Android 14 predstavlja spremembe pri upravljanju potrdil avtoritete
Pred nekaj dnevi Razvijalci orodja HTTP Toolkit so delili prek objave v spletnem dnevniku, informacije o podrobnostih ki ste jih opazili v načinu posodabljanja potrdil overitelja potrdil (CA) v sistemu Android 14.
In razvijalci HTTP Toolkit so vas opozorili na dejstvo, da v sistemu Android 14 sistemska potrdila Ne bodo več povezani z vdelano programsko opremo, vendar bo dostavljen v ločenem paketu, ki se posodablja prek trgovine sistemskih aplikacij »Google Play«.
Ko je leta 2007 združenje Open Handset Alliance (pod vodstvom Googla) prvič objavilo Android, je bil njegov vodilni projekt označen kot "odprta platforma", ki "razvijalcem zagotavlja novo raven odprtosti" in jim daje "poln dostop do zmogljivosti in orodij". telefonov. «.
Od takrat smo prehodili dolgo pot, vztrajno se odmikamo od odprtosti in uporabniškega nadzora naprav ter se premikamo proti veliko bolj zaprtemu svetu, ki ga nadzorujejo prodajalci.
V svoji objavi razvijalci delijo nekaj svojih skrbi v evoluciji in predvsem poti razvoja Androida, ki se vse bolj odmika od tega, kar je bilo obljubljeno "odprta platforma", saj se je s prehodom lansiranja različnih različic sistem "bolj zaprl in več."
To omenjajo v razdelku potrdila avtoritete "postati bistveno strožji in zdi se, da onemogoča spreminjanje niza zaupanja vrednih potrdil" tudi na popolnoma zakoreninjenih napravah.
V zvezi s spremembo ravnanja s potrdili v sistemu Android 14, Ta pristop naj bi "naj" olajšal posodabljanje potrdil in odstranjevanje potrdil od ogroženih overiteljev, poleg tega pa bo proizvajalcem naprav preprečilo poseganje v seznam korenskih potrdil in naredilo postopek posodabljanja neodvisen od posodobitev vdelane programske opreme.
Namesto imenika /system/etc/security/cacerts, potrdila v sistemu Android 14 naložijo se iz imenika /apex/com.android.conscrypt/cacerts, ki gostuje v ločenem vsebniku APEX (Android Pony EXpress), katerega vsebina je dostavljena prek Google Play, celovitost pa digitalno nadzoruje in podpisuje Google. Zato tudi s popolnim nadzorom nad sistemom s korenskimi pravicami uporabnik, ne da bi spremenil platformo, ne bo mogel spremeniti vsebine seznama sistemskih potrdil.
Ključna prelomnica v tem procesu je bil Android 7 (Nougat, izdan leta 2016), v katerem so bili organi za certificiranje naprav (CA), ki jih je prej lahko v celoti spreminjal lastnik telefona, razdeljeni na dva: seznam je zagotovil fiksni CA s strani prodajalca OS. in ga privzeto uporabljajo vse aplikacije v vašem telefonu, ter drug niz uporabniško spremenljivih CA-jev, ki so jih uporabniki lahko nadzirali, vendar so bili uporabljeni samo za aplikacije, ki so se izrecno odločile (to je skoraj nič).
novo shemo shranjevanje certifikatov lahko povzroči težave razvijalcem, ki se ukvarjajo z obratnim inženiringom, pregledovanje prometa ali raziskave vdelane programske opreme in bi lahko potencialno zapletlo razvoj projektov, ki razvijajo alternativno vdelano programsko opremo, ki temelji na Androidu, kot sta GrapheneOS in LineageOS.
Ker ni vse tako dobro, kot se sliši in kot smo že omenili, HTTP Toolkit izraža svoje nestrinjanje z novim načinom dostave, saj uporabniku ne bo omogočil spreminjanja sistemskih certifikatov, tudi če ima korenski dostop do sistem in imajo popoln nadzor nad vdelano programsko opremo.
Sprememba vpliva samo na sistemska potrdila CA, Privzeto se uporabljajo v vseh aplikacijah na napravi in ne vplivajo na obdelavo uporabniških certifikatov ali možnost dodajanja dodatnih certifikatov za posamezne aplikacije (npr. možnost dodajanja dodatnih certifikatov za brskalnik ostaja).
Hkrati pa težava ni omejena le na paket s certifikati: s selitvijo sistemske funkcionalnosti v ločeno posodobljene pakete APEX se bo povečalo število sistemskih komponent, ki jih uporabnik ne more nadzirati ali spreminjati, ne glede na prisotnost korenskega dostopa. na napravo.
Končno sČe vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.