قد يأتي Android 14 مزودًا بشهادات جذر قابلة للتحديث، وتوضح هذه المقالة سبب أهمية ذلك.
تعد شهادات الجذر هي جوهر البنية التحتية للمفتاح العام (PKI)، ويتم توقيعها من قبل المراجع المصدقة الموثوقة، أو المراجع المصدقة. تحتوي المتصفحات والتطبيقات والبرامج الأخرى على مخزن جذر معبأ مسبقًا يشير إلى أن هذه الشهادات موجودة جدير بالثقة. إذا قمت بزيارة موقع ويب يدعم HTTPS ولكنه لا يستخدم شهادة موقعة من قبل CA في المتجر الجذر للمتصفح الخاص بك، فسيتم وضع علامة على موقع الويب على أنه غير آمن. عادةً، يمكن للتطبيقات والمتصفحات تحديث شهاداتها، لكن هاتفك لا يستطيع ذلك إلا إذا كان ذلك عبر تحديث عبر الهواء. قد يتغير ذلك مع أندرويد 14، وفق اسبر.
كانت هناك بعض المخاوف على مر السنين فيما يتعلق بالشهادات، وذلك بسبب اعتمادنا عليها باعتبارها جوهر سلسلة الثقة عندما نزور مواقع الويب. هنا XDA، تم توقيع شهادتنا بواسطة Let's Encrypt، وهي هيئة CA غير ربحية. تم توقيع شهادتهم من قبل مجموعة أبحاث أمن الإنترنت، وهي سلسلة الثقة التي تضمن أن اتصالك بهذا الموقع آمن ومأمون. وينطبق الشيء نفسه على أي موقع ويب آخر تزوره ويستخدم HTTPS.
يحتوي كل نظام تشغيل على متجر جذري خاص به، ولا يختلف نظام Android عن ذلك. يمكنك بالفعل عرض هذا المتجر الجذر على هاتفك الذكي الذي يعمل بنظام Android من خلال الانتقال إلى الأمان والخصوصية في إعدادات جهازك. من هناك، سيعتمد الأمر على نوع الجهاز الذي تستخدمه، ولكن لقطات الشاشة أدناه توضح مكان وجوده على OneUI 5.
لكن الشيء هو أنه حتى هذا المتجر الجذري ليس هو نهاية كل شيء وليس كل شيء. يمكن للتطبيقات اختيار استخدام متجر الجذر الخاص بها والوثوق به (وهو ما يفعله Firefox)، ويمكنها قبول ذلك فقط شهادات محددة (تثبيت الشهادة المدبلجة) في محاولة لتجنب رجل في الوسط (MITM) الهجمات. يمكن للمستخدمين تثبيت شهاداتهم الخاصة، ولكن يتعين على مطوري التطبيقات الاشتراك للسماح لتطبيقاتهم باستخدام هذه الشهادات منذ Android 7.
لماذا يعد الحصول على شهادات الجذر القابلة للتحديث أمرًا مهمًا
من خلال توقيع شهادات Let's Encrypt بواسطة مجموعة أبحاث أمان الإنترنت، أ كثير الإنترنت يعتمد على أمن ISRG. إذا فقدت ISRG السيطرة على مفتاحها الخاص (في حالة سرقته، على سبيل المثال)، فسيتعين على ISRG إلغاء المفتاح. اعتمادًا على كيفية استجابة الشركات، قد يكون الأمر هو عدم إمكانية الوصول إلى بعض أجزاء الإنترنت للأجهزة التي لا تحتوي على شهادات جذر قابلة للتحديث. في حين أن هذا سيناريو كابوسي كارثي تمامًا (وافتراضي بحت)، فهو بالضبط نوع السيناريو الذي تريد جوجل تجنبه. ولهذا السبب فإن ما يحدث مع TrustCor حاليًا قد يشير إلى Google بأن الوقت قد حان لإضافة شهادات جذر قابلة للتحديث إلى Android.
للسياق، تعد TrustCor إحدى هيئات التصديق التي خضعت للتدقيق بعد أن زعم الباحثون أن لها علاقات وثيقة مع مقاول عسكري أمريكي. لم تفقد TrustCor مفتاحها الخاص، لكنها لديه فقدت ثقة العديد من الشركات التي تحتاج إلى تحديد الشهادات التي ستدرجها في متاجرها الجذرية. وزعم هؤلاء الباحثون أن المقاول العسكري الأمريكي TrustCor الذي كان مقربًا منه دفع للمطورين أموالاً لوضع برامج ضارة لجمع البيانات في تطبيقات الهواتف الذكية. في PKI، الثقة هي كل شيء، وقد فقدت TrustCor تلك الثقة بمجرد ظهور تلك الادعاءات. ومنذ ذلك الحين، تخلت شركات مثل Google، وMicrosoft، وMozilla عن TrustCor كمرجع مصدق. ستتطلب إزالة شهادات TrustCor من متجر Android الجذري تحديثًا عبر الهواء، وعلى الرغم من أن الالتزام قد تم بالفعل تم إجراؤها في AOSP، فمن المحتمل أن يستغرق الأمر وقتًا طويلاً حتى نحصل أنت أو أنا على التحديث الذي يسقط شهادات TrustCor من موقعنا الأجهزة.
الجانب الإيجابي هو أنه يمكنك تعطيل شهادات TrustCor على جهازك الآن من خلال الانتقال إلى شهاداتك على جهازك الجهاز، كما أظهرنا أعلاه، ثم قم بالتمرير إلى TrustCor وتعطيل الشهادات الثلاث التي تأتي مع جهازك جهاز. وفقا للمطورين من الجرافينOS المشروع، يجب أن يكون هناك "تأثير ضئيل جدًا على توافق الويب نظرًا لأن هذا المرجع المصدق نادرًا ما يستخدم من قبل أي شخص آخر غير موفر DNS الديناميكي المحدد."
الحل: مشروع الخط الرئيسي
إذا كنت معتادًا على Project Mainline، فيمكنك بالفعل معرفة كيف يمكن أن يساعد ذلك في حل المشكلة. تستخدم Google وحدات Mainline التي يتم تقديمها من خلال إطار خدمات Google Play ومتجر Google Play. يتم تسليم كل وحدة Mainline إما كملف APK، أو ملف APEX، أو APK-in-APEX. عندما يتم تحديث وحدة Mainline، يرى المستخدم إشعار "Google Play System Update" (GPSU) على أجهزته. على نحو فعال، ولتقديم التحديثات للمكونات المهمة، تجاوزت Google الحاجة إلى الانتظار حتى يقوم مصنع المعدات الأصلية (OEM) بنشر التحديث، واختارت القيام بالمهمة نفسها. تعد تقنية Bluetooth والنطاق فائق العرض وحدتين رئيسيتين أساسيتين تتعامل معهما Google.
حسب للالتزام بـ AOSP Gerrit (رصدت من قبل اسبر)، Conscrypt، وهي وحدة Mainline توفر تطبيق TLS لنظام Android، ستدعم شهادات الجذر القابلة للتحديث في التحديث المستقبلي. وهذا يعني أنه يمكن إزالة الشهادات (أو حتى إضافتها) عبر تحديث نظام Google Play من خلال Project Mainline، مما يضمن عملية أسرع بكثير في حالة حدوث موقف آخر مثل TrustCor (أو ما هو أسوأ) في مستقبل. ليس من الواضح متى سيتم طرح هذا، ولكن من المحتمل أن يصل إلى Android 14. من الممكن تقنيًا أن ترغب جوجل في دفعه باستخدام Android 13 QPR2، ولكنه لن يفيد سوى مستخدمي Google Pixel حتى يصل Android 14 إلى الجميع على أي حال في العام المقبل. وذلك لأن مصنعي المعدات الأصلية الآخرين عادةً لا يقومون بنشر تحديثات QPR.
السبب الكامل لوجود ذلك هو أن تتمكن Google من الحفاظ على التحكم في جانب مهم آخر من جوانب أمان الجهاز دون الحاجة إلى الاعتماد على الشركات المصنعة الأصلية التي تدفع التحديثات بدلاً من ذلك. مطلوب حاليًا OTA لتحديث الشهادات، ولكن في حالة الطوارئ، قد يكون كل يوم لا يكون لدى المستخدمين فيه تحديث أمرًا مهمًا. من المؤكد أن استخدام Project Mainline لضمان حصول المستخدمين على تحديثات الشهادات المهمة في الوقت المناسب إذا احتاجوا إليها هو تغيير مرحب به.
مصدر: اسبر