Android 14 præsenterer ændringer i forvaltningen af myndighedscertifikater
For et par dage siden blev HTTP Toolkit-udviklere delt via et blogindlæg, oplysninger om en detalje som du har bemærket på den måde, certifikatmyndighedscertifikater opdateres (CA) på Android 14.
Og HTTP Toolkit-udviklerne henledte din opmærksomhed på det faktum, at i Android 14 er systemet certifikater De vil ikke længere være knyttet til firmwaren, men det vil blive leveret i en separat pakke, som opdateres gennem "Google Play"-systemapplikationsbutikken.
Da Android oprindeligt blev annonceret i 2007 af Open Handset Alliance (ledet af Google), blev dets flagskibsprojekt faktureret som en "åben platform", "der giver udviklere et nyt niveau af åbenhed" og giver dem "fuld adgang til muligheder og værktøjer af telefoner. «.
Vi er kommet langt siden da, støt og roligt bevæget os væk fra åbenhed og brugerkontrol af enheder og bevæget os mod en meget mere lukket og leverandørstyret verden.
I deres publikation udviklerne deler nogle af deres bekymringer i udviklingen og især den vej, udviklingen af Android har taget, som i stigende grad bevæger sig væk fra det, der blev lovet "at være en åben platform", da systemet med lanceringen af de forskellige versioner er "lukket mere" og mere."
Det nævner de i afsnittet om myndighedscertifikater "blive væsentligt strengere og synes at gøre det umuligt at ændre sættet af betroede certifikater" selv på fuldt rootede enheder.
Med hensyn til ændringen i håndteringen af certifikater i Android 14, Denne tilgang "formodes" at gøre det nemmere at holde certifikater ajour og fjernelse af certifikater fra kompromitterede certificeringsmyndigheder, og vil også forhindre enhedsproducenter i at manipulere med listen over rodcertifikater og gøre opdateringsprocessen uafhængig af firmwareopdateringer.
I stedet for mappen /system/etc/security/cacerts, certifikater i Android 14 de indlæses fra mappen /apex/com.android.conscrypt/cacerts, hostet i en separat APEX-beholder (Android Pony EXpress), hvis indhold leveres via Google Play, og integriteten er digitalt kontrolleret og underskrevet af Google. Derfor, selv med fuld kontrol over systemet med root-rettigheder, vil brugeren, uden at foretage ændringer på platformen, ikke være i stand til at ændre indholdet af listen over systemcertifikater.
Det vigtigste vendepunkt i denne proces var Android 7 (Nougat, udgivet i 2016), hvor enhedscertificeringsmyndigheder (CA'er), der tidligere kunne ændres fuldt ud af telefonens ejer, blev delt i to: en liste blev leveret med fast CA af OS-leverandøren og bruges som standard af alle apps på din telefon og et andet sæt af brugermodificerbare CA'er, som brugerne kunne kontrollere, men som kun blev brugt til apps, der specifikt tilmeldte sig (det vil sige næsten ingen).
Den nye ordning certifikat opbevaring kan forårsage vanskeligheder for udviklere involveret i reverse engineering, trafikinspektion eller firmwareforskning, og kunne potentielt komplicere udviklingen af projekter, der udvikler alternativ Android-baseret firmware, såsom GrapheneOS og LineageOS.
Da ikke alt er så godt, som det lyder, og som vi allerede har nævnt, udtrykker HTTP Toolkit sin uenighed med den nye leveringsmetode, da det ikke vil tillade brugeren at foretage ændringer i systemcertifikaterne, selvom de har root-adgang til system og har fuld firmwarekontrol.
Ændringen påvirker kun systemets CA-certifikater, De bruges som standard i alle applikationer på enheden og påvirker ikke behandlingen af brugercertifikater eller muligheden for at tilføje yderligere certifikater til individuelle applikationer (f.eks. forbliver muligheden for at tilføje yderligere certifikater til browseren).
Samtidig er problemet ikke kun begrænset til pakken med certifikater: Efterhånden som systemfunktionaliteten flyttes til separat opdaterede APEX-pakker, vil antallet af systemkomponenter, som brugeren ikke kan kontrollere eller ændre, stige, uanset tilstedeværelsen af root-adgang til enheden.
Endelig sHvis du er interesseret i at vide mere om det, du kan kontrollere detaljerne I det følgende link.