אנדרואיד 14 הופך את אישורי השורש לעדכונים באמצעות Google Play כדי להגן על המשתמשים מפני CAs זדוניים

ניידJul 20, 2023
click fraud protection

חנות השורש של אנדרואיד דרשה בעבר עדכון OTA כדי להוסיף או להסיר אישורי שורש. זה לא יהיה המקרה באנדרואיד 14.

לאנדרואיד יש בעיה קלה שמרימה את ראשה המכוער רק פעם אחת בכל ירח כחול, אבל כשזה קורה, זה גורם לפאניקה מסוימת. למרבה המזל, לגוגל יש פתרון באנדרואיד 14 שדוחף את הבעיה הזו. הבעיה היא שמאגר תעודות השורש של מערכת אנדרואיד (חנות שורש) יכול להתעדכן רק באמצעות עדכון אויר (OTA) במשך רוב הקיום של אנדרואיד. בעוד שיצרני ציוד מקורי וספקים השתפרו בדחיפת עדכונים במהירות ובתדירות גבוהה יותר, הדברים עדיין יכולים להיות טובים יותר. זו הסיבה שגוגל פיתחה פתרון כדי להפוך את חנות השורש של אנדרואיד לניתנת לעדכון דרך Google Play, החל מחודש אנדרואיד 14.

כשאתה נכנס לאינטרנט כל יום, אתה סומך על כך שהתוכנה של המכשיר שלך מוגדרת כהלכה כדי להפנות אותך לשרתים הנכונים המארחים את האתרים שבהם אתה רוצה לבקר. יצירת החיבור הנכון חשובה כדי שלא תגיע לשרת בבעלות מישהו עם כוונות רעות, אלא בצורה מאובטחת יצירת חיבור זה חשובה גם כך שכל הנתונים שאתה שולח לאותו שרת מוצפנים במעבר (TLS) ובתקווה לא ניתן בקלות חיטט. מערכת ההפעלה, דפדפן האינטרנט והאפליקציות שלך יקימו חיבורים מאובטחים עם שרתים באינטרנט (HTTPS), אך אם הם סומכים על תעודת האבטחה של השרת (TLS).

עם זאת, מכיוון שיש כך, כל כך הרבה אתרים באינטרנט, מערכת הפעלה, דפדפני אינטרנט ואפליקציות לא מנהלות רשימה של תעודות האבטחה של כל אתר שהם סומכים עליהם. במקום זאת, הם מחפשים לראות מי חתם על תעודת האבטחה שהונפקה לאתר: האם הוא נחתם בעצמו או חתום על ידי גורם אחר (רשות אישורים [CA]) שהם סומכים עליו? שרשרת אימותים זו יכולה להיות עמוקה בכמה שכבות עד שתגיע ל-CA שורש שהנפיק את האבטחה תעודה המשמשת לחתימה על התעודה שחתמה בסופו של דבר על התעודה שהונפק לאתר שאתה מבקר.

מספר ה-CAs הבסיסיים קטן בהרבה ממספר האתרים שיש להם תעודות אבטחה שהונפקו על ידם, ישירות או באמצעות CA מתווך אחד או יותר, ובכך לאפשר למערכות הפעלה ודפדפני אינטרנט לנהל רשימה של אישורי CA שורש שהם אמון. לאנדרואיד, למשל, יש רשימה של אישורי בסיס מהימנים הנשלחים במחיצת המערכת לקריאה בלבד של מערכת ההפעלה בכתובת /system/etc/security/cacerts. אם אפליקציות לא להגביל באילו תעודות לסמוך, נוהג שנקרא הצמדת אישורים, אז הם כברירת מחדל להשתמש במאגר הבסיס של מערכת ההפעלה כאשר הם מחליטים אם לסמוך על אישור אבטחה. מכיוון שמחיצת ה"מערכת" היא לקריאה בלבד, מאגר השורש של אנדרואיד אינו ניתן לשינוי מחוץ לעדכון מערכת ההפעלה, מה שעלול להוות בעיה כאשר גוגל רוצה להסיר או להוסיף אישור שורש חדש.

לפעמים, תעודת שורש היא עומד לפוג, שעלול להוביל לשבירת אתרים ושירותים ודפדפני אינטרנט מפרסמים אזהרות לגבי חיבורים לא מאובטחים. במקרים מסוימים, ה-CA שהנפיק אישור בסיס הוא חשוד כזדוני או בסיכון. או א תעודת שורש חדשה צץ שצריך להוסיף את עצמו לכל חנות השורש של כל מערכת הפעלה גדולה לפני שה-CA יוכל להתחיל לחתום על אישורים. חנות השורש של אנדרואיד לא צריכה להתעדכן כל כך הרבה, אבל זה קורה מספיק שקצב העדכונים האיטי יחסית של אנדרואיד הופך לבעיה.

עם זאת, החל מאנדרואיד 14, יש לחנות השורש של אנדרואיד להפוך לעדכן באמצעות Google Play. לאנדרואיד 14 יש כעת שתי ספריות המכילות את חנות הבסיס של מערכת ההפעלה: האמור לעיל, בלתי ניתן לשינוי מחוץ ל-OTA מיקום /system/etc/security/cacerts וה/apex/com.[google].android.conscrypt/security/cacerts החדש והניתן לעדכון מַדרִיך. זה האחרון כלול במודול Conscrypt, מודול Project Mainline שהוצג באנדרואיד 10 המספק את הטמעת TLS של אנדרואיד. מכיוון שמודול Conscrypt ניתן לעדכון באמצעות עדכוני מערכת של Google Play, זה אומר שגם חנות השורש של אנדרואיד תהיה.

מלבד הפיכת חנות השורש של אנדרואיד לניתנת לעדכון, אנדרואיד 14 גם מוסיף ומסיר כמה תעודות שורש כחלק מהעדכון השנתי של גוגל לחנות השורש של המערכת.

אישורי השורש שנוספו לאנדרואיד 14 כוללים:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. בהחלט Root E1
  5. בהחלט R1 R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. תקשורת אבטחה ECC RootCA1
  20. תקשורת אבטחה RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC שורש CA
  26. vTrus Root CA

אישורי השורש שהוסרו באנדרואיד 14 כוללים:

  1. שורש לשכות המסחר - 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. רשות האישורים הראשית של GeoTrust - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. מוסדות אקדמיה ומחקר הלני RootCA 2011
  9. רשות האישורים לפתרונות רשת
  10. רשות אישורי השורש של QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS שורש CA
  18. VeriSign Universal Root Certification Authority

להסבר מעמיק יותר על תעודות TLS, כדאי לקרוא את עמיתי המאמר של אדם קונווי כאן. לניתוח מעמיק יותר של איך פועלת חנות השורש הניתנת לעדכון של אנדרואיד 14 ומדוע היא נוצרה, בדוק המאמר שכתבתי בעבר בנושא.