Android 14 შეიძლება მოყვეს განახლებადი root სერთიფიკატებს და ეს სტატია განმარტავს, თუ რატომ არის ეს მნიშვნელოვანი.
ძირეული სერთიფიკატები არის საჯარო გასაღების ინფრასტრუქტურის (PKI) ბირთვი და მათ ხელს აწერენ სანდო სერტიფიკატების ორგანოები, ან CA-ები. ბრაუზერებს, აპლიკაციებსა და სხვა პროგრამებს აქვთ წინასწარ შეფუთული root მაღაზია, რაც ნიშნავს, რომ ეს სერთიფიკატები არის სანდო. თუ ეწვიეთ ვებსაიტს, რომელიც მხარს უჭერს HTTPS-ს, მაგრამ არ იყენებს CA-ს მიერ ხელმოწერილ სერთიფიკატს თქვენი ბრაუზერის root მაღაზიაში, მაშინ ვებსაიტი მონიშნული იქნება, როგორც არაუსაფრთხო. როგორც წესი, აპლიკაციებსა და ბრაუზერებს შეუძლიათ თავიანთი სერთიფიკატების განახლება, მაგრამ თქვენს ტელეფონს არ შეუძლია განაახლოს OTA განახლების მეშვეობით. ეს შეიძლება შეიცვალოს Android 14, მიხედვით ესპერ.
წლების განმავლობაში იყო რამდენიმე შეშინება სერთიფიკატებთან დაკავშირებით და ეს გამოწვეულია ჩვენი ნდობის გამო მათზე, როგორც ნდობის ჯაჭვის ბირთვზე, როდესაც ვსტუმრობთ ვებსაიტებს. აქ XDA, ჩვენს სერტიფიკატს ხელს აწერს Let's Encrypt, არაკომერციული CA. მათ სერტიფიკატს ხელს აწერს ინტერნეტ უსაფრთხოების კვლევის ჯგუფი და სწორედ ნდობის ჯაჭვი უზრუნველყოფს ამ ვებსაიტთან თქვენი კავშირის უსაფრთხოებას. იგივე ეხება ნებისმიერ სხვა ვებსაიტს, რომელსაც სტუმრობთ, რომელიც იყენებს HTTPS-ს.
ყველა ოპერაციულ სისტემას აქვს საკუთარი ჩაშენებული root მაღაზია და Android არაფრით განსხვავდება. თქვენ შეგიძლიათ რეალურად ნახოთ ეს root მაღაზია თქვენს Android სმარტფონზე უსაფრთხოებისა და კონფიდენციალურობის ნავიგაციით თქვენი მოწყობილობის პარამეტრებში. იქიდან, ეს დამოკიდებული იქნება მოწყობილობის ტიპზე, რომელსაც იყენებთ, მაგრამ ქვემოთ მოყვანილი ეკრანის ანაბეჭდები აჩვენებს სად არის ის OneUI 5-ზე.
საქმე იმაშია, რომ ეს ძირეული მაღაზიაც კი არ არის საბოლოო და ყველა. აპებს შეუძლიათ აირჩიონ გამოიყენონ და ენდონ საკუთარ ძირეულ მაღაზიას (რასაც აკეთებს Firefox), და მათ შეუძლიათ მიიღონ მხოლოდ კონკრეტული სერთიფიკატები (სერთიფიკატის გახმოვანებული ჩამაგრება), რათა თავიდან ავიცილოთ Man-in-the-Middle (MITM) თავდასხმები. მომხმარებლებს შეუძლიათ დააინსტალირონ საკუთარი სერთიფიკატები, მაგრამ აპლიკაციების დეველოპერებს სჭირდებოდათ უარი თქვან მათ აპებს ამ სერთიფიკატების გამოყენების უფლებაზე Android 7-დან მოყოლებული.
რატომ არის მნიშვნელოვანი root სერთიფიკატების განახლება
Let's Encrypt სერთიფიკატების ხელმოწერით ინტერნეტ უსაფრთხოების კვლევის ჯგუფის მიერ, ა ბევრი ინტერნეტი დამოკიდებულია ISRG-ის უსაფრთხოებაზე. თუ ISRG დაკარგავს კონტროლს თავის პირად გასაღებზე (თუ ის უნდა მოიპაროს, მაგალითად), მაშინ ISRG-ს მოუწევს გასაღების გაუქმება. დამოკიდებულია იმაზე, თუ როგორ რეაგირებენ კომპანიები, მაშინ შეიძლება მოხდეს, რომ ინტერნეტის ზოგიერთი ნაწილი მიუწვდომელი გახდეს მოწყობილობებისთვის, რომლებსაც არ აქვთ განახლებადი root სერთიფიკატები. მიუხედავად იმისა, რომ ეს არის სრულიად კატასტროფული კოშმარული სცენარი (და წმინდა ჰიპოთეტური), ეს არის ზუსტად ისეთი სცენარი, რომლის თავიდან აცილებაც Google-ს სურს. ამიტომ ის, რაც ამჟამად TrustCor-თან ხდება, შესაძლოა Google-ს მიანიშნებდეს, რომ დროა დაემატოს განახლებადი root სერთიფიკატები Android-ზე.
კონტექსტში, TrustCor არის ერთ-ერთი ასეთი სერტიფიკატის ორგანო, რომელიც მოექცა ყურადღების ცენტრში მას შემდეგ, რაც მკვლევარებმა განაცხადეს, რომ მას მჭიდრო კავშირი ჰქონდა აშშ-ს სამხედრო კონტრაქტორთან. TrustCor-მა არ დაკარგა პირადი გასაღები, მაგრამ ის აქვს დაკარგა მრავალი კომპანიის ნდობა, რომლებმაც უნდა გადაწყვიტონ, თუ რა სერთიფიკატებს შეიცავენ თავიანთ root მაღაზიებში. ამ მკვლევარებმა განაცხადეს, რომ აშშ-ს სამხედრო კონტრაქტორმა TrustCor-თან ახლოს იყო, გადაუხადა დეველოპერებს სმარტფონის აპებში მონაცემთა აღების მავნე პროგრამის განთავსება. PKI-ში ნდობა არის ყველაფერი და TrustCor-მა დაკარგა ეს ნდობა, როგორც კი ეს ბრალდებები გამოცხადდა. მას შემდეგ კომპანიებმა, როგორიცაა Google, Microsoft და Mozilla, ჩამოაგდეს TrustCor, როგორც სერტიფიკატის ავტორიტეტი. TrustCor-ის სერთიფიკატების ამოღება Android root მაღაზიიდან მოითხოვს OTA განახლებას, და სანამ დასრულება უკვე დასრულებულია დამზადებულია AOSP-ში, სავარაუდოდ, დიდი დრო დაგჭირდებათ, სანამ მე ან თქვენ რეალურად არ მივიღებთ განახლებას, რომელიც ჩამოაგდებს TrustCor-ის სერთიფიკატებს ჩვენიდან მოწყობილობები.
დადებითი ის არის, რომ ახლა შეგიძლიათ გამორთოთ TrustCor-ის სერთიფიკატები თქვენს მოწყობილობაზე, თქვენს სერთიფიკატებზე გადასვლით. მოწყობილობა, როგორც ზემოთ ვაჩვენეთ, შემდეგ გადადით TrustCor-ზე და გამორთეთ სამი სერთიფიკატი, რომელიც მოყვება თქვენს მოწყობილობა. დეველოპერების თქმით GrapheneOS პროექტი, უნდა იყოს „ძალიან მცირე გავლენა ვებ თავსებადობაზე, რადგან ამ CA ძლივს გამოიყენებს ვინმე, გარდა კონკრეტული დინამიური DNS პროვაიდერისა“.
გამოსავალი: Project Mainline
თუ თქვენ იცნობთ Project Mainline-ს, მაშინ უკვე ხედავთ, თუ როგორ შეუძლია ამ პრობლემის გადაჭრას. Google იყენებს Mainline მოდულებს, რომლებიც მიწოდებულია Google Play Services Framework-ის და Google Play Store-ის მეშვეობით. თითოეული Mainline მოდული მიწოდებულია როგორც APK ფაილი, APEX ფაილი ან APK-in-APEX. როდესაც Mainline მოდულის განახლება ხდება, მომხმარებელი ხედავს "Google Play სისტემის განახლება" (GPSU) შეტყობინებას თავის მოწყობილობაზე. ფაქტობრივად, კრიტიკულ კომპონენტებზე განახლებების მიწოდებისთვის, Google-მა გვერდი აუარა OEM-ის მიერ განახლების გამოქვეყნებას დალოდების აუცილებლობას და თავად აირჩია დავალების შესრულება. Bluetooth და Ultra-wideband არის ორი ძირითადი მთავარი მოდული, რომელსაც Google ამუშავებს.
მიხედვით ავალდებულებს AOSP Gerrit-ზე (შენიშნა ესპერ), Conscrypt, Mainline მოდული, რომელიც უზრუნველყოფს Android-ის TLS დანერგვას, მხარს დაუჭერს განახლებადი root სერთიფიკატების მომავალ განახლებას. ეს ნიშნავს, რომ სერთიფიკატები შეიძლება წაიშალოს (ან თუნდაც დაემატოს) Google Play სისტემის განახლების მეშვეობით Project Mainline, რომელიც უზრუნველყოფს ბევრად უფრო სწრაფ პროცესს, თუ სხვა სიტუაცია, როგორიცაა TrustCor (ან უარესი) მოხდება მომავალი. უცნობია, როდის გამოვა, მაგრამ სავარაუდოა, რომ ის Android 14-ზე მოვა. ტექნიკურად შესაძლებელია, რომ Google-ს სურდეს მისი გაშვება Android 13 QPR2-ით, მაგრამ ეს მხოლოდ Google Pixel-ის მომხმარებლებისთვის სარგებელს მოუტანს, სანამ Android 14 არ მიაღწევს ყველა დანარჩენს მომავალ წელს. ეს იმიტომ ხდება, რომ სხვა OEM-ები, როგორც წესი, არ ავრცელებენ QPR განახლებებს.
ამის არსებობის მთელი მიზეზი იქნება ის, რომ Google-ს შეეძლოს კონტროლი შეინარჩუნოს მოწყობილობის უსაფრთხოების კიდევ ერთ მნიშვნელოვან ასპექტზე, იმის გარეშე, რომ დაეყრდნოს OEM-ებს, რომლებიც ახდენენ განახლებებს. ამჟამად საჭიროა OTA სერთიფიკატების განახლებისთვის, მაგრამ გადაუდებელ სიტუაციაში, ნებისმიერ დღეს, როდესაც მომხმარებლებს არ აქვთ განახლება, შეიძლება მნიშვნელოვანი იყოს. Project Mainline-ის გამოყენება იმის უზრუნველსაყოფად, რომ მომხმარებლებს შეუძლიათ მიიღონ მნიშვნელოვანი სერტიფიკატის განახლებები დროულად, თუ ისინი ოდესმე საჭირო იქნება, რა თქმა უნდა მისასალმებელი ცვლილებაა.
წყარო: ესპერ