrados donde en ningún momento los datos quedan al descubierto. La verificación de estos paquetes de información es suficiente para validar de forma segura la transacción.
Según Clinton, la única forma de asegurar que el pago se realizaba correctamente y sin modificaciones, era pasar un test de compatibilidad previo en el que se comprobaba, entre otras cosas, que el dispositivo no estaba rooteado. Dicho esto, el ingeniero de Google empezó a recibir críticas haciendo referencia a que Google Wallet (la aplicación anterior) funcionaba con root sin ningún problema de seguridad aparente.
Ahí es donde Clinton recordó que este tipo de usuarios, al igual que los desarrolladores, son muy valiosos para Google y que cada vez que hacen algún comentario constructivo se tiene en cuenta su opinión. Sin embargo, este ingeniero pone en entredicho que el root se use siempre de forma correcta y donde el usuario es siempre consciente de lo que hace.
Esto es importante porque al final hay mucha diferencia entre quien usa root con herramientas avanzadas y consciente de ellos a quien simplemente sigue este proceso para simplemente cambiar de ROM o instalarse alguna aplicación que requiere de ello como por ejemplo Greenify, Titanium Backup, etc.
De momento esta es la postura de Google y si realmente no pueden garantizar la seguridad de SafetyNet sin root, es lo mejor que pueden hacer. Lo que no le conviene a Android Pay de ningún modo es que su seguridad se ponga en entredicho. La confianza es fundamental en los pagos móviles y si quieren expandirse, deben ganársela y poner las medidas que sean necesarias sin comprometer a los usuarios por supuesto.
En Xataka Android | A falta de Android Pay, estas son las alternativas para pagar con el móvil en España
Ver 11 comentarios