Android 14 blockiert selbst mit Root-Rechten jede Änderung an Systemzertifikaten?

 (httptoolkit.com)
1 Punkte von GN⁺ 2023-09-06 | 1 Kommentare | Auf WhatsApp teilen
  • Die kommende Android-14-Version wird jede Änderung an Systemzertifikaten blockieren, selbst für Nutzer mit Root-Rechten.
  • Diese Änderung stellt eine deutliche Abkehr von Androids ursprünglichem Versprechen als „offene Plattform“ dar, die Entwicklern vollständigen Zugriff auf Gerätefunktionen und Tools erlaubte.
  • Die Einschränkungen rund um Zertifizierungsstellen-(CA-)Zertifikate werden noch deutlich verschärft, sodass es unmöglich wird, den Satz vertrauenswürdiger Zertifikate selbst auf vollständig gerooteten Geräten zu verändern.
  • Diese Änderung wird Android-Entwickler, Tester, Reverse Engineers und alle, die kontrollieren möchten, wem ihr Gerät vertraut, vor neue Herausforderungen stellen.
  • Der Übergang in eine stärker eingeschränkte, von Herstellern kontrollierte Welt begann mit Android 7 (Nougat), das die Zertifizierungsstellen (CAs) eines Geräts in zwei Listen aufteilte: eine feste, vom OS-Hersteller bereitgestellte Liste und eine vom Nutzer veränderbare Liste.
  • Die Fähigkeit, den Satz vertrauenswürdiger Zertifikate zu ändern, ist wichtig für Datenschutz- und Sicherheitsforschung, Reverse Engineering, App-Debugging und -Tests sowie für verschiedene interne Unternehmensnetzwerkkonfigurationen.
  • Trotz der Unannehmlichkeiten war es bislang möglich, ein Android-Gerät zu rooten und diese Einschränkungen zu umgehen, doch diese Umgehungsmethode wird unter Android 14 nicht mehr funktionieren.
  • Das neue Sicherheitsfeature von Android 14, aus der Ferne aktualisierbare CA-Zertifikate, ermöglicht schnellere CA-Updates und erlaubt Google, das Vertrauen in problematische oder fehlerhafte CAs auf allen Android-14+-Geräten zu widerrufen, ohne darauf warten zu müssen, dass einzelne Smartphone-Hersteller OTA-Updates veröffentlichen.
  • Trotz des positiven Ziels dieser Funktion hat die Implementierung schwerwiegende Folgen: System-CA-Zertifikate werden nicht mehr aus /system geladen, und alle mit Root-Zugriff vorgenommenen Änderungen werden von sämtlichen Apps auf dem Gerät ignoriert.
  • Diese Änderung bedeutet zudem, dass künftige Systemkomponenten, die in den Zuständigkeitsbereich von Android Pony EXpress (APEX)-Modulen verschoben werden, ebenfalls der Nutzerkontrolle entzogen werden. Das könnte Probleme für Android-Forks wie GrapheneOS & LineageOS sowie für fortgeschrittene Gerätekonfigurationstools wie Magisk verursachen.
  • Vorerst sollten alle, die ihre eigenen System-CA-Zertifikate für Debugging, Reverse Engineering, Tests oder Forschung konfigurieren möchten, ein Update auf Android 14 vermeiden oder eine angepasste OS-Version verwenden, die CA-Zertifikate nicht über APEX-Module verwaltet.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-06
Hacker-News-Kommentare
  • Ein Artikel über die möglichen Auswirkungen davon, dass Android 14 jede Änderung an Systemzertifikaten blockiert
  • Ein erfahrener Android-Entwickler behauptet, der Titel sei irreführend, und argumentiert, dass Root-Zugriff unter Android weiterhin weitreichende Änderungen erlaubt, einschließlich der Bearbeitung von Java-Code
  • Der Entwickler vermutet, dass die Unfähigkeit, Systemzertifikate zu ändern, kein allgemeines Problem ist, sondern ein spezielles Problem des Autors des Artikels sein könnte
  • Der Entwickler kritisiert, dass Android den Nutzern gegenüber immer feindlicher werde, insbesondere Power-Usern, und hofft, dass dies mehr Menschen zur Nutzung von Custom-ROMs bewegen wird
  • Ein anderer Kommentator äußert Dankbarkeit darüber, dass PCs nicht wie Smartphones funktionieren, und kritisiert Android im Vergleich zu Windows als weniger nutzerkontrollierbar und instabil
  • Ein PinePhone-Pro-Nutzer spricht über die Schwierigkeiten bei der Nutzung nicht standardmäßiger Browser und mobiler Betriebssysteme und hebt die Herausforderungen hervor, aus dem Duopol proprietärer mobiler Betriebssysteme auszubrechen
  • Ein Nutzer weist darauf hin, dass Android beim Installieren und Vertrauen neuer Root-CAs restriktiver als Apple war und Android 7+ standardmäßig vom Nutzer hinzugefügte CAs ignoriert
  • Ein anderer Nutzer vermutet, dass das Problem, Root-CAs nicht ändern zu können, ein Nebeneffekt von Googles Namespacing/Containerisierung sein könnte und kein absichtlicher Versuch, Änderungen zu verhindern
  • Ein Kommentator teilt eine Methode, mit der sich das Lesen aus dem APEX-Zertifikatsverzeichnis durch Setzen von Systemeigenschaften umgehen lässt, und vermutet, dass das Problem nicht so gravierend sein könnte wie zunächst gedacht
  • Bedenken hinsichtlich der langfristigen Überlebensfähigkeit fest einkodierter Zertifikate in aufgegebenen Android-Versionen; die langfristige Tragfähigkeit dieses Ansatzes wird infrage gestellt
  • Ein Nutzer kritisiert, dass Android mit jeder neuen Version Funktionen entferne, und vermutet, dass iOS Android in Bezug auf die User Experience am Ende überholen könnte
  • Ein Nutzer, der für selbstgehostete Software auf eine persönliche PKI angewiesen ist, betont die Notwendigkeit, das eigene Root-Zertifikat zur Liste vertrauenswürdiger Stellen hinzuzufügen, und unterstreicht, wie wichtig die Kontrolle über das eigene Gerät ist
  • Ein Nutzer schildert seine Erfahrung mit HTTP Toolkit und Frida beim Extrahieren versteckter APIs aus einer EV-Lade-App und hebt den potenziellen Nutzen solcher Tools für Entwickler hervor