谷歌即将发布的安卓新版本“牛轧糖”改变应用程序与认证中心(CAs)的工作方式以及简化了APIs。
安卓安全团队软件工程师Chad Brubaker表示,这次改变只会影响少数应用程序和用户。
谷歌将不会再自动信任用户自主选择的认证中心,取而代之的是,所有运行“牛轧糖”以及之后版本的安卓设备将会使用谷歌指定的AOSP认证机构,迫使一些使用非官方信任的认证中心的开发者修改其应用程序。
之前的安卓版本,预装的认证中心和系统绑定,可以随设备不同而不同。这会导致兼容性问题,比如设备不具有应用程序所需要的认证中心,还会有潜在的安全问题,如设备中的认证中心不符合安全需求。
“牛轧糖”版本中,借助网络安全配置工具可以很轻易地获得可信任的认证中心,可以指定适用于所有的应用程序或者特定的域。
谷歌还升级了APIs用于自定义可信任的认证中心。
“牛轧糖”将以新的方式和用户以及认证中心交互,将不会授予等级低于24的API认证权限,除非应用程序自主选择。
Brubaker表示,这是一种更加安全的默认设置,将会降低应用程序接口攻击,鼓励统一处理网络事件和基于文件的应用数据。