Como posso remover CAs confiáveis ​​no Android?


12

Desde a atual precipitação em torno do DigiNotar (em resumo, uma Autoridade de Certificação Raiz que foi hackeada, certificados HTTPS falsos emitidos, ataques MITM muito provavelmente), existem algumas partes relacionadas ao Android ( consulte o relatório intermediário de ontem em PDF ):

  • certificados fraudulentos para * .android.com foram gerados (o que incluiria market.android.com)
  • pode haver outros certificados fraudulentos assinados por essa autoridade de certificação (atualmente ninguém sabe ao certo, de uma maneira ou de outra)
  • isso pode acontecer com outra autoridade de certificação no futuro (a Comodo teve um problema semelhante há alguns meses)

Então, como faço para remover uma CA em que não confio mais no meu telefone Android? (Eu tenho root e CM6 no meu telefone específico, se isso for relevante)


1
A equipe do CM está trabalhando em uma correção de acordo com code.google.com/p/cyanogenmod/issues/detail?id=4260
Sparx

Respostas:


5

O Lookout Mobile publicou um blog sobre isso devido aos eventos do DigiNotar e forneceu algumas instruções muito boas (leia-se: longas) que você pode encontrar aqui .

O essencial é que você precisa puxar /system/etc/security/cacerts.bkse remover as autoridades de certificação da loja, depois empurre a loja de volta ao dispositivo e reinicie. Suas instruções exigem que você tenha o Bouncy Castle (para descriptografar a loja), o acesso root e uma conexão adb funcional. Não sei se isso se aplica a todas as versões do Android ou não, mas acho que o local da loja da CA não mudou há algum tempo (se é que alguma vez).


2
Na sua lista de requisitos de entrada importante para alguns dispositivos está faltando: Você precisa de uma partição do sistema desprotegida (também conhecida como "S-OFF"). Se um sistema S-ON, o comando "adb remount" não funcionará.
Robert

17

No Android Lollipop 5.0
Configurações → Segurança → Credenciais confiáveis ​​→ Guia Usuário → Selecione seu certificado → Role para baixo, Clique no botão RemoverConcluído .


É bom saber se você está em uma versão recente do Android, obrigado. (Entendo que este é um recurso introduzido na
versão

É uma pena como isso é implementado. Desconfiar de todas as autoridades de certificação que não considero confiáveis ​​(por que confiar em alguma empresa chinesa / turca / sul-americana aleatória?) Leva cerca de 1 hora e meia de clicar e rolar. Tedioso para dizer o mínimo. Por outro lado, instalar minhas próprias credenciais confiáveis ​​é quase impossível.
Atripes

No Android 8.0, este se mudou para Configurações → Segurança e Localização → Encryption & credenciais → credenciais confiáveis
Michael Marvick

2

tela de bloqueio e segurança. outras configurações de segurança. visualizar certificados de segurança. Comercial.

Depois remova-o.

S7 Edge 14-07-2016


Que versão do Android é essa?
Piskvor deixou o prédio

1
Você pode querer incluir screenshots - torna mais fácil para a maioria dos usuários a seguir as instruções :)
benjamin

1

Você precisa removê-los um de cada vez. Normalmente, há um grande número, portanto é impossível pesquisar cada um. Desativá-los uma vez leva muito tempo.


0

Clique no nome da credencial, role para baixo e pressione desligar.


4
Eu acho que você quis dizer "Desativar" em vez de "desligar". No entanto, indique também a versão e a marca do Android, pois nem todas as versões possuem esse recurso.
Andrew T.

1
Eu acho que isso seria em "Configurações do sistema> Segurança> Credenciais confiáveis". Pelo menos isso está no meu Android 4.1.2.
Ricardo Souza
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.