Come posso rimuovere le CA affidabili su Android?

12

Dall'attuale ricaduta su DigiNotar (in breve, un'Autorità di certificazione radice che è stata hackerata, falsi certificati HTTPS emessi, attacchi MITM molto probabilmente), ci sono alcune parti riguardanti Android ( vedi il rapporto intermedio di ieri in PDF ):

  • sono stati generati certificati fraudolenti per * .android.com (che includerebbe market.android.com)
  • potrebbero esserci altri certificati fraudolenti firmati da questa CA in natura (attualmente nessuno lo sa per certo, in un modo o nell'altro)
  • questo potrebbe accadere ad un'altra CA in futuro (Comodo ha avuto un problema simile qualche mese fa)

Quindi, come posso rimuovere una CA di cui non mi fido più dal mio telefono Android? (Ho root e CM6 sul mio telefono specifico, se pertinente)

security  certificates 
Piskvor lasciò l'edificio
fonte
1
Il team CM sta lavorando a una soluzione secondo code.google.com/p/cyanogenmod/issues/detail?id=4260
Sparx

Risposte:

5

Lookout Mobile ha scritto un blog su questo a causa degli eventi DigiNotar e ha fornito alcune istruzioni piuttosto valide (leggi: lunghe) che puoi trovare qui .

L'essenza di ciò è che è necessario estrarre /system/etc/security/cacerts.bkse quindi rimuovere le CA dall'archivio, quindi reinserire l'archivio sul dispositivo e riavviare. Le loro istruzioni richiedono che tu abbia Bouncy Castle (per decrittografare il negozio), l'accesso come root e una connessione adb funzionante. Non sono sicuro se questo si applica a tutte le versioni di Android o meno, ma la mia ipotesi sarebbe che la posizione dell'archivio CA non è cambiata da un po 'di tempo (se mai).

eldarerathis
fonte
2
Nel tuo elenco di requisiti della voce importante per alcuni dispositivi manca: è necessaria una partizione di sistema non protetta (nota anche come "S-OFF"). Se un sistema S-ON il comando "rimozione adb" non funzionerà.
Robert,
17

In Android Lollipop 5.0
Impostazioni → Sicurezza → Credenziali affidabili → scheda Utente → Seleziona il certificato → Scorri verso il basso, Fai clic sul pulsante RimuoviFatto .

Joan Solà
fonte
Buono a sapersi se sei su una recente versione di Android, grazie. (Capisco che questa è una funzionalità introdotta in 5.0, giusto?)
Piskvor ha lasciato l'edificio il
È un peccato come questo sia implementato. Diffidare di tutte le autorità di certificazione che non ritengo affidabili (perché dovrei fidarmi di alcune società casuali cinesi / turche / sudamericane?) Richiede circa 1 1/2 ore di clic e scorrimento. A dir poco noioso. D'altra parte, installare le mie credenziali di fiducia è quasi impossibile.
atripes
Su Android 8.0, questo è stato spostato in Impostazioni → Sicurezza e posizione → Crittografia e credenziali → Credenziali affidabili
Michael Marvick,
2

schermata di blocco e sicurezza. altre impostazioni di sicurezza. visualizzare i certificati di sicurezza. utenti.

Quindi rimuovilo.

S7 Edge 2016-07-14

user176546
fonte
Quale versione di Android è questa?
Piskvor lasciò l'edificio il
1
Potresti voler includere schermate - rende più semplice per la maggior parte degli utenti seguire le istruzioni :)
benjamin
1

Devi rimuoverli uno alla volta. In genere c'è un gran numero quindi la ricerca di ciascuno è impossibile. Disabilitarli una sola volta richiede molto tempo.

Garrett Goldul
fonte
0

Fare clic sul nome della credenziale, scorrere verso il basso e quindi premere Disattiva.

Jon Lajoie
fonte
4
Penso che volevi dire "Disabilita" invece di "spegnere". Tuttavia, si prega di indicare anche la versione e il marchio Android poiché non tutte le versioni dispongono di questa funzione.
Andrew T.
1
Penso che questo sarebbe in "Impostazioni di sistema> Sicurezza> Credenziali attendibili". Almeno questo è sul mio Android 4.1.2.
Ricardo Souza,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.