Comment supprimer des autorités de certification de confiance sur Android?

12

D'après les retombées actuelles autour de DigiNotar (en bref, une autorité de certification racine qui a été piratée, de faux certificats HTTPS émis, des attaques MITM très probablement), il y a certaines parties concernant Android ( voir le rapport intermédiaire d'hier en PDF ):

  • des certificats frauduleux pour * .android.com ont été générés (qui incluraient market.android.com)
  • il peut y avoir d'autres certificats frauduleux de ce genre signés par cette autorité de certification dans la nature (actuellement, personne ne sait avec certitude, dans un sens ou dans l'autre)
  • cela pourrait arriver à une autre autorité de certification à l'avenir (Comodo a eu un problème similaire il y a quelques mois)

Alors, comment supprimer une autorité de certification à laquelle je ne fais plus confiance de mon téléphone Android? (J'ai root et CM6 sur mon téléphone spécifique, si cela est pertinent)

security certificates Piskvor a quitté le bâtiment
la source
1
L'équipe CM travaille sur un correctif selon code.google.com/p/cyanogenmod/issues/detail?id=4260
Sparx

Réponses:

5

Lookout Mobile a blogué à ce sujet en raison des événements DigiNotar et a fourni de très bonnes instructions (lire: longues) que vous pouvez trouver ici .

L'essentiel est que vous devez tirer /system/etc/security/cacerts.bkspuis retirer les autorités de certification du magasin, puis repousser le magasin vers l'appareil et redémarrer. Leurs instructions nécessitent que vous ayez Bouncy Castle (pour décrypter le magasin), un accès root et une connexion adb fonctionnelle. Je ne sais pas si cela s'applique à toutes les versions d'Android ou non, mais je suppose que l'emplacement du magasin CA n'a pas changé depuis un certain temps (si jamais).

eldarerathis
la source
2
Il manque dans votre liste d'exigences une entrée importante pour certains appareils: vous avez besoin d'une partition système non protégée (également appelée "S-OFF"). Si un système S-ON la commande "adb remount" ne fonctionnera pas.
Robert
17

Dans Android Lollipop 5.0
Paramètres → Sécurité → Informations d'identification sécurisées → onglet Utilisateur → Sélectionnez votre certificat → Faites défiler vers le bas, cliquez sur le bouton SupprimerTerminé .

Joan Solà
la source
Bon à savoir si vous utilisez une version récente d'Android, merci. (Je comprends qu'il s'agit d'une fonctionnalité introduite dans la version 5.0, n'est-ce pas?)
Piskvor a quitté le bâtiment
Il est dommage que cela soit mis en œuvre. Se méfier de toutes les autorités de certification que je ne considère pas dignes de confiance (pourquoi devrais-je faire confiance à une société chinoise / turque / sud-américaine aléatoire?) Prend environ 1 1/2 heures de clic et de défilement. Pour le moins ennuyeux. D'un autre côté, installer mes propres informations d'identification de confiance est presque impossible.
atripes
Sur Android 8.0, cela s'est déplacé vers Paramètres → Sécurité et localisation → Cryptage et informations d'identification
Informations d'
2

écran de verrouillage et sécurité. d'autres paramètres de sécurité. afficher les certificats de sécurité. utilisateurs.

Retirez-le ensuite.

S7 Edge 2016-07-14

user176546
la source
De quelle version d'Android s'agit-il?
Piskvor a quitté le bâtiment le
1
Vous voudrez peut-être inclure des captures d'écran - il est plus facile pour la plupart des utilisateurs de suivre les instructions :)
benjamin
1

Vous devez les supprimer un par un. En général, il y en a un grand nombre, il est donc impossible de rechercher chacun d'eux. Le simple fait de les désactiver une fois prend beaucoup de temps.

Garrett Goldul
la source
0

Cliquez sur le nom des informations d'identification, faites défiler vers le bas, puis appuyez sur Désactiver.

jon lajoie
la source
4
Je pense que vous vouliez dire "Désactiver" au lieu de "désactiver". Cependant, veuillez également indiquer la version et la marque Android, car toutes les versions ne disposent pas de cette fonctionnalité.
Andrew T.
1
Je pense que ce serait dans "Paramètres système> Sécurité> Informations d'identification sécurisées". Au moins, c'est sur mon Android 4.1.2.
Ricardo Souza