Android 14 改变系统证书为可更新组件

自 Android 7.0 (Nougat, 牛扎糖) 开始改变了 CA 证书的默认信任等级后, 现在在 Android 14 系统证书的保存又发生了一些变化.

Google 将证书信任的途径从 OEM 更新替换为可通过 Google Play 更新的组件, 原先用于存储证书的 /system/etc/security/cacerts/ 路径也变更到 /apex/com.android.conscrypt/cacerts, 如果该路径存在则会默认使用这个路径. /apex 是 Android Pony EXpress (APEX) 容器的路径, APEX 模块都被设计为可更新的系统组件, 其中就包括了系统 CA 证书模块 com.android.conscrypt.

----------------------
HTTP ToolKit 在通过 Android Studio 测试 Android 14, 尝试通过 adb 和 su 指令尝试重复 Android 14 前挂载修改 /system/etc/security/cacerts/ 的办法去信任证书, 发现即使通过重新挂载分区来尝试删除证书, 最后都会以失败告终, /apex 始终都是只读状态.
----------------------

● Android 14 blocks all modification of system certificates, even as root | HTTP Toolkit
● Android 14 makes root certificates updatable via Google Play to protect users from malicious CAs

#news #Android

via CXPLAY's Memos

Httptoolkit

Android 14 blocks modification of system certificates, even as root

Update: This post sparked a lot of excellent discussion and debate on workarounds, and there are now multple working solutions to allow…