Në Android 14, modifikimi i certifikatave të sistemit nuk lejohet më, qoftë edhe si rrënjë

AC Android 14

Android 14 paraqet ndryshime në menaxhimin e certifikatave të autoritetit

Disa ditë më parë Zhvilluesit e HTTP Toolkit ndanë përmes një postimi në blog, informacion për një detaj që keni vënë re në mënyrën se si përditësohen certifikatat e autoritetit të certifikatës (CA) në Android 14.

Dhe është që zhvilluesit e HTTP Toolkit tërhoqën vëmendjen e tyre që në Android 14, certifikatat e sistemit Ata nuk do të lidhen më me firmuerin, por do të dorëzohet në një paketë të veçantë e cila përditësohet përmes dyqanit të aplikacioneve të sistemit "Google Play".

Kur Android u njoftua fillimisht në 2007 nga Open Handset Alliance (e udhëhequr nga Google), projekti i tij kryesor u faturua si një "platformë e hapur", "duke u ofruar zhvilluesve një nivel të ri hapjeje" dhe duke u dhënë atyre "qasje të plotë në aftësitë dhe mjetet. të telefonave. «.

Ne kemi bërë një rrugë të gjatë që atëherë, duke u larguar vazhdimisht nga hapja dhe kontrolli i përdoruesve i pajisjeve, dhe duke shkuar drejt një bote shumë më të mbyllur dhe të kontrolluar nga shitësit.

Në publikimin e tyre zhvilluesit ndajnë disa nga shqetësimet e tyre në evolucionin dhe veçanërisht rrugën që ka marrë zhvillimi i Android-it, i cili gjithnjë e më shumë po largohet nga ajo që ishte premtuar "të jetë një platformë e hapur", pasi me kalimin e lançimit të versioneve të ndryshme, sistemi është "mbyllur më shumë dhe me shume."

Ata e përmendin atë në seksionin e certifikatave të autoritetit “bëhen dukshëm më të rrepta dhe duket se e bën të pamundur modifikimin e grupit të certifikatave të besuara" edhe në pajisjet plotësisht të rrënjosura.

Lidhur me ndryshimin në trajtimin e certifikatave në Android 14, kjo qasje "supozohet" për ta bërë më të lehtë mbajtjen e certifikatave të përditësuara dhe heqjen e certifikatave nga autoritetet e komprometuara të certifikimit dhe gjithashtu do të parandalojë që prodhuesit e pajisjeve të ngatërrojnë listën e certifikatave rrënjësore dhe do ta bëjnë procesin e përditësimit të pavarur nga përditësimet e firmuerit.

Në vend të drejtorisë /system/etc/security/cacerts, certifikata në Android 14 janë ngarkuar nga drejtoria /apex/com.android.conscrypt/cacerts, i vendosur në një kontejner të veçantë APEX (Android Pony EXpress), përmbajtja e të cilit shpërndahet nëpërmjet Google Play dhe integriteti kontrollohet në mënyrë dixhitale dhe nënshkruhet nga Google. Prandaj, edhe me kontroll të plotë të sistemit me të drejta rrënjësore, përdoruesi, pa bërë ndryshime në platformë, nuk do të jetë në gjendje të ndryshojë përmbajtjen e listës së certifikatave të sistemit.

Pika kryesore e kthesës në këtë proces ishte Android 7 (Nougat, lëshuar në 2016), në të cilin autoritetet e certifikimit të pajisjes (CA) që më parë ishin plotësisht të modifikueshme nga pronari i telefonit u ndanë në dysh: një listë u sigurua CA fikse nga shitësi i sistemit operativ. dhe përdoret si parazgjedhje nga të gjitha aplikacionet në telefonin tuaj, dhe një grup tjetër CA të modifikueshme nga përdoruesi që përdoruesit mund t'i kontrollonin, por që përdoreshin vetëm për aplikacionet që kishin zgjedhur në mënyrë specifike (d.m.th., pothuajse asnjë).

skemën e re ruajtjen e certifikatave mund të shkaktojë vështirësi për zhvilluesit e përfshirë në inxhinierinë e kundërt, inspektimi i trafikut ose kërkimi i firmuerit dhe mund të komplikojë potencialisht zhvillimin e projekteve që zhvillojnë firmware alternativ të bazuar në Android, si GrapheneOS dhe LineageOS.

Meqenëse jo gjithçka është aq e mirë sa tingëllon dhe siç e kemi përmendur tashmë, HTTP Toolkit shpreh mosmarrëveshjen e tij me metodën e re të dorëzimit, pasi nuk do të lejojë përdoruesin të bëjë ndryshime në certifikatat e sistemit, edhe nëse ata kanë qasje rrënjësore në sistem dhe kanë kontroll të plotë të firmuerit.

Ndryshimi prek vetëm certifikatat CA të sistemit, Ato përdoren si parazgjedhje në të gjitha aplikacionet në pajisje dhe nuk ndikojnë në përpunimin e certifikatave të përdoruesit ose aftësinë për të shtuar certifikata shtesë për aplikacione individuale (për shembull, aftësia për të shtuar certifikata shtesë për shfletuesin mbetet).

Në të njëjtën kohë, problemi nuk kufizohet vetëm në paketën me certifikata: ndërsa funksionaliteti i sistemit zhvendoset në paketat APEX të përditësuara veçmas, numri i përbërësve të sistemit që përdoruesi nuk mund t'i kontrollojë ose ndryshojë do të rritet, pavarësisht nga prania e aksesit rrënjë. te pajisja.

Më në fund sNëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.