V Androidu 14 již není povoleno upravovat systémové certifikáty, a to ani jako root

AC Android 14

Android 14 představuje změny ve správě autorizačních certifikátů

Před několika dny Vývojáři HTTP Toolkit sdíleli prostřednictvím příspěvku na blogu, informace o detailu že jste si všimli ve způsobu aktualizace certifikátů certifikačních autorit (CA) v systému Android 14.

A vývojáři HTTP Toolkit vás upozornili na skutečnost, že v systému Android 14 jsou systémové certifikáty Již nebudou spojeny s firmwarem, ale bude dodáván v samostatném balíčku, který je aktualizován prostřednictvím obchodu systémových aplikací „Google Play“.

Když byl Android v roce 2007 původně oznámen organizací Open Handset Alliance (vedenou společností Google), jeho vlajkový projekt byl účtován jako „otevřená platforma“, „poskytující vývojářům novou úroveň otevřenosti“ a poskytující jim „plný přístup ke schopnostem a nástrojům“. telefonů. «.

Od té doby jsme ušli dlouhou cestu, neustále se vzdalujeme od otevřenosti a uživatelské kontroly zařízení a směřujeme k mnohem uzavřenějšímu a dodavateli kontrolovanému světu.

Ve své publikaci vývojáři sdílet některé ze svých obav v evoluci a zejména cestě, kterou se ubíral vývoj Androidu, který se stále více vzdaluje tomu, co bylo slibováno „otevřenou platformou“, protože po spuštění různých verzí se systém „uzavřel více a více."

Zmiňují to v sekci autorizační certifikáty „se výrazně zpřísní a zdá se, že je nemožné upravit sadu důvěryhodných certifikátů“ i na plně rootovaných zařízeních.

Pokud jde o změnu v zacházení s certifikáty v systému Android 14, tento přístup je „předpokládán“, aby bylo snazší udržovat certifikáty aktuální a odebrání certifikátů od kompromitovaných certifikačních autorit a také zabrání výrobcům zařízení v manipulaci se seznamem kořenových certifikátů a učiní proces aktualizace nezávislým na aktualizacích firmwaru.

Místo adresáře /system/etc/security/cacerts, certifikáty v systému Android 14 se načítají z adresáře /apex/com.android.conscrypt/cacerts, hostovaný v samostatném kontejneru APEX (Android Pony EXpress), jehož obsah je dodáván prostřednictvím Google Play a integrita je digitálně řízena a podepsána společností Google. Proto i při plné kontrole systému s právy root uživatel bez provedení změn na platformě nebude moci měnit obsah seznamu systémových certifikátů.

Klíčovým bodem obratu v tomto procesu byl Android 7 (Nougat, vydaný v roce 2016), ve kterém byly certifikační autority zařízení (CA), které byly dříve plně modifikovatelné vlastníkem telefonu, rozděleny do dvou: seznam poskytl dodavatel OS s pevnou CA. a používá se ve výchozím nastavení všemi aplikacemi v telefonu a další sada uživatelsky upravitelných certifikačních autorit, které uživatelé mohli ovládat, ale které byly použity pouze pro aplikace, které se výslovně přihlásily (tedy téměř žádné).

Nové schéma úložiště certifikátů může způsobit potíže vývojářům zapojeným do reverzního inženýrství, dopravní inspekce nebo výzkum firmwaru a mohly by potenciálně zkomplikovat vývoj projektů vyvíjejících alternativní firmware na bázi Androidu, jako je GrapheneOS a LineageOS.

Protože ne všechno je tak dobré, jak to zní, a jak jsme již zmínili, HTTP Toolkit vyjadřuje svůj nesouhlas s novým způsobem doručování, protože nedovolí uživateli provádět změny v systémových certifikátech, i když má root přístup k systém a mají plnou kontrolu firmwaru.

Změna se týká pouze certifikátů systémové CA, Používají se standardně ve všech aplikacích v zařízení a nemají vliv na zpracování uživatelských certifikátů ani možnost přidávat další certifikáty pro jednotlivé aplikace (například možnost přidávat další certifikáty pro prohlížeč zůstává).

Problém se přitom neomezuje pouze na balíček s certifikáty: s přesunem funkcionality systému do samostatně aktualizovaných balíčků APEX se zvýší počet systémových komponent, které uživatel nemůže ovládat nebo měnit, bez ohledu na přítomnost rootovského přístupu. k zařízení.

Nakonec sPokud máte zájem dozvědět se o tom více, můžete zkontrolovat podrobnosti Na následujícím odkazu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.