В Android 14 потребителят няма да може да променя системните сертификати, дори и с root достъп
Създателите на HTTP Toolkit – набор от принадлежности с отворен код за инспекция на HTTPS трафика – са забелязали смяна в метода, по който документите на удостоверяващите центрове (CA) ще бъдат обновени в бъдеща версия на Android 14. Сертификатите към този момент няма да бъдат обвързани с фърмуера, а вместо това ще се доставят в обособен пакет, обновен посредством Гугъл Play.
Този метод ще улесни поддържането на настоящите документи и премахването на документи от компрометирани удостоверителни органи, както и ще попречи на производителите на устройства да манипулират листата на кореновите документи и ще направи процеса на тяхното актуализиране самостоятелен от актуализациите на фърмуера. От друга страна, новият способ на доставка ще попречи на потребителите да вършат промени в систематичните документи, даже в случай че имат root достъп до системата и имат цялостен надзор върху фърмуера.
Вместо от директорията /system/etc/security/cacerts, в този момент документите в Android 14 се вземат от директорията /apex/com.android.conscrypt/cacerts, ситуирана в обособен резервоар от вида APEX (Android Pony EXpress), чието наличие се доставя посредством Гугъл Play и чиято целокупност се управлява от цифровия автограф на Гугъл. По този метод, даже при цялостен надзор на системата с root привилегии, потребителят няма да може да трансформира наличието на листата със систематичните документи. Новата скица за предпазване на документи може да докара до усложнения за разработчиците и хакерите, които се занимават с назад инженерство, инспекция на трафика или проучване на фърмуера, и евентуално може да усложни развиването на планове, разработващи различен фърмуер, основан на Android, като да вземем за пример GrapheneOS и LineageOS.
