Android 14, yetki sertifikalarının yönetiminde değişiklikler sunuyor
Birkaç gün önce HTTP Araç Seti geliştiricileri paylaştı bir blog yazısı aracılığıyla, bir detay hakkında bilgi Sertifika yetkilisi sertifikalarının güncellenme biçiminde fark ettiğiniz (CA) Android 14'te.
Ve HTTP Araç Seti geliştiricileri dikkatinizi Android 14'te sistem sertifikalarının Artık ürün yazılımına bağlı olmayacaklarancak "Google Play" sistem uygulama mağazası aracılığıyla güncellenen ayrı bir pakette teslim edilecektir.
Android, 2007 yılında Open Handset Alliance (Google liderliğindeki) tarafından ilk kez duyurulduğunda, amiral gemisi projesi, "geliştiricilere yeni bir açıklık düzeyi sağlayan" ve onlara "yeteneklere ve araçlara tam erişim sağlayan" bir "açık platform" olarak ilan edilmişti. telefonların. «.
O zamandan bu yana uzun bir yol kat ettik; cihazların açıklığından ve kullanıcı kontrolünden giderek uzaklaşarak çok daha kapalı ve satıcı kontrollü bir dünyaya doğru ilerledik.
Geliştiriciler yayınlarında kaygılarından bazılarını paylaş Evrimde ve özellikle de "açık bir platform olma" vaadinden giderek uzaklaşan Android'in gelişiminin izlediği yolda, çünkü farklı sürümlerin piyasaya sürülmesiyle sistem "daha fazla kapandı" ve dahası."
Bundan bahsederler yetki sertifikaları bölümünde "önemli ölçüde daha katı hale gelmek ve güvenilir sertifikalar kümesini değiştirmeyi imkansız hale getiriyor gibi görünüyor" tamamen köklü cihazlarda bile.
Android 14'teki sertifikaların işlenmesindeki değişiklikle ilgili olarak, Bu yaklaşımın sertifikaları güncel tutmayı kolaylaştıracağı "varsayılıyor" ve güvenliği ihlal edilmiş sertifika yetkililerinden sertifikaların kaldırılması, aynı zamanda cihaz üreticilerinin kök sertifikalar listesine müdahale etmesini önleyecek ve güncelleme sürecini ürün yazılımı güncellemelerinden bağımsız hale getirecektir.
/system/etc/security/cacerts dizini yerine, Android 14'teki sertifikalar /apex/com.android.conscrypt/cacerts dizininden yüklenirlerayrı bir APEX (Android Pony EXpress) kapsayıcısında barındırılan, içeriği Google Play aracılığıyla iletilen ve bütünlüğü Google tarafından dijital olarak kontrol edilen ve imzalanan. Bu nedenle kullanıcı, kök haklarına sahip sistem üzerinde tam kontrole sahip olsa bile, platformda değişiklik yapmadan sistem sertifikaları listesinin içeriğini değiştiremeyecektir.
Bu süreçteki en önemli dönüm noktası, daha önce telefon sahibi tarafından tamamen değiştirilebilen cihaz sertifika yetkililerinin (CA'lar) ikiye bölündüğü Android 7'ydi (Nougat, 2016'da piyasaya sürüldü): İşletim sistemi satıcısı tarafından sabit CA'nın bir listesi sağlandı. ve telefonunuzdaki tüm uygulamalar ve kullanıcıların kontrol edebildiği, kullanıcı tarafından değiştirilebilen başka bir CA kümesi tarafından varsayılan olarak kullanılır, ancak bunlar yalnızca özel olarak etkinleştirilen uygulamalar için kullanılır (yani neredeyse hiçbiri).
Yeni şema sertifika depolama tersine mühendislikle ilgilenen geliştiriciler için zorluklara neden olabilir, trafik denetimi veya aygıt yazılımı araştırması ve GrapheneOS ve LineageOS gibi alternatif Android tabanlı aygıt yazılımı geliştiren projelerin geliştirilmesini potansiyel olarak karmaşık hale getirebilir.
Her şey göründüğü kadar iyi olmadığından ve daha önce de belirttiğimiz gibi, HTTP Araç Takımı, yeni dağıtım yöntemine karşı olduğunu ifade eder, çünkü kullanıcının sistem sertifikalarında değişiklik yapmasına izin vermez, kök erişimine sahip olsalar bile. Sistem ve Tam ürün yazılımı kontrolüne sahip olun.
Değişiklik yalnızca sistem CA sertifikalarını etkiler. Cihazdaki tüm uygulamalarda varsayılan olarak kullanılırlar ve kullanıcı sertifikalarının işlenmesini veya bireysel uygulamalar için ek sertifikalar ekleme yeteneğini etkilemezler (örneğin, tarayıcı için ek sertifikalar ekleme yeteneği kalır).
Aynı zamanda sorun yalnızca sertifika içeren paketle sınırlı değil: Sistem işlevselliği ayrı ayrı güncellenen APEX paketlerine taşındıkça, root erişiminin varlığına bakılmaksızın kullanıcının kontrol edemediği veya değiştiremediği sistem bileşenlerinin sayısı artacaktır. cihaza.
Sonunda sBu konuda daha fazla bilgi edinmek istiyorsanız, detayları kontrol edebilirsin Aşağıdaki bağlantıda.