I Android 14 er det ikke lenger tillatt å endre systemsertifikater, selv ikke som root

AC Android 14

Android 14 presenterer endringer i administrasjonen av autorisasjonssertifikater

For noen dager siden ble HTTP Toolkit-utviklere delt via et blogginnlegg, informasjon om en detalj som du la merke til på måten sertifiseringsinstanssertifikater oppdateres (CA) på Android 14.

Og HTTP Toolkit-utviklerne trakk oppmerksomheten din til det faktum at i Android 14 er systemet sertifikater De vil ikke lenger være knyttet til fastvaren, men den vil bli levert i en egen pakke som oppdateres gjennom «Google Play»-systemapplikasjonsbutikken.

Da Android opprinnelig ble annonsert i 2007 av Open Handset Alliance (ledet av Google), ble flaggskipprosjektet deres fakturert som en "åpen plattform", "gir utviklere et nytt nivå av åpenhet" og gir dem "full tilgang til muligheter og verktøy av telefoner. «.

Vi har kommet langt siden den gang, og beveget oss stadig vekk fra åpenhet og brukerkontroll av enheter, og beveget oss mot en mye mer lukket og leverandørkontrollert verden.

I sin publikasjon utviklerne dele noen av bekymringene deres i utviklingen og spesielt veien som utviklingen av Android har tatt, som i økende grad beveger seg bort fra det som ble lovet "å være en åpen plattform", siden med passasjen av lanseringen av de forskjellige versjonene, har systemet "lukket mer og mer."

De nevner det i avsnittet om autorisasjonssertifikater «bli betydelig strengere og ser ut til å gjøre det umulig å endre settet med pålitelige sertifikater" selv på fullt rotfestede enheter.

Når det gjelder endringen i håndteringen av sertifikater i Android 14, Denne tilnærmingen "skal" gjøre det enklere å holde sertifikater oppdatert og fjerning av sertifikater fra kompromitterte sertifiseringsmyndigheter, og vil også forhindre enhetsprodusenter fra å tukle med listen over rotsertifikater og gjøre oppdateringsprosessen uavhengig av fastvareoppdateringer.

I stedet for katalogen /system/etc/security/cacerts, sertifikater i Android 14 de lastes fra /apex/com.android.conscrypt/cacerts-katalogen, vert i en egen APEX (Android Pony EXpress)-beholder, hvis innhold leveres via Google Play og integriteten er digitalt kontrollert og signert av Google. Derfor, selv med full kontroll over systemet med rotrettigheter, vil brukeren, uten å gjøre endringer på plattformen, ikke kunne endre innholdet i listen over systemsertifikater.

Det viktigste vendepunktet i denne prosessen var Android 7 (Nougat, utgitt i 2016), der enhetssertifiseringsmyndigheter (CA-er) som tidligere var fullstendig modifiserbare av telefoneieren ble delt i to: en liste ble gitt fast CA av OS-leverandøren og brukes som standard av alle apper på telefonen din, og et annet sett med brukermodifiserbare CA-er som brukere kunne kontrollere, men som bare ble brukt for apper som spesifikt har valgt seg inn (det vil si nesten ingen).

Den nye ordningen sertifikatlagring kan forårsake vanskeligheter for utviklere som er involvert i omvendt utvikling, trafikkinspeksjon eller fastvareforskning, og kan potensielt komplisere utviklingen av prosjekter som utvikler alternativ Android-basert fastvare, som GrapheneOS og LineageOS.

Siden ikke alt er så bra som det høres ut, og som vi allerede har nevnt, uttrykker HTTP Toolkit sin uenighet med den nye leveringsmetoden, siden den ikke vil tillate brukeren å gjøre endringer i systemsertifikatene, selv om de har root-tilgang til system og har full fastvarekontroll.

Endringen påvirker bare systemets CA-sertifikater, De brukes som standard i alle applikasjoner på enheten, og påvirker ikke behandlingen av brukersertifikater eller muligheten til å legge til flere sertifikater for individuelle applikasjoner (for eksempel gjenstår muligheten til å legge til flere sertifikater for nettleseren).

Samtidig er problemet ikke bare begrenset til pakken med sertifikater: ettersom systemfunksjonalitet flyttes til separat oppdaterte APEX-pakker, vil antallet systemkomponenter som brukeren ikke kan kontrollere eller endre, øke, uavhengig av tilstedeværelsen av rottilgang til enheten.

Endelig sHvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.