Android 14: ¿bloqueará incluso el acceso root cualquier modificación a los certificados del sistema?

 (httptoolkit.com)
1 puntos por GN⁺ 2023-09-06 | 1 comentarios | Compartir por WhatsApp
  • La próxima versión de Android 14 bloqueará cualquier modificación a los certificados del sistema, incluso para usuarios con acceso root.
  • Este cambio se aleja considerablemente de la promesa inicial de Android como una "plataforma abierta" que permitía a los desarrolladores acceso completo a las funciones y herramientas del teléfono.
  • Las restricciones en torno a los certificados de autoridad certificadora (CA) serán mucho más estrictas, hasta el punto de que será imposible modificar el conjunto de certificados confiables incluso en dispositivos completamente rooteados.
  • Este cambio presentará nuevos desafíos para desarrolladores de Android, testers, ingenieros de reversa y cualquier persona interesada en controlar en quién confía su propio dispositivo.
  • La transición hacia un mundo más restringido y controlado por los fabricantes comenzó en Android 7 (Nougat), que separó las autoridades certificadoras (CA) del dispositivo en dos listas: una fija proporcionada por el proveedor del sistema operativo y otra modificable por el usuario.
  • La capacidad de modificar el conjunto de certificados confiables es importante para la investigación en privacidad y seguridad, la ingeniería inversa, la depuración y pruebas de apps, y diversas configuraciones de redes internas empresariales.
  • A pesar de lo inconveniente, era posible rootear un dispositivo Android y eludir estas restricciones, pero este método de evasión ya no funcionará en Android 14.
  • La nueva función de seguridad de Android 14, los certificados CA actualizables de forma remota, permite actualizaciones de CA más rápidas y hace posible que Google revoque la confianza en una CA problemática o fallida en todos los dispositivos con Android 14+ sin esperar a que cada fabricante publique una actualización OTA.
  • A pesar del objetivo positivo de esta función, la implementación tiene consecuencias serias: los certificados CA del sistema ya no se cargarán desde /system, y cualquier cambio hecho usando acceso root será ignorado por todas las apps del dispositivo.
  • Este cambio también implica que futuros componentes del sistema trasladados al alcance de los módulos Android Pony EXpress (APEX) quedarán fuera del control del usuario, lo que podría causar problemas para forks de Android como GrapheneOS y LineageOS, así como para herramientas avanzadas de configuración del dispositivo como Magisk.
  • Por ahora, quienes estén interesados en configurar sus propios certificados CA del sistema para depuración, ingeniería inversa, pruebas o investigación deberían evitar actualizar a Android 14, o usar versiones personalizadas del sistema operativo que no administren certificados CA mediante módulos APEX.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-06
Comentarios en Hacker News
  • Un artículo sobre el posible impacto de que Android 14 bloquee toda modificación de los certificados del sistema
  • Un desarrollador de Android con experiencia afirma que el título es engañoso y sostiene que el acceso root en Android todavía permite modificaciones amplias, incluida la edición de código Java
  • El desarrollador sugiere que la imposibilidad de modificar certificados del sistema podría no ser un problema universal, sino uno específico del autor del artículo
  • El desarrollador critica que Android se está volviendo cada vez más hostil para los usuarios, especialmente para los usuarios avanzados, y espera que esto haga que más personas usen ROM personalizadas
  • Otro comentarista expresa agradecimiento porque las PC no funcionan como los smartphones y critica a Android por ofrecer menos control al usuario y ser inestable en comparación con Windows
  • Un usuario de Pinephone Pro habla sobre la dificultad de usar navegadores y sistemas operativos móviles no estándar, y destaca los desafíos de escapar del duopolio de los sistemas operativos móviles propietarios
  • Un usuario señala que Android ha sido más restrictivo que Apple para instalar y confiar en nuevas CA raíz, y que Android 7+ ignora por defecto las CA agregadas por el usuario
  • Otro usuario sugiere que la imposibilidad de cambiar la CA raíz podría ser un subproducto del namespacing o la contenerización de Google, y no necesariamente un esfuerzo deliberado por impedir cambios
  • Un comentarista comparte una forma de omitir la lectura desde el directorio APEX cert configurando propiedades del sistema, y sugiere que el problema podría no ser tan grave como se pensó al principio
  • Preocupación por la supervivencia a largo plazo de certificados hardcodeados en versiones abandonadas de Android, lo que pone en duda la viabilidad de este enfoque a largo plazo
  • Un usuario critica que Android elimine funciones en cada lanzamiento y sugiere que iOS podría terminar superando a Android en términos de experiencia de usuario
  • Un usuario que depende de una PKI personal para software self-hosted expresa la necesidad de agregar su propio certificado raíz a la lista de autoridades certificadas, y subraya la importancia de que los usuarios controlen sus propios dispositivos
  • Un usuario comparte su experiencia usando HTTP Toolkit y Frida para extraer APIs ocultas en una app de carga de vehículos eléctricos, destacando el valor potencial de estas herramientas para los desarrolladores