Android 14, bahkan memblokir semua modifikasi sertifikat sistem meski punya akses root?

 (httptoolkit.com)
1 poin oleh GN⁺ 2023-09-06 | 1 komentar | Bagikan ke WhatsApp
  • Rilis Android 14 yang akan datang akan memblokir semua modifikasi sertifikat sistem, bahkan bagi pengguna yang memiliki akses root.
  • Perubahan ini merupakan penyimpangan besar dari janji awal Android sebagai "platform terbuka" yang memungkinkan pengembang mendapatkan akses penuh ke fungsi dan alat pada handset.
  • Pembatasan di sekitar sertifikat certificate authority (CA) akan diperketat jauh lebih lanjut, sehingga menjadi mustahil untuk mengubah kumpulan sertifikat tepercaya pada perangkat yang telah di-root sepenuhnya.
  • Perubahan ini akan menghadirkan tantangan baru bagi pengembang Android, tester, reverse engineer, dan siapa pun yang tertarik mengendalikan siapa yang dipercaya oleh perangkat mereka.
  • Pergeseran menuju dunia yang lebih dibatasi dan dikendalikan vendor dimulai sejak Android 7 (Nougat), yang memisahkan certificate authority (CA) perangkat menjadi dua daftar: daftar tetap yang disediakan vendor OS dan daftar yang dapat diubah pengguna.
  • Kemampuan untuk memodifikasi kumpulan sertifikat tepercaya penting untuk riset privasi dan keamanan, reverse engineering, debugging dan pengujian aplikasi, serta berbagai konfigurasi jaringan internal perusahaan.
  • Meski merepotkan, sebelumnya masih dimungkinkan untuk me-root perangkat Android dan melewati pembatasan ini, tetapi metode bypass tersebut tidak akan lagi efektif di Android 14.
  • Fitur keamanan baru Android 14 berupa sertifikat CA yang dapat diperbarui dari jarak jauh memungkinkan pembaruan CA yang lebih cepat, serta memungkinkan Google mencabut kepercayaan terhadap CA yang bermasalah atau gagal di semua perangkat Android 14+ tanpa harus menunggu setiap vendor ponsel merilis pembaruan OTA.
  • Terlepas dari tujuan positif fitur ini, implementasinya menimbulkan konsekuensi serius: sertifikat CA sistem tidak lagi dimuat dari /system, dan semua perubahan yang dibuat menggunakan akses root akan diabaikan oleh semua aplikasi di perangkat.
  • Perubahan ini juga berarti komponen sistem masa depan yang dipindahkan ke cakupan modul Android Pony EXpress (APEX) akan ikut dihapus dari kendali pengguna, yang dapat menimbulkan masalah bagi fork Android seperti GrapheneOS & LineageOS serta alat konfigurasi perangkat tingkat lanjut seperti Magisk.
  • Untuk saat ini, mereka yang ingin mengonfigurasi sertifikat CA sistem mereka sendiri untuk debugging, reverse engineering, pengujian, atau riset sebaiknya menghindari pembaruan ke Android 14, atau menggunakan rilis OS kustom yang tidak mengelola sertifikat CA melalui modul APEX.

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-06
Komentar Hacker News
  • Artikel tentang potensi dampak Android 14 yang memblokir semua modifikasi pada sertifikat sistem
  • Seorang pengembang Android berpengalaman berpendapat bahwa judulnya menyesatkan, dan menyatakan bahwa akses root di Android masih memungkinkan modifikasi yang luas, termasuk pengeditan kode Java
  • Pengembang tersebut menyarankan bahwa masalah tidak bisa memodifikasi sertifikat sistem mungkin bukan masalah umum, melainkan masalah yang spesifik pada penulis artikel
  • Pengembang itu mengkritik Android yang makin tidak ramah terhadap pengguna, terutama power user, dan berharap ini akan mendorong lebih banyak orang menggunakan ROM kustom
  • Komentator lain menyatakan rasa syukur bahwa PC tidak bekerja seperti smartphone, serta mengkritik Android karena memberi kontrol pengguna yang lebih sedikit dan lebih tidak stabil dibanding Windows
  • Pengguna Pinephone Pro membahas kesulitan menggunakan browser nonstandar dan sistem operasi mobile nonstandar, serta menyoroti tantangan untuk keluar dari duopoli OS mobile yang proprietari
  • Pengguna menunjukkan bahwa Android lebih membatasi daripada Apple dalam hal memasang dan memercayai root CA baru, dan bahwa Android 7+ secara default mengabaikan CA yang ditambahkan pengguna
  • Pengguna lain menyarankan bahwa ketidakmampuan mengubah root CA bisa jadi merupakan efek samping dari namespacing/containerization Google, bukan upaya yang disengaja untuk mencegah perubahan
  • Seorang komentator membagikan cara melewati pembacaan dari direktori sertifikat APEX dengan mengatur properti sistem, dan menyarankan bahwa masalahnya mungkin tidak separah yang diperkirakan semula
  • Kekhawatiran tentang keberlangsungan jangka panjang sertifikat yang di-hardcode pada versi Android yang telah ditinggalkan, yang menimbulkan pertanyaan tentang kelayakan pendekatan ini dalam jangka panjang
  • Seorang pengguna mengkritik Android karena menghapus fitur di setiap rilis, dan menyarankan bahwa iOS pada akhirnya bisa melampaui Android dari sisi pengalaman pengguna
  • Pengguna yang bergantung pada PKI pribadi untuk perangkat lunak self-hosting menyatakan perlunya menambahkan sertifikat root mereka sendiri ke daftar otoritas tepercaya, sambil menekankan pentingnya pengguna mengendalikan perangkat mereka sendiri
  • Pengguna membagikan pengalaman memakai HTTP Toolkit dan Frida untuk mengekstrak API tersembunyi dari aplikasi pengisian daya EV, serta menyoroti potensi nilai alat-alat tersebut bagi para pengembang