אנדרואיד 14 מציג שינויים בניהול אישורי הרשות
לפני כמה ימים ה- מפתחי HTTP Toolkit שיתפו באמצעות פוסט בבלוג, מידע על פרט שהבחנת באופן שבו אישורי רשות האישורים מתעדכנים (CA) באנדרואיד 14.
ומפתחי HTTP Toolkit הפנו את תשומת לבכם לעובדה שב-Android 14, אישורי המערכת הם לא יהיו מקושרים יותר לקושחה, אך הוא יסופק בחבילה נפרדת המתעדכנת דרך חנות האפליקציות של מערכת "Google Play".
כאשר אנדרואיד הוכרזה לראשונה ב-2007 על ידי Open Handset Alliance (בהובלת גוגל), פרויקט הדגל שלה הוכרז כ"פלטפורמה פתוחה", "המספקת למפתחים רמה חדשה של פתיחות" ונותנת להם "גישה מלאה ליכולות וכלים של טלפונים. «.
עברנו כברת דרך מאז, מתרחקים בהתמדה מפתיחות ושליטה של המשתמשים במכשירים, ומתקדמים לעבר עולם הרבה יותר סגור ונשלט על ידי ספקים.
בפרסומם המפתחים לחלוק חלק מהדאגות שלהם באבולוציה ובעיקר בדרך שעברה הפיתוח של אנדרואיד, שהולכת ומתרחקת ממה שהובטח "להיות פלטפורמה פתוחה", שכן עם חלוף השקת הגרסאות השונות, המערכת "נסגרה יותר". ועוד."
הם מזכירים את זה בסעיף אישורי רשות "להיות מחמירים משמעותית ונראה שזה בלתי אפשרי לשנות את ערכת האישורים המהימנים" אפילו במכשירים בעלי שורש מלא.
לגבי השינוי בטיפול בתעודות באנדרואיד 14, גישה זו "אמורה" להקל על עדכון התעודות והסרת אישורים מרשויות אישורים שנפגעו, וכן תמנע מיצרני מכשירים להתעסק ברשימת תעודות השורש ולהפוך את תהליך העדכון לבלתי תלוי בעדכוני קושחה.
במקום ספריית /system/etc/security/cacerts, אישורים באנדרואיד 14 הם נטענים מהספרייה /apex/com.android.conscrypt/cacerts, מתארח בקונטיינר נפרד של APEX (Android Pony EXpress), שתכניו מועברים באמצעות Google Play והשלמות נשלטת דיגיטלית וחתומה על ידי גוגל. לכן, גם עם שליטה מלאה במערכת עם זכויות שורש, המשתמש, מבלי לבצע שינויים בפלטפורמה, לא יוכל לשנות את תוכן רשימת תעודות המערכת.
נקודת המפנה העיקרית בתהליך זה הייתה אנדרואיד 7 (Nougat, שוחרר ב-2016), שבה רשויות אישורי מכשירים (CAs) שבעבר ניתנו לשינוי מלא על ידי בעל הטלפון פוצלו לשניים: רשימה סופקה CA קבוע על ידי ספק מערכת ההפעלה ומשמש כברירת מחדל על ידי כל האפליקציות בטלפון שלך, וקבוצה נוספת של CAs הניתנים לשינוי על ידי המשתמש, שמשתמשים יכלו לשלוט בהם, אך שימשו רק עבור אפליקציות שהצטרפו ספציפית (כלומר, כמעט אף אחת).
התכנית החדשה אחסון תעודות עלול לגרום לקשיים למפתחים המעורבים בהנדסה לאחור, בדיקת תעבורה או מחקר קושחה, ועלולים לסבך את הפיתוח של פרויקטים לפיתוח קושחה חלופית מבוססת אנדרואיד, כגון GrapheneOS ו-LineageOS.
מכיוון שלא הכל טוב כמו שזה נשמע וכפי שכבר הזכרנו, ה-HTTP Toolkit מביע את חוסר הסכמתו לשיטת המסירה החדשה, שכן הוא לא יאפשר למשתמש לבצע שינויים בתעודות המערכת, גם אם יש לו גישת שורש ל- מערכת ובעלי שליטה מלאה בקושחה.
השינוי משפיע רק על אישורי CA של המערכת, אשר משמשות כברירת מחדל בכל האפליקציות במכשיר, ואינן משפיעות על עיבוד תעודות המשתמש או על היכולת להוסיף תעודות נוספות עבור יישומים בודדים (לדוגמה, נותרת האפשרות להוסיף תעודות נוספות לדפדפן).
יחד עם זאת, הבעיה אינה מוגבלת רק לחבילה עם אישורים: ככל שפונקציונליות המערכת מועברת לחבילות APEX מעודכנות בנפרד, מספר רכיבי המערכת שהמשתמש אינו יכול לשלוט בהם או לשנותם יגדל, ללא קשר להימצאות גישת שורש למכשיר.
סוף סוף שאם אתה מעוניין לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.