¿Cómo puedo eliminar las CA de confianza en Android?

De las consecuencias actuales en torno a DigiNotar (en resumen, una autoridad de certificación raíz que ha sido pirateada, se emitieron certificados HTTPS falsos, es muy probable que se produzcan ataques MITM), hay algunas partes relacionadas con Android ( consulte el informe provisional de ayer en PDF ):

  • se han generado certificados fraudulentos para *.android.com (que incluiría market.android.com)
  • puede haber otros certificados fraudulentos de este tipo firmados por esta CA en la naturaleza (actualmente nadie lo sabe con certeza, de una forma u otra)
  • esto podría pasarle a otra CA en el futuro (Comodo tuvo un problema similar hace unos meses)

Entonces, ¿cómo elimino una CA en la que ya no confío de mi teléfono Android? (Tengo root y CM6 en mi teléfono específico, si es relevante)

El equipo de CM está trabajando en una solución según code.google.com/p/cyanogenmod/issues/detail?id=4260

Respuestas (5)

Lookout Mobile ha publicado un blog sobre esto debido a los eventos de DigiNotar y ha proporcionado algunas instrucciones bastante buenas (léase: largas) que puede encontrar aquí .

La esencia de esto es que debe extraer /system/etc/security/cacerts.bksy luego eliminar las CA de la tienda, luego empujar la tienda nuevamente al dispositivo y reiniciar. Sus instrucciones requieren que tengas Bouncy Castle (para descifrar la tienda), acceso a la raíz y una conexión adb que funcione. No estoy seguro de si esto se aplica a todas las versiones de Android o no, pero supongo que la ubicación de la tienda de CA no ha cambiado en bastante tiempo (si es que alguna vez lo ha hecho).

En su lista de requisitos falta una entrada importante para algunos dispositivos: necesita una partición del sistema desprotegida (también conocida como "S-OFF"). Si es un sistema S-ON, el comando "remontar adb" no funcionará.

En Android Lollipop 5.0
Configuración → Seguridad → Credenciales de confianza → Pestaña Usuario → Seleccione su certificado → Desplácese hacia abajo, haga clic en el botón EliminarListo .

Es bueno saber si tienes una versión reciente de Android, gracias. (Entiendo que esta es una característica introducida en 5.0, ¿correcto?)
Es una vergüenza cómo se implementa esto. Desconfiar de todas las CA que no considero confiables (¿por qué debería confiar en alguna compañía aleatoria china, turca o sudamericana?) toma alrededor de 1 1/2 horas de hacer clic y desplazarse. Tedioso por decir lo menos. Por otro lado, instalar mis propias credenciales de confianza es casi imposible.
En Android 8.0, esto se movió a Configuración → Seguridad y ubicación → Cifrado y credenciales → Credenciales de confianza

pantalla de bloqueo y seguridad. otras configuraciones de seguridad. ver certificados de seguridad. usuarios

Luego retírelo.

Borde S7 2016-07-14

¿Qué versión de Android es esta?
Es posible que desee incluir capturas de pantalla: facilita que la mayoría de los usuarios sigan las instrucciones :)

Tienes que quitarlos uno a la vez. Por lo general, hay un gran número, por lo que investigar cada uno es imposible. Simplemente deshabilitarlos una vez lleva mucho tiempo.

Haga clic en el nombre de la credencial, desplácese hacia abajo y luego presione apagar.

Creo que quisiste decir "Deshabilitar" en lugar de "apagar". Sin embargo, indique también la versión y la marca de Android, ya que no todas las versiones tienen esta función.
Creo que esto estaría en "Configuración del sistema> Seguridad> Credenciales de confianza". Al menos esto está en mi Android 4.1.2.
¿Cómo puedo eliminar las CA de confianza en Android?
RespuestasAquíPolítica de privacidad1y, 0v