10 Gennaio 2023
Google sta lavorando a una soluzione per evitare che i dispositivi Android molto vecchi non siano più in grado di navigare su internet per problemi di certificati scaduti: Mishaal Rahman di Esper ha notato alcune manovre a riguardo nel codice sorgente di Android. Sintetizzando all'estremo, l'idea è di scorporare anche i certificati dal sistema operativo, e rendere il loro aggiornamento un'operazione completabile tramite il Play Store o i Play Service.
Il rischio è reale: l'hanno corso i dispositivi basati su Android 7 l'anno scorso. Un cosiddetto root certificate stava per scadere e se Google non fosse intervenuta il resto di internet avrebbe praticamente tagliato fuori i dispositivi coinvolti, rifiutando la connessione per ragioni di sicurezza. Google è riuscita a evitare guai un po' fortuitamente per come tali certificati vengono gestiti, ma sta studiando una soluzione più solida e duratura.
Google is dropping TrustCor's root certificates from Android as questions loom about the firm's ties to U.S. intelligence agencies. Separately, Google also prepares to make Android's root store updatable via Google Play.https://t.co/tRmQBeNTSL
— Mishaal Rahman (@MishaalRahman) December 20, 2022
Tip @techmeme
Il problema dei certificati è particolarmente significativo per il mondo Android: il sistema operativo è progettato per far sì che tutte le app (browser web inclusi) usino quelli preinstallati nel sistema operativo. Non è strettamente obbligatorio, ma sono pochi gli sviluppatori che scelgono la strada alternativa. Uno di questi è Mozilla per il suo browser Firefox (che nell'esempio citato sopra avrebbe quindi continuato a funzionare normalmente).
La possibilità di modificare i certificati senza passare attraverso un aggiornamento di sistema ha anche un altro potenziale vantaggio: permette di risolvere eventuali problemi emersi con le aziende che i certificati li rilasciano. Se i certificati di una di queste entità vengono revocati per sospetti, poca chiarezza o fiducia violata, c'è un modo per mantenere operativi e funzionali anche i dispositivi ormai vetusti per cui è già scaduto il periodo di supporto software da parte dei rispettivi produttori. A quanto pare sta accadendo proprio ora: Google ha deciso di revocare il proprio supporto ai certificati di TrustCor perché è sospettata di avere legami con agenzie di intelligence americane.
Un Computer dentro uno Smartphone? Motorola Moto G100, in offerta oggi da Pskmegastore a 274 euro oppure da eBay a 330 euro.
Commenti
Vogliamo parlare delle configurazioni dei Carrier? Tipo il VoLTE e il VoWifi? Centinaia di modelli compatibili ma che per essere attivati necessitano di aggiornamento firmware? Che assurdità...
Google dovrebbe riprogettare semplicemente Android.
Ni, la sfera di cristallo non la può avere nessuno, stiamo parlando di smartphone usciti nel 2015/16, sono passati 7/8 anni, quelli ancora in uso sono molto pochi.
E poi c'è il problema più grosso, mettere le cose esterne ha tanti tanti problemi da risolvere, richiede molto più lavoro per implementarlo, apre a potenziali problemi di sicurezza, di velocità, di compatibilità. Android è cambiato moltissimo negli anni e proprio la versione dopo Android 8 ha fatto passi enormi proprio per la modularità degli aggiornamenti, ma comunque sono cose per cui serve tanto lavoro.
Il problema è esattamente quello, attualmente i certificati sono modificabili solo flashando un firmware, quindi tramite aggiornamento del sistema operativo, in passato anche altre parti del sistema operativo erano così e pian piano sono state spostate sotto Android service o altre app aggiornabili indipendentemente
Ma non si può ovviare installando i certificati manualmente da file? O vale solo per i certificati utente e non quelli root?
È un po' complicato come argomento e la soluzione è stata praticamente un girare intorno al problema, da quello che ho capito l azienda che gestiva quel tipo di certificato ha stretto un accordo con un'altra azienda che gestirà quel tipo di certificati per conto della prima. Però di fatto è una non soluzione in quanto avere certificati troppo vecchi all interno di un sistema considerato tutto sommato sicuro come l https è un problema e quindi non si potrà andare avanti continuando a trascinarsi vecchi standard
Cos'ha fatto di preciso Google per sistemare i certificati di Android 7?