تعد شهادات الجذر في صميم البنية التحتية للمفتاح العام (PKI) ، وهي موقعة من قبل مراجع مصدقة موثوقة أو CAs. تحتوي المستعرضات والتطبيقات والبرامج الأخرى على مخزن جذر معبأ مسبقًا يشير إلى أن هذه الشهادات جديرة بالثقة. إذا قمت بزيارة موقع ويب يدعم HTTPS ولكن لا تستخدم شهادة موقعة من CA في مخزن الجذر للمتصفح الخاص بك ، فسيتم وضع علامة على موقع الويب على أنه غير آمن. عادة ، يمكن للتطبيقات والمتصفحات تحديث شهاداتها ، لكن هاتفك لا يمكنه ما لم يكن عبر تحديث OTA. قد يتغير ذلك ، بحسب إسبر.
كانت هناك عدة مخاوف على مر السنين تتعلق بالشهادات ، وذلك بسبب اعتمادنا عليها باعتبارها جوهر سلسلة الثقة عندما نزور مواقع الويب. هنا في XDA ، تم توقيع شهادتنا بواسطة Let’s Encrypt ، وهي مؤسسة غير ربحية CA. تم توقيع شهادتهم من قبل Internet Security Research Group ، وهذه السلسلة من الثقة هي التي تضمن أن اتصالك بهذا الموقع آمن ومأمون. الأمر نفسه ينطبق على أي موقع ويب آخر تزوره يستخدم HTTPS.
يحتوي كل نظام تشغيل على متجر جذر خاص به ، ولا يختلف نظام Android عن ذلك. يمكنك بالفعل عرض متجر الجذر هذا على هاتفك الذكي الذي يعمل بنظام Android من خلال الانتقال إلى الأمان والخصوصية في إعدادات جهازك. من هناك ، سيعتمد ذلك على نوع الجهاز الذي تستخدمه ، لكن لقطات الشاشة أدناه توضح مكان وجوده على OneUI 5.
ومع ذلك ، فإن الشيء هو أنه حتى مخزن الجذر هذا ليس هو كل شيء ونهاية المطاف. يمكن أن تختار التطبيقات استخدام مخزن الجذر الخاص بها والثقة فيه (وهو ما يفعله Firefox) ، ويمكنها قبول شهادات محددة فقط (تثبيت الشهادة المُدبلجة) في محاولة لتجنب هجمات Man-in-the-Middle (MITM). يمكن للمستخدمين تثبيت شهاداتهم الخاصة ، لكن مطوري التطبيقات يحتاجون إلى الاشتراك للسماح لتطبيقاتهم باستخدام هذه الشهادات منذ Android 7.
لماذا يعد الحصول على شهادات جذر قابلة للتحديث أمرًا مهمًا
مع توقيع شهادات Let’s Encrypt من قِبل مجموعة أبحاث أمان الإنترنت ، يعتمد الكثير من الإنترنت على أمان ISRG. إذا فقدت ISRG السيطرة على مفتاحها الخاص (في حالة سرقتها ، على سبيل المثال) ، فسيتعين على ISRG إلغاء المفتاح. اعتمادًا على كيفية استجابة الشركات ، قد يكون الأمر هو أن بعض أجزاء الإنترنت ستصبح غير قابلة للوصول إلى الأجهزة التي لا تحتوي على شهادات جذر قابلة للتحديث. في حين أن هذا سيناريو كارثي تمامًا (وافتراضي بحت) ، إلا أنه هو النوع الدقيق من السيناريو الذي تريد Google تجنبه. لهذا السبب قد يشير ما يحدث مع TrustCor حاليًا إلى Google بأن الوقت قد حان لإضافة شهادات جذر قابلة للتحديث إلى Android.
للسياق ، TrustCor هي واحدة من هذه الشهادات التي خضعت للتدقيق بعد أن زعم الباحثون أن لها علاقات وثيقة مع مقاول عسكري أمريكي. لم تفقد TrustCor مفتاحها الخاص ، لكنها فقدت ثقة العديد من الشركات التي تحتاج إلى تحديد الشهادات التي تقوم بتضمينها في متاجر الجذر الخاصة بهم. زعم هؤلاء الباحثون أن المقاول العسكري الأمريكي TrustCor كان قريبًا من المطورين الذين دفعوا أموالهم لوضع برامج ضارة لجمع البيانات في تطبيقات الهواتف الذكية. في PKI ، الثقة هي كل شيء ، وفقدت TrustCor تلك الثقة بمجرد ظهور هذه الادعاءات. منذ ذلك الحين ، تخلت شركات مثل Google و Microsoft و Mozilla عن TrustCor كمرجع مصدق. ستتطلب إزالة شهادات TrustCor من متجر جذر Android تحديث OTA ، وعلى الرغم من أن الالتزام قد تم بالفعل في AOSP ، فمن المحتمل أن يستغرق الأمر وقتًا طويلاً حتى تحصل أنت أو لدي بالفعل على التحديث الذي يسقط شهادات TrustCor من أجهزتنا.
الجانب الإيجابي هو أنه يمكنك تعطيل شهادات TrustCor على جهازك الآن من خلال الانتقال إلى شهاداتك على جهازك ، كما أوضحنا أعلاه ، ثم التمرير إلى TrustCor وتعطيل الشهادات الثلاث التي تأتي مع جهازك. وفقًا للمطورين من المشروع ، يجب أن يكون هناك “تأثير ضئيل جدًا على توافق الويب نظرًا لأن CA هذا بالكاد يتم استخدامه من قبل أي شخص آخر بخلاف مزود DNS الديناميكي المحدد.”
الحل: Project Mainline
إذا كنت معتادًا على Project Mainline ، فيمكنك بالفعل معرفة كيف يمكن أن يساعد ذلك في حل المشكلة. تستخدم Google وحدات Mainline التي يتم تسليمها من خلال إطار عمل خدمات Google Play ومتجر Google Play. يتم تسليم كل وحدة نمطية رئيسية إما كملف APK أو ملف APEX أو APK-in-APEX. عندما يتم تحديث وحدة Mainline ، يرى المستخدم إشعار “Google Play System Update” (GPSU) على أجهزته. بشكل فعال ، لتقديم تحديثات للمكونات الهامة ، تجاوزت Google الحاجة إلى انتظار قيام الشركة المصنعة للمعدات الأصلية بطرح تحديث ، واختيار القيام بالمهمة نفسها. Bluetooth والنطاق العريض للغاية هما وحدتان أساسيتان أساسيتان تتعاملان معه Google.
وفقًا (رصدتها Esper) ، ستدعم Conscrypt ، وهي وحدة Mainline توفر تطبيق TLS لنظام Android ، شهادات الجذر القابلة للتحديث في تحديث مستقبلي. قد يعني هذا أنه يمكن إزالة الشهادات (أو حتى إضافتها) عبر تحديث نظام Google Play من خلال Project Mainline ، مما يضمن عملية أسرع بكثير في حالة حدوث موقف آخر مثل TrustCor (أو أسوأ) في المستقبل. ليس من الواضح متى سيتم طرح ذلك ، ولكن من المحتمل أنه سيصل إلى Android 14. من الممكن تقنيًا أن Google قد ترغب في دفعه باستخدام Android 13 QPR2 ، ولكنه سيفيد فقط مستخدمي Google Pixel حتى يصل Android 14 إلى أي شخص آخر على أي حال. العام القادم. هذا لأن مصنعي المعدات الأصلية الآخرين لا يطرحون تحديثات QPR.
السبب الكامل لوجود ذلك هو أن Google يمكن أن تحتفظ بالسيطرة على جانب مهم آخر من أمان الجهاز دون الحاجة إلى الاعتماد على الشركات المصنعة للمعدات الأصلية التي تدفع التحديثات بدلاً من ذلك. مطلوب OTA حاليًا لتحديث الشهادات ، ولكن في حالة الطوارئ ، قد يكون كل يوم لا يتوفر فيه تحديث للمستخدمين أمرًا مهمًا. يعد استخدام Project Mainline لضمان حصول المستخدمين على تحديثات الشهادة الحاسمة في الوقت المناسب إذا لزم الأمر تغييرًا مرحبًا به بالتأكيد.
مصدر: