| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5528
Ratio: 25.234
Поблагодарили: 13343
100%
|
Разработчики HTTP Toolkit, открытого инструментария для инспектирования HTTPS-трафика, обратили внимание на изменение способа обновления сертификатов удостоверяющих центров (CA) в будущем выпуске платформы Android 14. Системные сертификаты больше не будут привязаны к прошивке, а станут доставляться отдельным пакетом, обновляемым через Google Play.
Подобный подход упростит поддержание актуальных сертификатов и удаление сертификатов скомпрометированных удостоверяющих центров, а также не позволит производителям устройств манипулировать списком корневых сертификатов и сделает процесс их обновления независимым от обновления прошивки. С другой стороны, новый способ доставки не позволит пользователю вносить изменения в системные сертификаты, даже если он имеет root-доступ в системе и полностью контролирует прошивку.
Вместо каталога /system/etc/security/cacerts сертификаты в Android 14 загружаются из каталога /apex/com.android.conscrypt/cacerts, размещённого в отдельном контейнере APEX (Android Pony EXpress), содержимое которого доставляется через Google Play, а целостность контролируется цифровой подписью Google.
Таким образом, даже полностью контролируя систему с правами root, пользователь, без внесения изменений в платформу, не сможет изменить содержимое списка системных сертификатов. Новая схема хранения сертификатов может привести к трудностям у разработчиков, занимающихся обратным инжинирингом, инспектированием трафика или исследованием прошивок, а также потенциально может усложнить разработку проектов, развивающих альтернативные прошивки на базе Android, такие как GrapheneOS и LineageOS.
Изменение касается только системных CA-сертификатов, по умолчанию используемых во всех приложениях на устройстве, и не затрагивает обработку пользовательских сертификатов и возможность добавить дополнительные сертификаты для отдельных приложений (например, сохраняется возможность добавить дополнительные сертификаты для браузера). При этом проблема не ограничивается только пакетом с сертификатами - по мере выноса функциональности системы в отдельно обновляемые пакеты APEX, будет увеличиваться число системных компонентов, недоступных для контроля и изменения пользователем, независимо от наличия root-доступа к устройству.
ИсточникНа российской ОС «Аврора» теперь можно запускать любые Android-приложения |
|
|
|
Советуем установить VPN чтобы скрыть Ваш IP-адрес |
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
Я так понимаю готовят отключение России от https? |
|
|
 |
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
barmen писал(а):  | Я так понимаю готовят отключение России от https? |
Откуда такой вывод? | Цитата: | не затрагивает обработку пользовательских сертификатов и возможность добавить дополнительные сертификаты для отдельных приложений (например, сохраняется возможность добавить дополнительные сертификаты для браузера). |
P.S. Как вообще можно "отключить от https"? |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
| Jackers писал(а): | Как вообще можно "отключить от https"? |
а как недавно на платежных формах всех российских интернет магазинов была информация установить российский сертификат или перейти на яндекс браузер. Там тогда центры сертификации отказывались работать с российскими банками и всё такое прочее. Браузеры хром и файрфокс грозились не устанавливать российский сертификат. Было же такое. |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
barmen, я не совсем понимаю фразу отключить Россию от https. Можно создать свой центр сертификации, например, но при этом лишить Россию самого протокола невозможно. |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
| barmen писал(а): | я не совсем понимаю фразу отключить Россию от https |
Центры сертификации уже угрожали уйти из РФ. Это бы привело к тому, что все браузеры начали бы сообщать о недействительных сертификатах. То-есть браузеры не могут гарантировать отсутствие MITM атаки. А возможность MITM атаки превращает https в пустышку. А бесполезный https = отключить Россию от https |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| barmen писал(а): | А бесполезный https = отключить Россию от https |
В РФ уже есть свои ssl сертификаты. О каком отключении от https может идти речь? |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
| Jackers писал(а): | В РФ уже есть свои ssl сертификаты. О каком отключении от https может идти речь? |
Например Apple Android Windows могут сделать так чтобы они не работали в этих системах. |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| barmen писал(а): | | Jackers писал(а): | В РФ уже есть свои ssl сертификаты. О каком отключении от https может идти речь? |
Например Apple Android Windows могут сделать так чтобы они не работали в этих системах. |
Каким образом, расскажите. Я устанавливаю, например, YandexBrowser, в который встроены нужные российские сертификаты. Какие действия Apple Android Windows? |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
| Jackers писал(а): |
Я устанавливаю, например, YandexBrowser, в который встроены нужные российские сертификаты.
Какие действия Apple Android Windows?
|
У сертификатов есть файлы, а файлы можно удалить, заблокировать возможность их создания итп. |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| barmen писал(а): |
У сертификатов есть файлы, а файлы можно удалить, заблокировать возможность их создания итп.
|
На данный момент у Apple, например, в AppStore есть YandexBrowser, который прошел их верификацию. Скажите, каким образом будет Apple удалять файлы верифицированного приложения непосредственно в системе? Аналогично и у других систем. Андроид вообще спокойно позволяет поставить стороннее приложение. |
|
|
|
|
barmen
Стаж: 13 лет 8 мес.
Сообщений: 1353
Ratio: 19.349
0%
|
Jackers
Apple, например, может вообще удалить YandexBrowser из AppStore.
Надеюсь вы не будете отрицать что Windows 10 ранее удаляла программы и файлы без ведома пользователя?
У андроида все езе впереди. |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| barmen писал(а): |
Apple, например, может вообще удалить YandexBrowser из AppStore.
|
Может удалить, а может не удалить. Пока такого на данный момент нет и это явно не подходит под "отключить Россию от https". Одного Apple для этого мало. | barmen писал(а): |
Надеюсь вы не будете отрицать что Windows 10 ранее удаляла программы и файлы без ведома пользователя?
|
Это еще не значит, что также будет и сертификатами YB, например. | barmen писал(а): |
У андроида все езе впереди.
|
В обсуждаемой новости изменение способа обновления CA применяется для всего мира и нет никакой исключительности для России. |
|
|
|
|
AlienNation
Стаж: 12 лет 4 мес.
Сообщений: 68
Ratio: 1096.495
Раздал: 997.4 TB
Поблагодарили: 1091
100%
Откуда: Барнаул
|
И соответственно в Магиске появится патч с сертификатами (правда который надо будет проверить перед установкой). И все. Проблема прям) Разблокировка бута и рут доступ тоже детектировался, раньше) |
|
|
|
|
kladg
Стаж: 7 лет 6 мес.
Сообщений: 403
Ratio: 9.742
Раздал: 30.01 TB
Поблагодарили: 2867
100%
Откуда: из СССР!
|
В 14 версии редми уже и так никуда не даёт зайти, ни в какие скрытые папки и посмотреть, вот и пришло время контроля корпорацией большого брата твоего смартфона, хуже всего что нет альтернативы, и даже при получении root прав всё плохо, да и с правами root не каждый пользователь будет заморачиваться, остаётся только пользоваться старыми версиями смартфона, или ставить старые прошивки смартфона чтоб не следили, хотя и это мало что даст, в общем беда. Выходит чем дороже смартфон, тем меньше у тебя прав. Мой смартфон Redmi Note 11S. |
|
|
|
|
|
|
