Jak mogę usunąć zaufane urzędy certyfikacji na Androidzie?

12

Z obecnego opadu wokół DigiNotar (krótko mówiąc: zhakowany główny urząd certyfikacji, wydane fałszywe certyfikaty HTTPS, bardzo prawdopodobne ataki MITM), istnieją pewne części dotyczące Androida ( patrz wczorajszy raport tymczasowy w pliku PDF ):

  • wygenerowano fałszywe certyfikaty dla * .android.com (które obejmowałyby market.android.com)
  • mogą istnieć inne takie fałszywe certyfikaty podpisane przez ten urząd certyfikacji na wolności (obecnie nikt nie wie na pewno, w ten czy inny sposób)
  • może się to zdarzyć w innym urzędzie certyfikacji w przyszłości (Comodo miał podobny problem kilka miesięcy temu)

Jak więc usunąć urząd certyfikacji, któremu już nie ufam z telefonu z Androidem? (Mam root i CM6 na moim konkretnym telefonie, jeśli to istotne)

security certificates Piskvor opuścił budynek
źródło
1
Zespół CM pracuje nad poprawką zgodnie z code.google.com/p/cyanogenmod/issues/detail?id=4260
Sparx,

Odpowiedzi:

5

Lookout Mobile napisał na blogu o tym ze względu na wydarzenia DigiNotar i podał kilka całkiem dobrych (czytaj: długich) instrukcji, które można znaleźć tutaj .

Istotą tego jest to, że musisz wyciągnąć, /system/etc/security/cacerts.bksa następnie usunąć urzędy certyfikacji ze sklepu, a następnie zepchnąć sklep z powrotem do urządzenia i uruchomić ponownie. Ich instrukcje wymagają posiadania nadmuchiwanego zamku (do odszyfrowywania sklepu), dostępu do konta root i działającego połączenia adb. Nie jestem pewien, czy dotyczy to wszystkich wersji Androida, czy nie, ale zgaduję, że lokalizacja sklepu CA nie zmieniła się od dłuższego czasu (jeśli w ogóle).

eldarerathis
źródło
2
Na liście wymagań dotyczących ważnego wpisu brakuje niektórych urządzeń: Potrzebujesz niezabezpieczonej partycji systemowej (znanej również jako „S-OFF”). W systemie S-ON polecenie „adb remount” nie będzie działać.
Robert
17

W systemie Android Lollipop 5.0
Ustawienia → Bezpieczeństwo → Zaufane dane uwierzytelniające → karta Użytkownik → Wybierz certyfikat → Przewiń w dół, kliknij przycisk UsuńGotowe .

Joan Solà
źródło
Dobrze wiedzieć, czy korzystasz z najnowszej wersji Androida, dzięki. (Rozumiem, że jest to funkcja wprowadzona w 5.0, prawda?)
Piskvor opuścił budynek
Szkoda, jak to się realizuje. Nieufność do wszystkich urzędów certyfikacji, które nie uważam za godne zaufania (dlaczego mam ufać przypadkowej chińskiej / tureckiej / południowoamerykańskiej firmie?), Zajmuje około 1 1/2 godziny klikania i przewijania. Nużący co najmniej. Z drugiej strony instalowanie moich zaufanych poświadczeń jest prawie niemożliwe.
atripes
W Androidzie 8.0 przeniesiono to do Ustawienia → Bezpieczeństwo i lokalizacja → Szyfrowanie i dane uwierzytelniające → Zaufane dane uwierzytelniające
Michael Marvick
2

blokada ekranu i bezpieczeństwo. inne ustawienia bezpieczeństwa. przeglądać certyfikaty bezpieczeństwa. użytkownicy.

Następnie usuń go.

S7 Edge 2016-07-14

użytkownik176546
źródło
Co to jest wersja na Androida?
Piskvor opuścił budynek
1
Możesz dołączyć zrzuty ekranu - ułatwia to większości użytkowników postępowanie zgodnie z instrukcjami :)
benjamin
1

Musisz je usuwać pojedynczo. Zazwyczaj jest ich duża liczba, więc badanie każdego z nich jest niemożliwe. Wyłączenie ich tylko raz zajmuje bardzo dużo czasu.

Garrett Goldul
źródło
0

Kliknij nazwę poświadczenia, przewiń w dół, a następnie naciśnij wyłącz.

jon lajoie
źródło
4
Myślę, że miałeś na myśli „Wyłącz” zamiast „Wyłącz”. Podaj jednak także wersję i markę Androida, ponieważ nie wszystkie wersje mają tę funkcję.
Andrew T.
1
Myślę, że byłoby to w „Ustawieniach systemu> Bezpieczeństwo> Zaufane poświadczenia”. Przynajmniej tak jest na moim Androidzie 4.1.2.
Ricardo Souza