एंड्रॉइड 14 अपडेट करने योग्य रूट प्रमाणपत्र के साथ आ सकता है, और यह लेख बताता है कि यह क्यों मायने रखता है।
रूट प्रमाणपत्र सार्वजनिक कुंजी इन्फ्रास्ट्रक्चर (पीकेआई) के मूल में हैं, और वे विश्वसनीय प्रमाणपत्र प्राधिकारियों द्वारा हस्ताक्षरित हैं, या सी.ए. ब्राउज़र, एप्लिकेशन और अन्य प्रोग्राम में एक प्री-पैकेज्ड रूट स्टोर होता है जो दर्शाता है कि ये प्रमाणपत्र हैं भरोसेमंद। यदि आप ऐसी वेबसाइट पर जाते हैं जो HTTPS का समर्थन करती है लेकिन आपके ब्राउज़र के रूट स्टोर में CA द्वारा हस्ताक्षरित प्रमाणपत्र का उपयोग नहीं कर रही है, तो वेबसाइट को सुरक्षित नहीं के रूप में चिह्नित किया जाएगा। आमतौर पर, एप्लिकेशन और ब्राउज़र अपने प्रमाणपत्र अपडेट कर सकते हैं, लेकिन आपका फ़ोन तब तक ऐसा नहीं कर सकता, जब तक कि यह OTA अपडेट के माध्यम से न हो। वह बदल सकता है एंड्रॉइड 14, के अनुसार Esper.
पिछले कुछ वर्षों में प्रमाणपत्रों को लेकर कुछ आशंकाएँ रही हैं, और ऐसा इसलिए है क्योंकि जब हम वेबसाइटों पर जाते हैं तो विश्वास की श्रृंखला के मूल के रूप में उन पर हमारी निर्भरता होती है। यहाँ पर एक्सडीए, हमारे प्रमाणपत्र पर लेट्स एनक्रिप्ट, एक गैर-लाभकारी सीए द्वारा हस्ताक्षरित है। उनका प्रमाणपत्र इंटरनेट सुरक्षा अनुसंधान समूह द्वारा हस्ताक्षरित है, और यह विश्वास की वह श्रृंखला है जो यह सुनिश्चित करती है कि इस वेबसाइट से आपका कनेक्शन सुरक्षित है। यही बात आपके द्वारा देखी जाने वाली किसी भी अन्य वेबसाइट पर भी लागू होती है जो HTTPS का उपयोग करती है।
प्रत्येक ऑपरेटिंग सिस्टम का अपना अंतर्निहित रूट स्टोर होता है, और एंड्रॉइड भी अलग नहीं है। आप वास्तव में अपने डिवाइस की सेटिंग्स में सुरक्षा और गोपनीयता पर नेविगेट करके इस रूट स्टोर को अपने एंड्रॉइड स्मार्टफोन पर देख सकते हैं। वहां से, यह आपके द्वारा उपयोग किए जा रहे डिवाइस के प्रकार पर निर्भर करेगा, लेकिन नीचे दिए गए स्क्रीनशॉट दिखाते हैं कि यह OneUI 5 पर कहां है।
हालाँकि, बात यह है कि यह मूल भंडार भी सब कुछ नहीं है। ऐप्स अपने स्वयं के रूट स्टोर (जो फ़ायरफ़ॉक्स करता है) का उपयोग करने और उस पर भरोसा करने का चुनाव कर सकते हैं, और वे केवल इसे स्वीकार कर सकते हैं मैन-इन-द-मिडिल (एमआईटीएम) से बचने के प्रयास में विशिष्ट प्रमाणपत्र (सर्टिफिकेट पिनिंग डब किया गया) आक्रमण. उपयोगकर्ता अपने स्वयं के प्रमाणपत्र इंस्टॉल कर सकते हैं, लेकिन एंड्रॉइड 7 के बाद से ऐप डेवलपर्स को अपने ऐप्स को इन प्रमाणपत्रों का उपयोग करने की अनुमति देने के लिए ऑप्ट-इन करने की आवश्यकता है।
अद्यतन करने योग्य रूट प्रमाणपत्र का होना क्यों महत्वपूर्ण है?
लेट्स एनक्रिप्ट प्रमाणपत्रों को इंटरनेट सुरक्षा अनुसंधान समूह द्वारा क्रॉस-हस्ताक्षरित किए जाने के साथ, ए बहुत इंटरनेट ISRG की सुरक्षा पर निर्भर है। यदि आईएसआरजी ने अपनी निजी कुंजी पर नियंत्रण खो दिया है (उदाहरण के लिए, इसे चोरी हो जाना चाहिए), तो आईएसआरजी को कुंजी को रद्द करना होगा। यह इस बात पर निर्भर करता है कि कंपनियां कैसे प्रतिक्रिया देती हैं, ऐसा हो सकता है कि इंटरनेट के कुछ हिस्से उन उपकरणों के लिए पहुंच से बाहर हो जाएंगे जिनके पास अद्यतन करने योग्य रूट प्रमाणपत्र नहीं हैं। हालाँकि यह पूरी तरह से विनाशकारी दुःस्वप्न परिदृश्य है (और पूरी तरह से काल्पनिक), यह ठीक उसी प्रकार का परिदृश्य है जिससे Google बचना चाहता है। इसीलिए TrustCor के साथ वर्तमान में जो हो रहा है वह Google को संकेत दे सकता है कि Android में अद्यतन करने योग्य रूट प्रमाणपत्र जोड़ने का समय आ गया है।
संदर्भ के लिए, ट्रस्टकोर एक ऐसा प्रमाणपत्र प्राधिकरण है जो जांच के दायरे में आ गया है क्योंकि शोधकर्ताओं ने आरोप लगाया है कि इसके अमेरिकी सैन्य ठेकेदार के साथ घनिष्ठ संबंध हैं। TrustCor ने अपनी निजी कुंजी नहीं खोई है, लेकिन उसने है कई कंपनियों का विश्वास खो दिया है, जिन्हें यह तय करने की आवश्यकता है कि वे अपने रूट स्टोर में कौन से प्रमाणपत्र शामिल करें। उन शोधकर्ताओं ने आरोप लगाया कि अमेरिकी सैन्य ठेकेदार ट्रस्टकोर के करीबी ने स्मार्टफोन ऐप्स में डेटा-हार्वेस्टिंग मैलवेयर डालने के लिए डेवलपर्स को भुगतान किया था। पीकेआई में, विश्वास ही सब कुछ है, और उन आरोपों के सामने आने के बाद ट्रस्टकोर ने वह विश्वास खो दिया। तब से, Google, Microsoft और Mozilla जैसी कंपनियों ने TrustCor को प्रमाणपत्र प्राधिकारी के रूप से हटा दिया है। हालाँकि, एंड्रॉइड रूट स्टोर से TrustCor के प्रमाणपत्रों को हटाने के लिए OTA अपडेट की आवश्यकता होगी, और जबकि प्रतिबद्धता पहले से ही है एओएसपी में बनाया गया, इसमें काफी समय लगेगा जब तक कि आपके या मेरे पास वास्तव में वह अपडेट न हो जो ट्रस्टकोर के प्रमाणपत्रों को हमारे से हटा देता है उपकरण।
अच्छी बात यह है कि अब आप अपने डिवाइस पर अपने प्रमाणपत्रों पर जाकर TrustCor के प्रमाणपत्रों को अक्षम कर सकते हैं डिवाइस, जैसा कि हमने ऊपर दिखाया, और फिर TrustCor पर स्क्रॉल करना और आपके साथ आने वाले तीन प्रमाणपत्रों को अक्षम करना उपकरण। डेवलपर्स के अनुसार ग्राफीनओएस परियोजना, "इस सीए के कारण वेब संगतता पर बहुत कम प्रभाव होना चाहिए क्योंकि यह सीए एक विशिष्ट गतिशील डीएनएस प्रदाता के अलावा किसी अन्य द्वारा बमुश्किल उपयोग किया जा रहा है।"
समाधान: प्रोजेक्ट मेनलाइन
यदि आप प्रोजेक्ट मेनलाइन से परिचित हैं, तो आप पहले ही देख सकते हैं कि यह समस्या को हल करने में कैसे मदद कर सकता है। Google मेनलाइन मॉड्यूल का उपयोग करता है जो Google Play Services फ्रेमवर्क और Google Play Store के माध्यम से वितरित किए जाते हैं। प्रत्येक मेनलाइन मॉड्यूल या तो एपीके फ़ाइल, एपेक्स फ़ाइल या एपीके-इन-एपेक्स के रूप में वितरित किया जाता है। जब मेनलाइन मॉड्यूल को अपडेट किया जा रहा है, तो उपयोगकर्ता को अपने डिवाइस पर "Google Play सिस्टम अपडेट" (GPSU) अधिसूचना दिखाई देती है। प्रभावी रूप से, महत्वपूर्ण घटकों को अपडेट देने के लिए, Google ने अपडेट को रोल आउट करने के लिए OEM की प्रतीक्षा करने की आवश्यकता को दरकिनार कर दिया है, और कार्य को स्वयं करने का विकल्प चुना है। ब्लूटूथ और अल्ट्रा-वाइडबैंड Google द्वारा नियंत्रित दो आवश्यक मेनलाइन मॉड्यूल हैं।
अनुसार AOSP गेरिट पर प्रतिबद्ध होने के लिए (द्वारा देखा गया Esper), कॉन्स्क्रिप्ट, एक मेनलाइन मॉड्यूल जो एंड्रॉइड का टीएलएस कार्यान्वयन प्रदान करता है, भविष्य के अपडेट में अद्यतन करने योग्य रूट प्रमाणपत्रों का समर्थन करेगा। इसका मतलब यह होगा कि प्रमाणपत्रों को Google Play सिस्टम अपडेट के माध्यम से हटाया जा सकता है (या जोड़ा भी जा सकता है)। प्रोजेक्ट मेनलाइन, ट्रस्टकोर (या इससे भी बदतर) जैसी कोई अन्य स्थिति उत्पन्न होने पर बहुत तेज़ प्रक्रिया सुनिश्चित करती है भविष्य। यह स्पष्ट नहीं है कि यह कब रोल आउट होगा, लेकिन संभावना है कि यह एंड्रॉइड 14 पर आएगा। यह तकनीकी रूप से संभव है कि Google इसे Android 13 QPR2 के साथ आगे बढ़ाना चाहेगा, लेकिन इससे केवल Google Pixel उपयोगकर्ताओं को ही लाभ होगा जब तक कि Android 14 अगले साल बाकी सभी तक नहीं पहुंच जाता। ऐसा इसलिए है क्योंकि अन्य ओईएम आमतौर पर क्यूपीआर अपडेट जारी नहीं करते हैं।
इसके अस्तित्व में आने का पूरा कारण यह होगा कि Google डिवाइस सुरक्षा के एक अन्य महत्वपूर्ण पहलू पर नियंत्रण बनाए रख सकता है, इसके बजाय अपडेट को आगे बढ़ाने वाले ओईएम पर भरोसा करने की आवश्यकता नहीं है। वर्तमान में प्रमाणपत्रों को अद्यतन करने के लिए एक ओटीए की आवश्यकता होती है, लेकिन आपातकालीन स्थिति में, हर दिन जहां उपयोगकर्ताओं के पास अपडेट नहीं होता है, यह मायने रख सकता है। यह सुनिश्चित करने के लिए प्रोजेक्ट मेनलाइन का उपयोग करना कि उपयोगकर्ताओं को कभी भी आवश्यकता पड़ने पर महत्वपूर्ण प्रमाणपत्र अपडेट समय पर मिल सकें, निश्चित रूप से एक स्वागत योग्य बदलाव है।
स्रोत: Esper