¿Cómo puedo eliminar las CA de confianza en Android?

12

A partir de las consecuencias actuales en torno a DigiNotar (en resumen, una Autoridad de Certificación Raíz que ha sido pirateada, se emitieron certificados HTTPS falsos, muy probablemente ataques MITM), hay algunas partes relacionadas con Android ( consulte el informe provisional de ayer en PDF ):

  • Se han generado certificados fraudulentos para * .android.com (que incluiría market.android.com)
  • puede haber otros certificados fraudulentos firmados por esta CA en la naturaleza (actualmente nadie lo sabe con certeza, de una forma u otra)
  • Esto podría sucederle a otra CA en el futuro (Comodo tuvo un problema similar hace unos meses)

Entonces, ¿cómo elimino una CA en la que ya no confío en mi teléfono Android? (Tengo root y CM6 en mi teléfono específico, si es relevante)

security certificates Piskvor salió del edificio
fuente
1
El equipo de CM está trabajando en una solución de acuerdo con code.google.com/p/cyanogenmod/issues/detail?id=4260
Sparx

Respuestas:

5

Lookout Mobile ha publicado un blog sobre esto debido a los eventos de DigiNotar, y ha proporcionado algunas instrucciones bastante buenas (léase: largas) que puede encontrar aquí .

Lo esencial es que debe extraer /system/etc/security/cacerts.bksy luego eliminar las CA de la tienda, luego empujar la tienda de nuevo al dispositivo y reiniciar. Sus instrucciones requieren que tenga Bouncy Castle (para descifrar la tienda), acceso root y una conexión adb que funcione. No estoy seguro de si esto se aplica a todas las versiones de Android o no, pero supongo que la ubicación de la tienda de CA no ha cambiado en bastante tiempo (si es que lo ha hecho).

eldarerathis
fuente
2
Falta en su lista de requisitos de entrada importante para algunos dispositivos: necesita una partición de sistema desprotegida (también conocida como "S-OFF"). Si un sistema S-ON el comando "adb remount" no funcionará.
Robert
17

En Android Lollipop 5.0
Configuración → Seguridad → Credenciales de confianza → pestaña Usuario → Seleccione su certificado → Desplácese hacia abajo, haga clic en el botón EliminarListo .

Joan Solà
fuente
Es bueno saber si estás en una versión reciente de Android, gracias. (Entiendo que esta es una característica introducida en 5.0, ¿correcto?)
Piskvor dejó el edificio el
Es una pena cómo se implementa esto. Desconfiar de todas las AC que no considero confiables (¿por qué debería confiar en alguna compañía china / turca / sudamericana al azar?) Toma aproximadamente 1 1/2 horas de hacer clic y desplazarse. Tedioso por decir lo menos. Por otro lado, instalar mis propias credenciales de confianza es casi imposible.
atripes
En Android 8.0, esto se movió a Configuración → Seguridad y ubicación → Cifrado y credenciales → Credenciales de confianza
Michael Marvick
2

pantalla de bloqueo y seguridad. Otras configuraciones de seguridad. Ver los certificados de seguridad. usuarios.

Luego quítalo.

S7 Edge 2016-07-14

usuario176546
fuente
¿Qué versión de Android es esta?
Piskvor salió del edificio el
1
Es posible que desee incluir capturas de pantalla: facilita a la mayoría de los usuarios seguir las instrucciones :)
benjamin
1

Tienes que eliminarlos uno a la vez. Por lo general, hay un gran número, por lo que es imposible investigar cada uno. Solo deshabilitarlos una de las veces lleva mucho tiempo.

Garrett Goldul
fuente
0

Haga clic en el nombre de la credencial, desplácese hacia abajo y luego presione apagar.

jon lajoie
fuente
44
Creo que quisiste decir "Desactivar" en lugar de "desactivar". Sin embargo, indique también la versión y marca de Android, ya que no todas las versiones tienen esta característica.
Andrew T.
1
Creo que esto estaría en "Configuración del sistema> Seguridad> Credenciales de confianza". Al menos esto está en mi Android 4.1.2.
Ricardo Souza