Android 14 wordt mogelijk geleverd met updatebare rootcertificaten, en dit artikel legt uit waarom dat belangrijk is.
Rootcertificaten vormen de kern van Public Key Infrastructure (PKI) en zijn ondertekend door vertrouwde certificeringsinstanties, of CA's. Browsers, applicaties en andere programma's hebben een voorverpakte rootstore die aangeeft dat deze certificaten dat zijn betrouwbaar. Als u een website bezoekt die HTTPS ondersteunt, maar geen certificaat gebruikt dat is ondertekend door een CA in de rootstore van uw browser, wordt de website gemarkeerd als niet veilig. Normaal gesproken kunnen applicaties en browsers hun certificaten bijwerken, maar uw telefoon kan dit niet, tenzij via een OTA-update. Dat kan veranderen met Androïde 14, volgens Esper.
Er zijn de afgelopen jaren een aantal angsten geweest met betrekking tot certificaten, en dat komt doordat we erop vertrouwen als de kern van een vertrouwensketen wanneer we websites bezoeken. Hier verder XDA, is ons certificaat ondertekend door Let's Encrypt, een non-profit CA. Hun certificaat is ondertekend door de Internet Security Research Group, en het is die vertrouwensketen die ervoor zorgt dat uw verbinding met deze website veilig is. Hetzelfde geldt voor elke andere website die u bezoekt en die HTTPS gebruikt.
Elk besturingssysteem heeft zijn eigen ingebouwde rootstore, en Android is niet anders. U kunt deze rootstore daadwerkelijk op uw Android-smartphone bekijken door naar beveiliging en privacy te navigeren in de instellingen van uw apparaat. Vanaf daar hangt het af van het type apparaat dat u gebruikt, maar de onderstaande schermafbeeldingen laten zien waar het zich op OneUI 5 bevindt.
Het punt is echter dat zelfs deze rootstore niet alles is. Apps kunnen ervoor kiezen hun eigen rootstore te gebruiken en te vertrouwen (wat Firefox doet), en ze kunnen dit alleen accepteren specifieke certificaten (ook wel certificaatpinning genoemd) in een poging Man-in-the-Middle (MITM) te vermijden aanvallen. Gebruikers kunnen hun eigen certificaten installeren, maar app-ontwikkelaars moeten zich sinds Android 7 aanmelden om hun apps deze certificaten te laten gebruiken.
Waarom het hebben van updatebare rootcertificaten belangrijk is
Nu Let's Encrypt-certificaten kruisondertekend zijn door de Internet Security Research Group, a kavel van het internet is afhankelijk van de veiligheid van de ISRG. Als ISRG de controle over zijn privésleutel zou verliezen (mocht deze bijvoorbeeld worden gestolen), dan zou de ISRG de sleutel moeten intrekken. Afhankelijk van hoe bedrijven reageren, kan het zo zijn dat sommige delen van het internet ontoegankelijk worden voor apparaten die niet over updatebare rootcertificaten beschikken. Hoewel dat een volledig catastrofaal nachtmerriescenario is (en puur hypothetisch), is het precies het soort scenario dat Google wil vermijden. Dat is de reden waarom wat er momenteel met TrustCor gebeurt een signaal aan Google kan zijn dat het tijd is om updatebare rootcertificaten aan Android toe te voegen.
Ter context: TrustCor is zo’n certificeringsinstantie die onder de loep is genomen nadat onderzoekers beweerden dat het nauwe banden had met een Amerikaanse militaire aannemer. TrustCor is niet zijn privésleutel kwijt, maar wel heeft heeft het vertrouwen verloren van veel bedrijven die moeten beslissen welke certificaten ze in hun rootstores opnemen. Die onderzoekers beweerden dat de Amerikaanse militaire aannemer waar TrustCor een nauwe band mee had, ontwikkelaars had betaald om malware voor het verzamelen van gegevens in smartphone-apps te plaatsen. Bij PKI is vertrouwen alles, en TrustCor verloor dat vertrouwen toen deze beschuldigingen aan het licht kwamen. Sindsdien hebben bedrijven als Google, Microsoft en Mozilla TrustCor als certificeringsinstantie laten vallen. Het verwijderen van de certificaten van TrustCor uit de Android-rootstore vereist echter een OTA-update, en dat terwijl de commit al is gedaan gemaakt in AOSP, zal het waarschijnlijk lang duren voordat jij of ik daadwerkelijk de update hebben die de certificaten van TrustCor uit onze apparaten.
Het voordeel is dat u de certificaten van TrustCor nu op uw apparaat kunt uitschakelen door naar uw certificaten op uw apparaat te gaan apparaat, zoals we hierboven hebben laten zien, en vervolgens naar TrustCor scrollen en de drie certificaten uitschakelen die bij uw apparaat worden geleverd apparaat. Volgens ontwikkelaars van de GrafeenOS project zou er “zeer weinig impact moeten zijn op de webcompatibiliteit, omdat deze CA nauwelijks door iemand anders wordt gebruikt dan een specifieke dynamische DNS-provider.”
De oplossing: Project Mainline
Als u bekend bent met Project Mainline, ziet u al hoe dit het probleem kan helpen oplossen. Google maakt gebruik van Mainline-modules die worden geleverd via het Google Play Services-framework en de Google Play Store. Elke Mainline-module wordt geleverd als APK-bestand, APEX-bestand of APK-in-APEX. Wanneer een Mainline-module wordt bijgewerkt, ziet de gebruiker een melding "Google Play System Update" (GPSU) op zijn apparaat. Om updates voor cruciale componenten te kunnen leveren, heeft Google de noodzaak om te wachten tot een OEM een update heeft uitgerold, omzeild en ervoor gekozen de taak zelf uit te voeren. Bluetooth en Ultra-wideband zijn twee essentiële Mainline-modules die door Google worden beheerd.
Volgens om zich te committeren aan de AOSP Gerrit (gespot door Esper), Conscrypt, een Mainline-module die de TLS-implementatie van Android biedt, zal in een toekomstige update updatebare rootcertificaten ondersteunen. Dit zou betekenen dat certificaten kunnen worden verwijderd (of zelfs toegevoegd) via een Google Play-systeemupdate Project Mainline, dat zorgt voor een veel sneller proces mocht zich een andere situatie zoals TrustCor (of erger) voordoen in de toekomst. Het is niet duidelijk wanneer dit zal worden uitgerold, maar het is waarschijnlijk dat het naar Android 14 zal komen. Het is technisch mogelijk dat Google dit wil pushen met Android 13 QPR2, maar het zou alleen Google Pixel-gebruikers ten goede komen totdat Android 14 volgend jaar toch alle anderen bereikt. Dit komt omdat andere OEM's doorgaans geen QPR-updates uitrollen.
De hele reden hiervoor zou zijn dat Google de controle kan behouden over een ander cruciaal aspect van apparaatbeveiliging, zonder afhankelijk te hoeven zijn van OEM's die in plaats daarvan updates pushen. Momenteel is een OTA vereist om certificaten bij te werken, maar in een noodsituatie kan elke dag waarop gebruikers geen update hebben er toe doen. Het gebruik van Project Mainline om ervoor te zorgen dat gebruikers cruciale certificaatupdates op tijd kunnen ontvangen als ze ooit nodig zijn, is zeker een welkome verandering.
Bron: Esper