Пре неколико дана Програмери ХТТП Тоолкит-а су поделили путем блога, информације о појединостима које сте приметили у начину на који се ажурирају сертификати ауторитета за издавање сертификата (ЦА) на Андроиду 14.
А програмери ХТТП Тоолкит-а су вам скренули пажњу на чињеницу да су у Андроиду 14 системски сертификати Они више неће бити повезани са фирмвером, али ће бити испоручен у посебном пакету који се ажурира преко „Гоогле Плаи” системске продавнице апликација.
Када је Андроид 2007. године првобитно најављен од стране Опен Хандсет Аллианце (предвођен Гуглом), његов водећи пројекат је најављен као „отворена платформа“, „пружајући програмерима нови ниво отворености“ и дајући им „пун приступ могућностима и алатима од телефона. «.
Од тада смо прешли дуг пут, постепено се удаљавајући од отворености и корисничке контроле над уређајима, и крећући се ка много затворенијем свету и свету који контролишу произвођачи.
У својој публикацији програмери деле неке од својих забринутости у еволуцији и посебно путу којим је ишао развој Андроид-а, који се све више удаљава од онога што је обећано „да буде отворена платформа“, пошто се проласком лансирања различитих верзија систем „више затворио и још."
Они то помињу у одељку сертификати овлашћења „постати знатно строжи и чини се да онемогућава измену скупа поузданих сертификата" чак и на потпуно укорењеним уређајима.
Што се тиче промене у руковању сертификатима у Андроиду 14, Овај приступ би „требао” да олакша одржавање сертификата ажурним и уклањање сертификата од компромитованих ауторитета за сертификацију, а такође ће спречити произвођаче уређаја да мењају листу основних сертификата и учинити процес ажурирања независним од ажурирања фирмвера.
Уместо директоријума /систем/етц/сецурити/цацертс, сертификати у Андроид 14 учитавају се из директоријума /апек/цом.андроид.цонсцрипт/цацертс, смештен у засебном АПЕКС (Андроид Пони ЕКСпресс) контејнеру, чији се садржај испоручује преко Гоогле Плаи-а, а интегритет је дигитално контролисан и потписан од стране Гоогле-а. Стога, чак и уз потпуну контролу система са роот правима, корисник, без измена на платформи, неће моћи да промени садржај листе системских сертификата.
Кључна прекретница у овом процесу био је Андроид 7 (Ноугат, објављен 2016.), у којем су ауторитети за сертификацију уређаја (ЦА) које је претходно могао у потпуности модификовати власник телефона подељени на два: списак је обезбеђен фиксним ЦА од стране добављача ОС-а и подразумевано се користи од стране свих апликација на вашем телефону, као и другог скупа ЦА које су корисници могли да контролишу, али који су коришћени само за апликације које су се посебно укључиле (то јест, скоро ниједна).
Нова шема складиште сертификата може изазвати потешкоће за програмере који се баве обрнутим инжењерингом, инспекцију саобраћаја или истраживање фирмвера, и потенцијално би могао да закомпликује развој пројеката који развијају алтернативни фирмвер заснован на Андроиду, као што су ГрапхенеОС и ЛинеагеОС.
Пошто није све тако добро као што звучи и као што смо већ споменули, ХТТП Тоолкит изражава своје неслагање са новим начином испоруке, јер неће дозволити кориснику да изврши промене у системским сертификатима, чак и ако има роот приступ систем и имају пуну контролу фирмвера.
Промена утиче само на системске ЦА сертификате, Они се подразумевано користе у свим апликацијама на уређају и не утичу на обраду корисничких сертификата нити на могућност додавања додатних сертификата за појединачне апликације (на пример, могућност додавања додатних сертификата за претраживач остаје).
У исто време, проблем није ограничен само на пакет са сертификатима: како се функционалност система премешта у засебно ажуриране АПЕКС пакете, повећаваће се број системских компоненти које корисник не може да контролише или мења, без обзира на присуство роот приступа. на уређај.
Коначно сАко сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.