Android 14 kommer muligvis med opdaterbare rodcertifikater, og denne artikel forklarer, hvorfor det er vigtigt.
Rodcertifikater er selve kernen i Public Key Infrastructure (PKI), og de er underskrevet af betroede certifikatmyndigheder, eller CA'er. Browsere, applikationer og andre programmer har et færdigpakket rodlager, der betyder, at disse certifikater er troværdig. Hvis du besøger et websted, der understøtter HTTPS, men ikke bruger et certifikat, der er signeret af en CA i din browsers rodbutik, vil webstedet blive markeret som ikke sikkert. Typisk kan applikationer og browsere opdatere deres certifikater, men din telefon kan ikke, medmindre det er via en OTA-opdatering. Det kan ændre sig med Android 14, ifølge Esper.
Der har været et par forskrækkelser gennem årene i forbindelse med certifikater, og det er på grund af vores afhængighed af dem som kernen i en tillidskæde, når vi besøger websteder. Her på XDA, vores certifikat er underskrevet af Let's Encrypt, en non-profit CA. Deres certifikat er underskrevet af Internet Security Research Group, og det er den tillidskæde, der sikrer, at din forbindelse til denne hjemmeside er sikker og sikker. Det samme gælder for enhver anden hjemmeside, du besøger, der bruger HTTPS.
Hvert operativsystem har sin egen indbyggede rodbutik, og Android er ikke anderledes. Du kan faktisk se denne rodbutik på din Android-smartphone ved at navigere til sikkerhed og privatliv i din enheds indstillinger. Derfra vil det afhænge af den type enhed, du bruger, men skærmbillederne nedenfor viser, hvor den er på OneUI 5.
Sagen er dog, at selv denne rodbutik ikke er det sidste. Apps kan vælge at bruge og stole på deres egen rodbutik (hvilket Firefox gør), og de kan kun acceptere specifikke certifikater (dubbed certificate pinning) i et forsøg på at undgå Man-in-the-Middle (MITM) angreb. Brugere kan installere deres egne certifikater, men app-udviklere har været nødt til at tilvælge deres apps at bruge disse certifikater lige siden Android 7.
Hvorfor det er vigtigt at have opdaterbare rodcertifikater
Med Let's Encrypt-certifikater, der krydssigneres af Internet Security Research Group, en masse af internettet er afhængig af ISRG's sikkerhed. Hvis ISRG mistede kontrollen over sin private nøgle (skulle den f.eks. blive stjålet), så skulle ISRG tilbagekalde nøglen. Afhængigt af hvordan virksomheder reagerer, så kan det være tilfældet, at nogle dele af internettet ville blive utilgængelige for enheder, der ikke har opdaterbare rodcertifikater. Selvom det er et fuldstændigt katastrofalt mareridtsscenario (og rent hypotetisk), er det præcis den slags scenarie, som Google ønsker at undgå. Det er derfor, hvad der sker med TrustCor i øjeblikket, kan signalere til Google, at det er tid til at tilføje opdaterbare rodcertifikater til Android.
Til sammenhæng er TrustCor en sådan certifikatmyndighed, der er blevet undersøgt, efter at forskere påstod, at den havde tætte bånd til en amerikansk militærentreprenør. TrustCor har ikke mistet sin private nøgle, men det har mistet tilliden hos mange virksomheder, der skal beslutte, hvilke certifikater de inkluderer i deres rodbutikker. Disse forskere hævdede, at den amerikanske militærentreprenør TrustCor var tæt på havde betalt udviklere for at placere dataindsamlings-malware i smartphone-apps. I PKI er tillid alt, og TrustCor mistede den tillid, da disse påstande kom frem. Siden da har virksomheder som Google, Microsoft og Mozilla droppet TrustCor som certifikatmyndighed. Fjernelse af TrustCors certifikater fra Android-rodbutikken vil dog kræve en OTA-opdatering, og mens forpligtelsen allerede er lavet i AOSP, vil der sandsynligvis gå lang tid, før du eller jeg rent faktisk har den opdatering, der fjerner TrustCors certifikater fra vores enheder.
Fordelen er, at du kan deaktivere TrustCors certifikater på din enhed nu ved at gå til dine certifikater på din enhed, som vi viste ovenfor, og rul derefter til TrustCor og deaktiver de tre certifikater, der følger med din enhed. Ifølge udviklere fra GrapheneOS projekt, skulle der være "meget lille indvirkning på webkompatibilitet, da denne CA knap bliver brugt af andre end en specifik dynamisk DNS-udbyder."
Løsningen: Projekt Mainline
Hvis du er bekendt med Project Mainline, så kan du allerede se, hvordan dette kan hjælpe med at løse problemet. Google gør brug af Mainline-moduler, som leveres gennem Google Play Services-rammen og Google Play Butik. Hvert hovedlinjemodul leveres som enten en APK-fil, en APEX-fil eller en APK-i-APEX. Når et hovedlinjemodul bliver opdateret, ser brugeren en "Google Play System Update" (GPSU) notifikation på sin enhed. For effektivt at levere opdateringer til kritiske komponenter har Google omgået behovet for at vente på, at en OEM udruller en opdatering og har valgt at udføre opgaven selv. Bluetooth og Ultra-wideband er to væsentlige Mainline-moduler, der håndteres af Google.
Ifølge at forpligte sig på AOSP Gerrit (spottet af Esper), Conscrypt, et Mainline-modul, der leverer Androids TLS-implementering, vil understøtte opdaterbare rodcertifikater i en fremtidig opdatering. Dette ville betyde, at certifikater kunne fjernes (eller endda tilføjes) via en Google Play-systemopdatering igennem Project Mainline, der sikrer en meget hurtigere proces, hvis en anden situation som TrustCor (eller værre) skulle opstå i fremtid. Det er ikke klart, hvornår dette vil rulle ud, men det er sandsynligt, at det kommer til Android 14. Det er teknisk muligt, at Google måske vil skubbe det med Android 13 QPR2, men det ville kun gavne Google Pixel-brugere, indtil Android 14 alligevel når ud til alle andre næste år. Dette skyldes, at andre OEM'er typisk ikke udruller QPR-opdateringer.
Hele grunden til, at dette eksisterer, ville være, at Google kan bevare kontrollen over et andet afgørende aspekt af enhedssikkerhed uden at skulle stole på, at OEM'er skubber opdateringer i stedet. En OTA er i øjeblikket påkrævet for at opdatere certifikater, men i en nødsituation kan hver dag, hvor brugerne ikke har en opdatering, have betydning. At bruge Project Mainline til at sikre, at brugere kan få vigtige certifikatopdateringer i tide, hvis de nogensinde er nødvendige, er bestemt en velkommen ændring.
Kilde: Esper