Android 14, root yetkisi bile sistem sertifikalarındaki tüm değişiklikleri engelliyor mu?

 (httptoolkit.com)
1 puan yazan GN⁺ 2023-09-06 | 1 yorum | WhatsApp'ta paylaş
  • Yaklaşan Android 14 sürümü, root yetkisine sahip kullanıcıların bile sistem sertifikalarındaki tüm değişiklikleri yapmasını engelleyecek.
  • Bu değişiklik, Android'in geliştiricilere cihaz işlevleri ve araçlarına tam erişim sağlayan "açık platform" yönündeki ilk vaadinden büyük bir sapma anlamına geliyor.
  • Sertifika otoritesi (CA) sertifikaları etrafındaki kısıtlamalar çok daha da sıkılaştırılıyor; tamamen rootlanmış cihazlarda bile güvenilen sertifika kümesini değiştirmek imkansız hale gelecek.
  • Bu değişiklik, Android geliştiricileri, test uzmanları, tersine mühendislik yapanlar ve kendi cihazlarının kime güvendiğini kontrol etmek isteyenler için yeni zorluklar yaratacak.
  • Daha fazla kısıtlanmış, üretici kontrolündeki bir dünyaya geçiş Android 7 (Nougat) ile başladı; bu sürüm cihazın sertifika otoritelerini (CA'ler), OS üreticisinin sağladığı sabit bir liste ve kullanıcının değiştirebildiği bir liste olarak ikiye ayırdı.
  • Güvenilen sertifika kümesini değiştirebilme yeteneği; gizlilik ve güvenlik araştırmaları, tersine mühendislik, uygulama hata ayıklama ve testleri ile çeşitli kurum içi ağ yapılandırmaları açısından önem taşıyor.
  • Yarattığı zorluğa rağmen, Android cihazlarını rootlayıp bu kısıtlamaları aşmak mümkündü; ancak bu aşma yöntemi Android 14'te artık işe yaramayacak.
  • Android 14'ün yeni güvenlik özelliği olan uzaktan güncellenebilir CA sertifikaları, daha hızlı CA güncellemelerine imkan tanıyor ve Google'ın her telefon üreticisinin OTA güncellemesi yayımlamasını beklemeden tüm Android 14+ cihazlarda sorunlu veya başarısız CA'lere olan güveni geri çekebilmesini sağlıyor.
  • Bu özelliğin olumlu hedefine rağmen, uygulama ciddi sonuçlar doğuruyor ve sistem CA sertifikaları artık /system üzerinden yüklenmiyor; root erişimi kullanılarak yapılan tüm değişiklikler cihazdaki tüm uygulamalar tarafından yok sayılıyor.
  • Bu değişiklik ayrıca gelecekte Android Pony EXpress (APEX) modülünün kapsamına taşınan sistem bileşenlerinin de kullanıcı denetiminden çıkarılacağı anlamına geliyor; bu da GrapheneOS & LineageOS gibi Android fork'ları ve Magisk gibi gelişmiş cihaz yapılandırma araçları için sorun yaratabilir.
  • Şimdilik, hata ayıklama, tersine mühendislik, test veya araştırma için kendi sistem CA sertifikalarını yapılandırmak isteyenlerin Android 14'e güncellemeden kaçınması ya da CA sertifikalarını yönetmek için APEX modülü kullanmayan özel OS sürümlerini tercih etmesi gerekiyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-06
Hacker News görüşleri
  • Android 14'ün sistem sertifikalarındaki tüm değişiklikleri engellemesinin olası etkilerine dair bir yazı
  • Deneyimli bir Android geliştiricisi başlığın yanıltıcı olduğunu savunuyor ve Android'de root erişiminin Java kodunu düzenlemek de dahil olmak üzere hâlâ kapsamlı değişikliklere izin verdiğini belirtiyor
  • Geliştirici, sistem sertifikalarını değiştirememe sorununun genel bir sorun olmadığını, makale yazarına özgü bir durum olabileceğini öne sürüyor
  • Geliştirici, Android'in giderek kullanıcılara, özellikle de ileri düzey kullanıcılara karşı daha düşmanca hale geldiğini eleştiriyor ve bunun daha fazla insanı custom ROM kullanmaya yönelteceğini umuyor
  • Bir başka yorumcu, PC'lerin akıllı telefonlar gibi çalışmamasına şükrettiğini söylüyor; Android'i, Windows'a kıyasla daha az kullanıcı kontrolü sunan ve daha dengesiz bir sistem olarak eleştiriyor
  • Bir Pinephone Pro kullanıcısı, standart dışı tarayıcılar ve mobil işletim sistemleri kullanmanın zorluklarını tartışıyor ve mobil işletim sistemlerindeki tescilli ikiliden kurtulmanın ne kadar zor olduğunu vurguluyor
  • Bir kullanıcı, Android'in yeni root CA kurma ve bunlara güvenme konusunda Apple'dan daha kısıtlayıcı olduğunu belirtiyor; Android 7+ varsayılan olarak kullanıcının eklediği CA'ları yok sayıyor
  • Başka bir kullanıcı, root CA'ları değiştirememe sorununun Google'ın namespacing/containerization yaklaşımının bir yan ürünü olabileceğini, değişiklikleri engellemeye yönelik kasıtlı bir çaba olmayabileceğini öne sürüyor
  • Bir yorumcu, sistem özelliği ayarlayarak APEX cert dizininden okumayı atlatma yöntemini paylaşıyor ve sorunun ilk düşünüldüğü kadar ciddi olmayabileceğini ima ediyor
  • Android'in terk edilmiş sürümlerinde hardcoded sertifikaların uzun vadede yaşayıp yaşayamayacağına dair endişeler dile getiriliyor; bu yaklaşımın uzun vadeli uygulanabilirliği sorgulanıyor
  • Bir kullanıcı, Android'in her sürümde özellik kaldırmasını eleştiriyor ve kullanıcı deneyimi açısından iOS'un sonunda Android'i geçebileceğini öne sürüyor
  • Kendi kendine barındırılan yazılımlar için kişisel PKI'ye güvenen bir kullanıcı, kendi root sertifikasını güvenilen otoriteler listesine ekleme ihtiyacını dile getiriyor ve kullanıcının kendi cihazını kontrol etmesinin önemini vurguluyor
  • Bir kullanıcı, EV şarj uygulamalarındaki gizli API'leri çıkarmak için HTTP Toolkit ve Frida kullandığı deneyimini paylaşıyor ve bu araçların geliştiriciler için ne kadar faydalı olabileceğini vurguluyor