android-pay

A Google trava uma guerra contra o root no Android há muito tempo. Eles nunca gostaram disso por questões de segurança, e antes de sair punindo todo mundo, tentou convencer os usuários a não se sentirem seduzidos a experimentar a prática. Ao longo dos anos, o Android recebeu funcionalidades que só poderiam ser obtidas rooteando o smartphone, indo de capturas de tela até suporte para codificação, passando pela possibilidade de configurar e utilizar VPNs.

Ou seja, evoluir ao ponto do usuário não mais precisar do acesso root, cujo processo sempre foi um problema. A possibilidade de oferecer acesso de administrador ao usuário provocou, entre outras coisas, a proliferação dos malwares. A Google e os fabricantes foram fechando o cerco, com bootloaders e serviços como o Knos, agentes de segurança digital para aplicativos e outros procedimentos.

 

Se temos a lei, temos a punição

Não é preciso pesquisar muito para ver que a comunidade de desenvolvedores está sempre um passo na frente da Google. A cada nova versão do sistema operacional, um novo método de root aparece rapidamente. Logo, a Google decidiu assumir as rédeas do assunto.

Já não falamos que os termos de uso não permitem o acesso root, pois isso foi algo que sempre foi possível se reverter para eventualmente enviar o dispositivo para uma assistência técnica. Sem provas, não há delito. Mas a desativação dos serviços é algo que a Google pode controlar, e como o root é algo permanente (ainda que reversível), os serviços também se desabilitam da mesma forma.

A segurança de nossas finanças em debate

samsung-pay

A evolução do software e do hardware no pagamento em modo contactless é uma realidade. Os serviços se proliferam e são adotados pelos usuários de forma escalonada, onde os fabricantes não querem perder essa opoertunidade. Apple Pay, Samsung Pay, LG Pay e outros que estão por vir. Obviamente, o Android Pay entra na briga e com muita força. Seria a solução nativa dos dispositivos Android, e o usuário ficaria sem ela se o smartphone for rooteado.

Nem a Google, responsável pelo sistema, nem o fabricante, querem expor a segurança dos dados do usuário a esse nível. Logo, para reduzir os riscos que um aplicativo malicioso acesse os dados bancários e de pagamento antes de serem encriptados para a plataforma de pagamento, a Google proibirá o acesso root, ou melhor, que o Google Pay seja executado em dispositivos com acesso root.

 

A Samsung já coloca isso em prática

A Samsung possui o Knox, uma espécie de polícia para os dispositivos da empresa. Permite que o usuário faça algumas coisas e outras não. A cada mudança de ROM e quando desbloqueado o bootloader, tudo fica registrado no Knox, que estabelece rotinas de segurança mediante esse comportamento, e autorizando ou não o Samsung Pay.

Quando rooteamos um dispositivo da Samsung, o Knox já entende que o Samsung Pay não deve ser utilizado. O sistema de pagamentos dos coreanos não é nativo no Android, logo, pode ser desativado sem problemas. O NFC se converte automaticamente em um simples modo de pareamento com dispositivos Bluetooth e de envio de arquivos, o leitor de digitais não valida pagamentos, e só serve para identificar usuários e desbloquear o dispositivo. Nada de pagamento pelo smartphone.

 

A guerra dos exploits

Porém, os desenvolvedores seguem tentando burlar o bloqueio imposto pela Google. A Chainfire, responsável pelo SuperSU, encontrou um exploit no Android que permite o root dos dispositivos sem modificações na área /System, fazendo com que o Google Play funcione mesmo com root.

O novo método durou poucos dias. A nova leva de correções da Google já bloqueou o exploit, deixando mais e mais claro o posicionamento de Mountain View sobre o assunto: se quer acessar os pagamentos com o seu smartphone, não ultrapasse a linha vermelha estabelecida por eles.

E essa linha é o acesso root.