Android 14, güncellenebilir kök sertifikalarla birlikte gelebilir ve bu makalede bunun neden önemli olduğu açıklanmaktadır.
Kök sertifikalar, Ortak Anahtar Altyapısının (PKI) tam merkezinde yer alır ve güvenilir Sertifika Yetkilileri tarafından imzalanır veya CA'lar. Tarayıcılar, uygulamalar ve diğer programlar, bu sertifikaların geçerli olduğunu belirten önceden paketlenmiş bir kök deposuna sahiptir. güvenilir. HTTPS'yi destekleyen ancak tarayıcınızın kök deposunda CA tarafından imzalanmış bir sertifika kullanmayan bir web sitesini ziyaret ederseniz, web sitesi güvenli değil olarak işaretlenecektir. Genellikle uygulamalar ve tarayıcılar sertifikalarını güncelleyebilir ancak telefonunuz OTA güncellemesi olmadığı sürece bunu yapamaz. Bu durum değişebilir Android14, buna göre Esper.
Yıllar boyunca sertifikalarla ilgili birkaç korku yaşandı ve bunun nedeni, web sitelerini ziyaret ettiğimizde güven zincirinin temeli olarak sertifikalara güvenmemizdir. burada XDA, sertifikamız kar amacı gütmeyen bir CA olan Let's Encrypt tarafından imzalanmıştır. Sertifikaları İnternet Güvenliği Araştırma Grubu tarafından imzalanmıştır ve bu web sitesine bağlantınızın güvenli ve emniyetli olmasını sağlayan da bu güven zinciridir. Aynı şey ziyaret ettiğiniz HTTPS kullanan diğer web siteleri için de geçerlidir.
Her işletim sisteminin kendi yerleşik kök deposu vardır ve Android de farklı değildir. Bu kök depoyu Android akıllı telefonunuzda, cihazınızın ayarlarında güvenlik ve gizliliğe giderek görüntüleyebilirsiniz. Buradan itibaren kullandığınız cihazın türüne bağlı olacaktır ancak aşağıdaki ekran görüntüleri OneUI 5'te nerede olduğunu göstermektedir.
Ancak sorun şu ki, bu kök depo bile her şeyin sonu değil. Uygulamalar kendi kök depolarını (Firefox'un yaptığı gibi) kullanmayı ve onlara güvenmeyi seçebilir ve yalnızca Ortadaki Adam'dan (MITM) kaçınmak amacıyla belirli sertifikalar (sertifika sabitleme adı verilen) saldırılar. Kullanıcılar kendi sertifikalarını yükleyebilir ancak Android 7'den bu yana uygulama geliştiricilerin uygulamalarının bu sertifikaları kullanmasına izin verme seçeneğini seçmeleri gerekiyor.
Güncellenebilir kök sertifikalara sahip olmak neden önemlidir?
Let's Encrypt sertifikalarının Internet Security Research Group tarafından çapraz imzalanmasıyla birlikte, pay İnternetin güvenliği ISRG'nin güvenliğine bağlıdır. ISRG özel anahtarının kontrolünü kaybederse (örneğin çalınması durumunda), ISRG'nin anahtarı iptal etmesi gerekir. Şirketlerin nasıl yanıt verdiğine bağlı olarak, internetin bazı bölümlerine güncellenebilir kök sertifikaları olmayan cihazlar erişemeyebilir. Bu tamamen felaket niteliğindeki bir kabus senaryosu (ve tamamen varsayımsal) olsa da, Google'ın kaçınmak istediği türden bir senaryo. Bu nedenle TrustCor'da şu anda yaşananlar Google'a, Android'e güncellenebilir kök sertifikalar ekleme zamanının geldiğinin sinyalini veriyor olabilir.
Bağlam açısından TrustCor, araştırmacıların ABD'li bir askeri yüklenici firmayla yakın bağları olduğunu iddia etmesinden sonra incelemeye alınan sertifika yetkililerinden biri. TrustCor özel anahtarını kaybetmedi ancak sahip olmak Kök depolarına hangi sertifikaları dahil edeceklerine karar vermesi gereken birçok şirketin güvenini kaybettik. Bu araştırmacılar, ABD askeri yüklenicisi TrustCor'un yakın olduğu geliştiricilere, akıllı telefon uygulamalarına veri toplayan kötü amaçlı yazılım yerleştirmeleri için para ödediğini iddia etti. PKI'da güven her şeydir ve TrustCor bu iddiaların ortaya çıkmasıyla bu güveni kaybetti. O zamandan beri Google, Microsoft ve Mozilla gibi şirketler TrustCor'u sertifika yetkilisi olmaktan çıkardı. TrustCor'un sertifikalarının Android kök deposundan kaldırılması bir OTA güncellemesi gerektirecektir ve taahhüt zaten devam ederken AOSP'de yapılmışsa, sizin veya benim TrustCor'un sertifikalarını sistemimizden kaldıracak güncellemeyi alana kadar muhtemelen uzun bir zaman geçecek. cihazlar.
İşin iyi yanı, cihazınızdaki sertifikalarınıza giderek TrustCor'un sertifikalarını artık cihazınızda devre dışı bırakabilmenizdir. yukarıda gösterdiğimiz gibi, TrustCor'a gidip cihazınızla birlikte gelen üç sertifikayı devre dışı bırakın. cihaz. Geliştiricilere göre GrafenOS proje, "bu CA'nın belirli bir dinamik DNS sağlayıcısı dışında kimse tarafından neredeyse hiç kullanılmaması nedeniyle web uyumluluğu üzerinde çok az etki olacaktır."
Çözüm: Proje Ana Hattı
Project Mainline'a aşina iseniz bunun sorunun çözümüne nasıl yardımcı olabileceğini zaten görebilirsiniz. Google, Google Play Hizmetleri çerçevesi ve Google Play Store aracılığıyla sunulan Mainline modüllerini kullanır. Her Mainline modülü bir APK dosyası, bir APEX dosyası veya bir APK-in-APEX olarak teslim edilir. Bir Mainline modülü güncellenirken kullanıcı, cihazında bir "Google Play Sistem Güncellemesi" (GPSU) bildirimi görür. Google, kritik bileşenlere güncellemeler sunmak için, OEM'in bir güncelleme yayınlamasını bekleme ihtiyacını etkili bir şekilde atlayarak görevi kendisi yapmayı seçti. Bluetooth ve Ultra geniş bant, Google tarafından yönetilen iki temel Ana Hat modülüdür.
Binaen AOSP Gerrit'e taahhütte bulunmak (tarafından fark edildi Esper), Android'in TLS uygulamasını sağlayan bir Mainline modülü olan Conscrypt, gelecekteki bir güncellemede güncellenebilir kök sertifikaları destekleyecektir. Bu, sertifikaların bir Google Play Sistem Güncellemesi yoluyla kaldırılabileceği (veya hatta eklenebileceği) anlamına gelir. Project Mainline, TrustCor gibi (veya daha kötüsü) başka bir durumun ortaya çıkması durumunda çok daha hızlı bir süreç sağlar. gelecek. Bunun ne zaman kullanıma sunulacağı belli değil ancak Android 14'e gelmesi muhtemel. Google'ın bunu Android 13 QPR2 ile zorlamak istemesi teknik olarak mümkün, ancak Android 14 gelecek yıl herkese ulaşana kadar bu yalnızca Google Pixel kullanıcılarına fayda sağlayacak. Bunun nedeni, diğer OEM'lerin genellikle QPR güncellemelerini yayınlamamasıdır.
Bunun var olmasının tüm nedeni, Google'ın, OEM'lerin güncellemeleri itmesine gerek kalmadan, cihaz güvenliğinin başka bir önemli yönü üzerinde kontrolü elinde tutabilmesidir. Şu anda sertifikaların güncellenmesi için bir OTA gereklidir, ancak acil bir durumda, kullanıcıların her gün bir güncellemeye sahip olmaması önemli olabilir. Kullanıcıların ihtiyaç duyulması halinde önemli sertifika güncellemelerini zamanında alabilmelerini sağlamak için Project Mainline'ı kullanmak kesinlikle hoş bir değişiklik.
Kaynak: Esper