Показано с 1 по 1 из 1

Тема: В Android 14 пользователь не сможет изменить системные сертификаты

  1. 10.09.2023 19:58 #1
    kot_butch45
    kot_butch45 вне форума
    Супер модератор Array Аватар для kot_butch45
    Регистрация
    05.02.2023
    Сообщений
    719
    Сказал(а) спасибо
    1,911
    Поблагодарили 1,762 раз(а)
    в 706 сообщениях
    Онлайн
    1 Нед 2 Дней 17 ч 10 мин 35 сек
    В среднем
    2 мин 33 сек

    В Android 14 пользователь не сможет изменить системные сертификаты

    В Android 14 пользователь не сможет изменить системные сертификаты, даже при наличии root-доступа

    Разработчики HTTP Toolkit, открытого инструментария для инспектирования HTTPS-трафика, обратили внимание на изменение способа обновления сертификатов удостоверяющих центров (CA) в будущем выпуске платформы Android 14. Системные сертификаты больше не будут привязаны к прошивке, а станут доставляться отдельным пакетом, обновляемым через Google Play.


    Подобный подход упростит поддержание актуальных сертификатов и удаление сертификатов скомпрометированных удостоверяющих центров, а также не позволит производителям устройств манипулировать списком корневых сертификатов и сделает процесс их обновления независимым от обновления прошивки. С другой стороны, новый способ доставки не позволит пользователю вносить изменения в системные сертификаты, даже если он имеет root-доступ в системе и полностью контролирует прошивку.

    Вместо каталога /system/etc/security/cacerts сертификаты в Android 14 загружаются из каталога /apex/com.android.conscrypt/cacerts, размещённого в отдельном контейнере APEX (Android Pony EXpress), содержимое которого доставляется через Google Play, а целостность контролируется цифровой подписью Google.

    Таким образом, даже полностью контролируя систему с правами root, пользователь, без внесения изменений в платформу, не сможет изменить содержимое списка системных сертификатов. Новая схема хранения сертификатов может привести к трудностям у разработчиков, занимающихся обратным инжинирингом, инспектированием трафика или исследованием прошивок, а также потенциально может усложнить разработку проектов, развивающих альтернативные прошивки на базе Android, такие как GrapheneOS и LineageOS.

    Изменение касается только системных CA-сертификатов, по умолчанию используемых во всех приложениях на устройстве, и не затрагивает обработку пользовательских сертификатов и возможность добавить дополнительные сертификаты для отдельных приложений (например, сохраняется возможность добавить дополнительные сертификаты для браузера). При этом проблема не ограничивается только пакетом с сертификатами - по мере выноса функциональности системы в отдельно обновляемые пакеты APEX, будет увеличиваться число системных компонентов, недоступных для контроля и изменения пользователем, независимо от наличия root-доступа к устройству.

    ​Ссылка на Источник
    Ответить с цитированием Ответить с цитированием

  2. 3 пользователя(ей) сказали cпасибо:

    vectorkim (12.09.2023), vlad56 (10.09.2023), Yaroslav (11.09.2023)
« Предыдущая тема | Следующая тема »

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума