Android 14 pode vir com certificados raiz atualizáveis

O Android 14 pode vir com certificados raiz atualizáveis, e este artigo explica por que isso é importante.

Os certificados raiz estão no centro da infraestrutura de chave pública (PKI) e são assinados por autoridades de certificação confiáveis ​​ou CAs. Navegadores, aplicativos e outros programas possuem um armazenamento raiz pré-empacotado que significa que esses certificados são confiável. Se você visitar um site que suporta HTTPS, mas não estiver usando um certificado assinado por uma CA no armazenamento raiz do seu navegador, o site será sinalizado como não seguro. Normalmente, aplicativos e navegadores podem atualizar seus certificados, mas seu telefone não pode, a menos que seja por meio de uma atualização OTA. Isso pode mudar com Andróide 14, de acordo com Esper.

Houve alguns sustos ao longo dos anos em relação aos certificados, e isso se deve ao fato de confiarmos neles como o núcleo de uma cadeia de confiança quando visitamos sites. Aqui em XDA, nosso certificado é assinado pela Let's Encrypt, uma CA sem fins lucrativos. Seu certificado é assinado pelo Internet Security Research Group e é essa cadeia de confiança que garante que sua conexão a este site seja segura e protegida. O mesmo se aplica a qualquer outro site que você visite que use HTTPS.

Cada sistema operacional tem seu próprio armazenamento raiz integrado e o Android não é diferente. Na verdade, você pode visualizar esse armazenamento raiz em seu smartphone Android navegando até segurança e privacidade nas configurações do seu dispositivo. A partir daí, vai depender do tipo de dispositivo que você está usando, mas as imagens abaixo mostram onde ele está no OneUI 5.

O problema é que mesmo esse armazenamento raiz não é o fim de tudo. Os aplicativos podem optar por usar e confiar em seu próprio armazenamento raiz (o que o Firefox faz) e podem aceitar apenas certificados específicos (chamados de fixação de certificado) em um esforço para evitar Man-in-the-Middle (MITM) ataques. Os usuários podem instalar seus próprios certificados, mas os desenvolvedores de aplicativos precisam permitir que seus aplicativos usem esses certificados desde o Android 7.

Por que é importante ter certificados raiz atualizáveis

Com os certificados Let's Encrypt sendo assinados pelo Internet Security Research Group, um muito da Internet depende da segurança do ISRG. Se o ISRG perdesse o controle de sua chave privada (caso ela fosse roubada, por exemplo), então o ISRG teria que revogar a chave. Dependendo de como as empresas respondem, pode acontecer que algumas partes da Internet se tornem inacessíveis para dispositivos que não possuem certificados raiz atualizáveis. Embora seja um cenário de pesadelo completamente catastrófico (e puramente hipotético), é exatamente o tipo de cenário que o Google deseja evitar. É por isso que o que está acontecendo com o TrustCor atualmente pode sinalizar ao Google que é hora de adicionar certificados raiz atualizáveis ​​ao Android.

Para contextualizar, a TrustCor é uma dessas autoridades certificadoras que foi alvo de escrutínio depois de investigadores alegarem que tinha laços estreitos com um empreiteiro militar dos EUA. A TrustCor não perdeu sua chave privada, mas tem perdeu a confiança de muitas empresas que precisam decidir quais certificados incluir em seus armazenamentos raiz. Esses pesquisadores alegaram que o empreiteiro militar dos EUA, do qual a TrustCor era próxima, pagou desenvolvedores para colocar malware de coleta de dados em aplicativos de smartphones. Na PKI, a confiança é tudo, e a TrustCor perdeu essa confiança quando essas alegações vieram à tona. Desde então, empresas como Google, Microsoft e Mozilla abandonaram a TrustCor como autoridade certificadora. A remoção dos certificados do TrustCor do armazenamento raiz do Android exigirá uma atualização OTA, e embora o commit já esteja feito no AOSP, provavelmente levará muito tempo até que você ou eu realmente tenhamos a atualização que remove os certificados da TrustCor de nosso dispositivos.

A vantagem é que agora você pode desativar os certificados da TrustCor no seu dispositivo acessando seus certificados no seu dispositivo, como mostramos acima, e depois rolar até TrustCor e desabilitar os três certificados que acompanham seu dispositivo. De acordo com desenvolvedores do Grafeno OS projeto, deve haver “muito pouco impacto na compatibilidade da web devido ao fato de esta CA quase não ser usada por ninguém além de um provedor de DNS dinâmico específico”.

A solução: Projeto Mainline

Se você conhece o Project Mainline, já pode ver como isso pode ajudar a resolver o problema. O Google faz uso de módulos Mainline que são fornecidos por meio da estrutura do Google Play Services e da Google Play Store. Cada módulo Mainline é entregue como um arquivo APK, um arquivo APEX ou um APK-in-APEX. Quando um módulo Mainline está sendo atualizado, o usuário vê uma notificação de "Atualização do sistema Google Play" (GPSU) em seu dispositivo. Efetivamente, para fornecer atualizações para componentes críticos, o Google contornou a necessidade de esperar que um OEM lançasse uma atualização, optando por fazer a tarefa sozinho. Bluetooth e banda ultralarga são dois módulos essenciais da linha principal gerenciados pelo Google.

De acordo com se comprometer com o AOSP Gerrit (localizado por Esper), Conscrypt, um módulo Mainline que fornece implementação TLS do Android, oferecerá suporte a certificados raiz atualizáveis ​​em uma atualização futura. Isso significaria que os certificados poderiam ser removidos (ou mesmo adicionados) por meio de uma atualização do sistema do Google Play por meio de Project Mainline, garantindo um processo muito mais rápido caso outra situação como TrustCor (ou pior) ocorra no futuro. Não está claro quando isso será lançado, mas é provável que chegue ao Android 14. É tecnicamente possível que o Google queira lançá-lo com o Android 13 QPR2, mas isso só beneficiaria os usuários do Google Pixel até que o Android 14 chegue a todos os outros, de qualquer maneira, no próximo ano. Isso ocorre porque outros OEMs normalmente não lançam atualizações QPR.

A razão para isso existir seria para que o Google pudesse manter o controle sobre outro aspecto crucial da segurança do dispositivo, sem precisar depender de OEMs que enviam atualizações. Atualmente, é necessário um OTA para atualizar certificados, mas em uma situação de emergência, todos os dias em que os usuários não têm uma atualização podem ser importantes. Utilizar o Project Mainline para garantir que os usuários possam obter atualizações cruciais de certificados a tempo, caso sejam necessárias, é certamente uma mudança bem-vinda.


Fonte: Esper