| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5547
Ratio: 25.234
Поблагодарили: 13345
100%
|
Разработчики HTTP Toolkit, открытого инструментария для инспектирования HTTPS-трафика, обратили внимание на изменение способа обновления сертификатов удостоверяющих центров (CA) в будущем выпуске платформы Android 14. Системные сертификаты больше не будут привязаны к прошивке, а станут доставляться отдельным пакетом, обновляемым через Google Play.
Подобный подход упростит поддержание актуальных сертификатов и удаление сертификатов скомпрометированных удостоверяющих центров, а также не позволит производителям устройств манипулировать списком корневых сертификатов и сделает процесс их обновления независимым от обновления прошивки. С другой стороны, новый способ доставки не позволит пользователю вносить изменения в системные сертификаты, даже если он имеет root-доступ в системе и полностью контролирует прошивку.
Вместо каталога /system/etc/security/cacerts сертификаты в Android 14 загружаются из каталога /apex/com.android.conscrypt/cacerts, размещённого в отдельном контейнере APEX (Android Pony EXpress), содержимое которого доставляется через Google Play, а целостность контролируется цифровой подписью Google.
Таким образом, даже полностью контролируя систему с правами root, пользователь, без внесения изменений в платформу, не сможет изменить содержимое списка системных сертификатов. Новая схема хранения сертификатов может привести к трудностям у разработчиков, занимающихся обратным инжинирингом, инспектированием трафика или исследованием прошивок, а также потенциально может усложнить разработку проектов, развивающих альтернативные прошивки на базе Android, такие как GrapheneOS и LineageOS.
Изменение касается только системных CA-сертификатов, по умолчанию используемых во всех приложениях на устройстве, и не затрагивает обработку пользовательских сертификатов и возможность добавить дополнительные сертификаты для отдельных приложений (например, сохраняется возможность добавить дополнительные сертификаты для браузера). При этом проблема не ограничивается только пакетом с сертификатами - по мере выноса функциональности системы в отдельно обновляемые пакеты APEX, будет увеличиваться число системных компонентов, недоступных для контроля и изменения пользователем, независимо от наличия root-доступа к устройству.
ИсточникНа российской ОС «Аврора» теперь можно запускать любые Android-приложения |
|
|
 |
Megalex
Стаж: 15 лет 2 мес.
Сообщений: 230
Ratio: 8.64
Раздал: 5.811 TB
0.39%
Откуда: Киев
|
AlienNation писал(а):  | И соответственно в Магиске появится патч с сертификатами (правда который надо будет проверить перед установкой). И все. Проблема прям) Разблокировка бута и рут доступ тоже детектировался, раньше) |
1. это сильно сложнее, чем запустить установку apk (а для многих и это уже сложно) 2. Далеко не для всех устройств подходят универсальные "рутовщики" и еще больше телефонов не получают кастомные прошивки, я вот пару лет назад прикупил рилми 8 про и на него кастома так и не появилось |
|
|
|
|
ня6
Стаж: 8 лет 4 мес.
Сообщений: 73
Ratio: 0.151
46.23%
|
Следующая новость будет: В Aroid пользователь не сможет устанавливать приложения не из плей маркет и сбрасывать файлы на пк без специальной программы |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1391
Ratio: 19.349
0%
|
| ня6 писал(а): | Следующая новость будет: В Aroid пользователь не сможет устанавливать приложения не из плей маркет и сбрасывать файлы на пк без специальной программы |
это уже не новость |
|
|
|
|
марусяклим
Стаж: 9 лет 6 мес.
Сообщений: 11
Ratio: 11.053
0.25%
|
А кто -- то обновляет телефон? я принципиально нет, после того как в один прекрасный день перестала работать запись разговоров на самсунг |
|
|
|
|
com812
Стаж: 18 лет 3 мес.
Сообщений: 186
Ratio: 6.618
Поблагодарили: 263
100%
Откуда: Helsinki
|
| barmen писал(а): | Я так понимаю готовят отключение России от https? |
Нооборот  , хотят чтоб нене: Казахстан внедряет свой CA для прослушивания всего TLS-трафика |
_________________
eu
|
|
|
|
vital8111
Стаж: 14 лет 5 мес.
Сообщений: 358
Ratio: 19.098
100%
|
Андроид смотрю пошел по пути огрызков и мелкомягких.
Ну штош. будем искать альтернативы... |
|
|
|
|
AlienNation
Стаж: 12 лет 5 мес.
Сообщений: 68
Ratio: 1108.324
Раздал: 1006.4 TB
Поблагодарили: 1093
100%
Откуда: Барнаул
|
[quote="Megalex";p="12099519"] | AlienNation писал(а): | И соответственно в Магиске появится патч с сертификатами (правда который надо будет проверить перед установкой). И все. Проблема прям) Разблокировка бута и рут доступ тоже детектировался, раньше) |
Было бы желание. А вообще, как бы заголовок намекает, что люди разблокировали все и рут получили) |
|
|
|
|
LoliPsycho
Только чтение
Стаж: 2 года 1 мес.
Сообщений: 42
Ratio: 26.736
96.55%
|
Не проблема, есть прекрасная Harmony os, которая работает быстрее и лучше IOS и Android. Перейти на неё не составит проблем. А в скором времени и прошивки появятся, которые можно будет поставить на любой смартфон. Сам пользуюсь этой осью на планшете, кайфую от скорости, удобности и производительности системы. Добавлено спустя 1 минуту 55 секунд: | vital8111 писал(а): | Андроид смотрю пошел по пути огрызков и мелкомягких.
Ну штош. будем искать альтернативы... |
Уже есть, взгляни на Huawei. |
|
|
|
|
mick2901
Только чтение
Стаж: 15 лет 10 мес.
Сообщений: 131
Ratio: 5.591
Раздал: 6.631 TB
Поблагодарили: 746
5.35%
|
| Maximus писал(а): | [list][list]...... Системные сертификаты больше не будут привязаны к прошивке, а станут доставляться отдельным пакетом, обновляемым через Google Play...  ... сертификаты в Android 14 загружаются из каталога ..., размещённого в отдельном контейнере APEX (Android Pony EXpress), содержимое которого доставляется через Google Play, а целостность контролируется цифровой подписью Google. |
Получается, что не имея доступа к "гуглю" , править (менять, добовлять) корневые сертификаты станет "весьма проблематично, что опять-таки может подстегнуть к новому витку "альтернативных" (не имеющих отношения к "империи добра") так называемых магазинов приложений. Владельцам смартфонов на "условно андроиде" - с собственной операционкой на собственном ядре (типа Huawei /Honor ) можно не беспокоиться, у "гармонии" подобное уже работает.... об этом было сообщение (на их "foundation") ещё перед Китайским новым годом. .... а вот если гугля решит наказать "отдельно взятый регион" -беда....  |
|
|
|
|
sexgod666
Стаж: 12 лет 2 мес.
Сообщений: 277
Ratio: 2.902
5.73%
Откуда: Новосибирск
|
А ещё хотели коробки вскрывать чтоб ставить отечественный софт)тогда и систему свою надо запиливать раз андроид хитрит. |
|
|
|
|
karat_hornet
Только чтение
Стаж: 9 лет 1 мес.
Сообщений: 151
Ratio: 9.817
0.25%
|
| sexgod666 писал(а): | А ещё хотели коробки вскрывать чтоб ставить отечественный софт)тогда и систему свою надо запиливать раз андроид хитрит. |
уже была такая шляпа с "Т-платформа", которая производила "Байкал". Итог, обанкротилась и всё распродаёт. |
|
|
|
|
dxfdsh
Стаж: 4 года
Сообщений: 390
Ratio: 5.874
0.91%
|
| barmen писал(а): |
а как недавно на платежных формах всех российских интернет магазинов была информация установить российский
Было же такое.
|
Это не "они хотели отключить россию от https", это Россия хотела прослушивать https трафик. сама система https строится на доверии и аудите этого доверия, критерии которого вполне публичны и доступны всем. Россия хотела совсем не этого же. |
|
|
|
|
S.Bash
Стаж: 13 лет 7 мес.
Сообщений: 1011
Ratio: 47.171
Раздал: 50.9 TB
100%
|
| Jackers писал(а): | Я устанавливаю, например, YandexBrowser, в который встроены нужные российские сертификаты. |
Необязательно устанавливать ради сертификатов " Яндекс Браузер" или " Браузер Atom"... есть альтернатива, то есть установить для Windows, Android, или других ОС (у кого что) эти сертификаты. И не нужен новый браузер, а пользоваться привычным. Поддержка работы сайтов с российскими сертификатами...Их два... корневой сертификат Russian Trusted Root CA, и выпускающий сертификат Russian Trusted Sub CA. |
_________________
Я настолько хороший человек, что приходится это от людей скрывать… Сглазят, как пить дай, сглазят!
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1391
Ratio: 19.349
0%
|
| dxfdsh писал(а): | Это не "они хотели отключить россию от https", это Россия хотела прослушивать https трафик. |
Нет. Это иностранные сертификационные центры хотели перестать обслуживать Российский сегмент, а браузеры не принимать сертификаты российских центров сертификации. В результате чего у вас все браузеры начали бы показывать ошибки даже на правильных сертификатах. Вот тогда наши подсуетились и сделали так чтобы яндекс браузере такого не было. Ну и насколько я знаю MITM атака невозможна даже если сертификаты российские. Центры сертификации могут только проверять подлинность сертификата, а дешифровка трафика им не доступна. Закрытый ключ находится на конечном сервере, а не в центре сертификации и без него нельзя ничего дешифровать. |
|
|
|
|
reaperburnout
Стаж: 2 года 8 мес.
Сообщений: 57
Ratio: 40.173
Раздал: 739 GB
Поблагодарили: 477
50.93%
|
| AlienNation писал(а): | И соответственно в Магиске появится патч с сертификатами (правда который надо будет проверить перед установкой). И все. Проблема прям) Разблокировка бута и рут доступ тоже детектировался, раньше) |
и тут в чат заходит условный флагман от самсунг, на который не получить рут  |
|
|
|
|
|
|
