надежные сертификаты в андроид что это
Protect: защита от недоверенных сертификатов
Мобильный Яндекс.Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.
Зачем нужен сертификат сайта
Ваши личные или платежные данные при отправке на сайт должны быть защищены. В интернете сайты используют для безопасного соединения протокол HTTPS. Протокол включает асимметричный алгоритм шифрования, когда данные зашифровываются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Для каждого сеанса связи браузер заново генерирует закрытый ключ и передает его на сайт с мерами предосторожности, исключающими кражу.
Однако, если вы попадете на фишинговый сайт, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи, используемые при шифровании, действительно принадлежат владельцу сайта.
Чем опасен недоверенный сертификат
Вы можете оказаться на фишинговом сайте или ваши данные окажутся без должной защиты на оригинальном сайте (например, если у сайта истек срок действия сертификата). В результате злоумышленники могут:
Блокировка сайтов с недоверенными сертификатами
Добавить сайт в надежные
Причины блокировки
Яндекс.Браузер блокирует сайты, у которых есть следующие проблемы с сертификатами:
Сертификат может быть установлен либо злоумышленником, либо специальной программой. Антивирусы, блокировщики рекламы и аналогичные приложения могут заменять сертификаты сайта своими собственными. Если сертификат установлен приложением, вам надо выявить его и отключить в нем проверку HTTPS.
Вы также можете решить доверить свои данные такому сертификату, но следует иметь в виду две потенциальные опасности:
Сертификат сайта выдан самим сайтом, а не удостоверяющим центром. Подробнее см. статью Самозаверенный сертификат. Вредоносное ПО или злоумышленники могут перехватить ваши данные.
Ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Возможно, злоумышленники пытаются подменить корневой сертификат. В этом случае они могут перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.
Если вы не нашли информацию в Справке или у вас возникает проблема в работе Яндекс.Браузера, опишите все свои действия по шагам. По возможности сделайте скриншот. Это поможет специалистам службы поддержки быстрее разобраться в ситуации.
Расслабьтесь. Владельцы старых Android-смартфонов не лишатся доступа к миллионам сайтов
Короткий период программной поддержки никогда особенно не страшил пользователей Android. Большинству из них было достаточно того, чтобы смартфон по-прежнему работает даже спустя два года после выхода, позволяет скачивать любые приложения из Google Play, а при необходимости не чинит препятствий для перепрошивки. Поэтому новость о том, что в 2021 году пользователи Android 7.1.1 и более ранних версий ОС лишатся доступа к более чем 200 миллионам сайтов из-за прекращения поддержки системного сертификата безопасности, прошла почти незамеченной. Но это и к лучшему.
Прекращение поддержки сертификата DST Root X3 на Android 7.1.1 отменяется
Прекращение поддержки сертификата безопасности могло привести к тому, что пользователям смартфонов на Android 7.1.1 и ниже был бы закрыт доступ к миллионам сайтов, которые используют его для защиты.
Если вы не понимаете, о чём идёт речь, вот вам небольшой экскурс. Около месяца назад стало известно, что компания Let’s Encrypt, разработчик сертификата безопасности DST Root X3, собирается прекратить его поддержку. Это специальный компонент, который отвечает за защиту пользователей при посещении сайтов в интернете, блокируя фишинговые и уведомляя об отсутствии протокола шифрования и, следовательно, опасности ввода персональных данных, которые могут быть либо перехвачены, либо прочитаны владельцем ресурса.
Сертификаты безопасности на Android
DST Root X3 — сертификат безопасности, вшитый в старые смартфоны на Android
Сертификат DST Root X3, поддержка которого должна была прекратиться в 2021 году, являлся для всех смартфонов с Android 7.1.1 и ниже системным. То есть зашитым в операционную систему по умолчанию без возможности самостоятельной замены. Единственный вариант заменить его – выпустить обновление с необходимыми изменениями. Но поскольку производители процессоров поддерживают их не дольше трёх лет, у владельцев потенциально затронутых устройств не было никакой надежды на апдейт.
К счастью для владельцев старых устройств, Let’s Encrypt продлила соглашение с IdenTrust, поставщиком цифровых подписей для сертификатов безопасности. Это значит, что действие сертификата DST Root X3 будет продлено, а пользователи смогут и дальше пользоваться сайтами в интернете без ограничений. Получается, что им больше не нужно ждать ни обновлений с обновлённым сертификатом безопасности, ни перепрошивать свои аппараты самостоятельно на кастомные прошивки, ни использовать альтернативные браузеры со встроенными сертификатами.
Не открывается сайт на Android. Что делать
Firefox — едва ли не единственный браузер со встроенными сертификатами безопасности
Впрочем, даже если бы поддержка сертификата DST Root X3 действительно прекратилась, большой беды всё равно бы не произошло. Несмотря на то что сертификаты являются встроенным системным компонентом Android, существуют браузеры, у которых есть собственный набор сертификатов. То есть даже если бы DST Root X3 лишился поддержки, пользователи Android всё равно смогли бы продолжать пользоваться интернетом как ни в чём не бывало. Главное установить подходящий браузер. В нашем случае это Mozilla Firefox – наиболее популярный и авторитетный веб-обозреватель, имеющий версии и для ПК, и для мобильных платформ.
Вообще, держать Firefox у себя можно просто на всякий случай в качестве подстраховки, особенно, если ваш смартфон уже не получает обновлений. Ведь никогда не знаешь, в какой момент сертификат безопасности, который используется системой по умолчанию, лишится поддержки и прекратит обеспечивать вас доступом к нужным вам сайтам. А, учитывая, что количество веб-ресурсов, для которых сертификаты являются проводниками, измеряются десятками и сотнями миллионов, Firefox про запас уже не выглядит как прихоть.
Что значит удалить все сертификаты на андроид
Если вы решили отключить графический ключ, PIN-код или пароль на Android телефоне, при этом в настройках безопасности выбрать незащищенные варианты нельзя, а вместо этого вы видите сообщение о том, что это запрещено или отключено администратором, политикой шифрования или хранилищем учетных данных, в большинстве случаев исправить возникшую проблему сравнительно просто.
В этой инструкции о том, как убрать «Запрещено администратором», если выбор опций разблокировки «Провести по экрану» или отсутствие блокировки запрещено, а вам требуется отключить графический ключ, PIN или пароль и сменить способ блокировки экрана Android. Возможно, вам будет интересно: Необычные способы использования Android.
Отключено администратором, политикой шифрования или хранилищем учетных данных — снимаем запрет на смену способа блокировки
- Зайдите в список администраторов устройства. Обычный путь: Настройки — Безопасность — Администраторы. Но возможны и иные варианты (зависит от модели смартфона), например, на Samsung Galaxy последних моделей: Настройки — Биометрия и безопасность — Другие параметры безопасности — Администраторы устройства. Еще раз отмечу, что в зависимости от конкретной марки телефона и версии Android, путь в настройках может слегка отличаться, но логика действий во всех случаях остается одна и та же.
Если ни один из способов не помог, а разобраться, какие еще функции безопасности устройства (а обычно дело именно в них) могут мешать снижению уровня безопасности, могу предложить лишь способ со сбросом устройства, однако при этом данные с него будут удалены и вам заранее следует позаботиться о сохранении важных файлов, аккаунтов и паролей. Также учитывайте, что если у вас подключена карта памяти, отформатированная как внутренняя память, даже если вы отключите её на время сброса, данные с неё будут более недоступны.
Сброс Android обычно выполняется в разделах «Настройки» — «Восстановление и сброс», «Настройки» — «Общие настройки» — «Сброс» и аналогичных.
В будущем, при предоставлении какому-то приложению прав администратора на Android, обращайте внимание на список прав: если в нем присутствуют пункты «Экран блокировки» и «Отслеживать попытки снятия блокировки экрана», такое приложение вновь может вызывать рассмотренную проблему.
Надеюсь, инструкция была полезной и помогла исправить ситуацию и сменить тип блокировки вашего устройства.
После удаления старых сертификатов у вас появится возможность отключить блокировку экрана.
Двигаемся в самый низ, находим пункт «Удалить сертификаты».
Появляется запрос на потдверждение удаления сертификатов, жмём «ОК».
Теперь можно убрать графический ключ или пин код на доступ в хранилище регистрационных данных.
Готово, Вы отключили блокировку экрана.
Часто пользователи мобильных гаджетов, работающих на ОС Android, сталкиваются с проблемой отключения блокировки экрана. Установлен графический ключ, пароль или PIN-код, но владелец устройства желает, чтобы защита снималась простым движением пальца, либо экран совсем не блокировался. Пытаясь просто зайти в меню и снять ограничения, пользователь видит, что не может получить доступ к необходимым опциям, так как нужные строчки неактивны. У этой ошибки есть достаточно простое решение, и сейчас я расскажу, что надо сделать для снятия ограничений, если данные действия запрещены администратором, политикой шифрования или хранилищем учетных данных.
Меню настроек с сообщением об ошибке «Запрещено администратором, политикой шифрования или сервисом хранения учетных данных»
Почему возникает ошибка с запретом администратора
Кроме того, что мобильные гаджеты на платформе Android имеют встроенные программы, обеспечивающие безопасность данных, многие пользователи устанавливают дополнительные средства защиты и, сами того не зная, запускают администрирование или политику шифрования. В результате владелец девайса включает такую защиту, что и сам не получает доступ к определенным настройкам планшета либо телефона.
Также сообщение об ошибке “Запрещено администратором, политикой шифрования или хранилищем учетных данных” может выскакивать при установке какого-либо полезного программного обеспечения, имеющего сертификат, который меняет настройки мобильного устройства. В этом случае приложением запрашивается разрешение активировать администратора девайса, и, если пользователь подтверждает действие, после окончания установки выскакивает сообщение о том, что администратор активирован.
Третьей причиной выступает корпоративная политика безопасности. То есть, если при помощи своего устройства вы получаете доступ к информации организации-работодателя, и ваш электронный ящик удаленно подключен к сети компании, ошибка может быть обусловлена действиями специалистов по IT. В этом случае перед решением проблемы следует связаться с ними и вместе попробовать исключить ошибку “Запрещено администратором, политикой шифрования или хранилищем учетных данных”.
Как исправить ошибку “Запрещено администратором, политикой шифрования или хранилищем учетных данных”
Если проблема возникла после установки приложения, обеспечивающего дополнительную защиту девайса, то, если данная программа не нужна, ее необходимо удалить. При нежелании удалять приложение можно отключить администратора, чтобы телефоном не могли управлять никакие посторонние программы. Для этого в настройках гаджета нужно зайти в меню безопасности и перейти в пункт “Администраторы устройства”.
При наличии в данном меню каких-либо программ, особенно вам неизвестных, нужно нажать на их название. Если выскочит сообщение о том, что администратор активирован и разрешает приложению блокировать экран, то это значит, что с данной программы необходимо снять эти права – уберите флажок или передвиньте кнопку. При надобности вы снова сможете зайти в данное меню и вновь дать приложению право блокировать экран.
Программы, находящиеся в меню «Администраторы устройств»
Следующим шагом очистите сертификаты устройства, которые не позволяют снижать степень безопасности девайса. Нужный пункт находится в самом низу меню “Администрирование устройства”. В зависимости от гаджета он называется “Очистить учетные данные” или “Очистка сертификатов”. И в том, и в другом случае предполагается одно и то же действие – удаление всех сертификатов. Выберите его и подтвердите действие.
Если вы боитесь, что в процессе удаления сертификатов потеряете личные данные, создайте их резервную копию. Важные файлы можете отправить на облако, а потом заново скачать их в телефон. С самим устройством ничего плохого не случится. К большому плюсу ОС Android можно отнести синхронизацию с аккаунтом Google. В этом случае все контакты по умолчанию хранятся на облаке. Если сомневаетесь, проверьте синхронизацию. Для этого в настройках зайдите в меню “Аккаунты” или “Учетные записи” и нажмите на Google. Там вы увидите все необходимые сведения.
Для нормальной работы перезагрузите смартфон или планшет, снова зайдите в меню безопасности и проверьте, стали ли активны строчки, ранее содержащие сообщение об ошибке “Запрещено администратором, политикой шифрования или хранилищем учетных данных”. Если да, то смело отключайте блокировку экрана или активируйте простую разблокировку пальцем.
Данный способ должен дать желаемый результат – разблокировать неактивные поля. Если же этого не случилось, то в качестве последнего варианта остается сброс до заводских настроек. Перед тем, как производить данные действия, сохраните важную информацию: личные фотографии, видео, файлы, необходимые для работы, так как при сбросе все данные будут потеряны.
Android: что нужно знать о сертификации Google
Предложение устройств под управлением операционной системы Android превышает воображение. Пользователям доступен выбор из нескольких сотен актуальных моделей. Выбор становится ещё шире, если обратить внимание на экзотические устройства из Китая.
Мы уже неоднократно писали о китайских смартфонах; данная статья – не о том или не совсем о том. Сегодня мы поговорим о вполне конкретном свойстве устройств на Android, а именно – о сертификации Google и о том, что она даёт потребителю с точки зрения безопасности. Особенный интерес эта тема представляет в свете того, что Google начинает блокировать не прошедшие официальной сертификации устройства, использующие сервисы Google Play.
Сертификация устройств от Google
Как известно, операционная система Android доступна в виде исходных кодов и распространяется совершенно бесплатно. Любой пользователь, разработчик, производитель имеет право на полностью законных основаниях воспользоваться наработками Google и собрать собственную версию Android без единого цента выплат в адрес Google или кого бы то ни было ещё. Более того, Google готов защищать производителей от патентных нападок, если таковые случатся.
Щедрым предложением Google воспользовалось бесчисленное количество производителей как в Китае (где сервисы Google, как мы помним, запрещены), так и за его пределами. Однако «чистый» Android – это не совсем то, что представляет себе большинство пользователей. В «чистом» Android не будет такой полезной вещи, как службы Google. Сюда включается далеко не только Google Play Store, который даёт доступ к огромной библиотеке приложений и контента. В конце концов, магазинов приложений – море, и без магазина от Google можно принципиально обойтись. В сервисы Google включаются и такие вещи, как энергоэффективная доставка push-уведомлений в режиме реального времени; службы определения координат и история местоположения, а также мощнейшее картографическое приложение на их основе; эффективная система «облачной» синхронизации и резервного копирования.
Все эти сервисы также доступны производителям совершенно бесплатно, но – при соблюдении определённых условий. Для того, чтобы получить право устанавливать на свои устройства приложения Google, производители должны подписать контракт MADA, который накладывает на производителя ряд обязательств. В частности, производитель обязуется точно следовать правилам, описанным в Android Compatibility Definition Document, а также отдать окончательный вариант устройства с финальной прошивкой на сертификацию в одну из лабораторий Google.
В то же время, никто не заставляет производителей заниматься сертификацией. Ей и не занимаются большинство китайских производителей, которые торгуют в основном в пределах континентального Китая. В западном мире самый известный пример использования Android без сервисов Google – компания Amazon, которая в огромных количествах продаёт планшеты линейки Kindle Fire и приставки Amazon Fire TV.
Насколько именно сертификация Google может задержать выход новой версии прошивки можно представить по двум примерам. Так, для телефонов Lenovo ZUK Z2 китайская (без сервисов Google и сертификации) прошивка на основе Android 7.0 вышла в феврале 2017, а сертифицированную для Индии обещают не раньше июня. Другой пример – компания Xiaomi, «глобальные» прошивки которой часто выходят с опозданием порядка 4 месяцев относительно их же китайских сборок.
Помимо денежных и временных затрат на сертификацию Google, производителям приходится идти и на другие жертвы. Так, им приходится обеспечивать должный уровень безопасности устройства согласно требованиям всё того же Android Compatibility Definition Document. Эти требования ужесточаются с выходом каждой новой версии Android. К примеру, для Android 5.x никак не регламентировалось использование датчика отпечатков пальцев – но уже для Android 6.0 к реализации биометрической аутентификации применялись вполне чёткие требования. Другой пример – шифрование раздела данных, которое стало обязательным для всех производителей, выпускающих устройства с Android 6.0 на борту. Начиная с Android 7 Google пытается регулировать и внешний вид прошивок, ограничивая полёт фантазии китайских дизайнеров (к примеру, шторку уведомлений производители теперь должны реализовывать стандартно, а не «как в iPhone, только красивей»).
Само собой разумеется, что сертифицированные устройства должны в полной мере обеспечивать корректную работу сервисов Google. Подчеркну: всех сервисов Google, а не только поиска и магазина.
Сертификация Google в китайских смартфонах
Для многих китайских производителей требования к сертификации Google кажутся обузой. В то же время, им приходится устанавливать сервисы Google на устройствах, которые они официально продают за пределами Китая: пользователь просто не поймёт устройства, на котором не будет привычного магазина Google Play.
Производители решают эту проблему по-разному.
К примеру, у компании Xiaomi есть устройства, предназначенные только для внутреннего рынка. Для таких устройств никогда не выходит прошивок с сервисами Google; они не проходят сертификации. У компании также есть устройства, которые продаются и за пределами Китая. Для таких устройств выходят так называемые «глобальные» прошивки, часто с большой задержкой. Эта категория прошивок сертифицируется и на официальных основаниях включает в себя сервисы Google.
Похожим образом поступает Lenovo со своим суб-брэндом ZUK. ZUK Z1 продавался как в Китае, так и по всему миру; для него было доступно две ветки прошивок, китайская и глобальная. Модель ZUK Z2 официально доступна в Китае и Индии, и если для Китая предлагаются сугубо китайские прошивки, то для рынка Индии разрабатывается совершенно отдельная, сертифицированная прошивка, в которую входят сервисы Google и в которой нет типичных для китайской версии проблем (например, с приходом уведомлений).
Компания LeEco поступает схожим образом, параллельно разрабатывая прошивки для китайского и внешних рынков. Мы уже писали о разнице в этих прошивках; так, если в «международных» версиях устройств LeEco по умолчанию активировано шифрование раздела данных, а работа датчика отпечатков пальцев реализована в строгом соответствии с Android Compatibility Definition Document, то в «китайских» прошивках шифрование отключено, а датчик отпечатков работает как попало (данные отпечатков не шифруются и доступны сразу после «холодной» загрузки).
Сейчас же в нашу лабораторию попал любопытнейший экземпляр: смартфон Meizu Pro 6, который официально продаётся на западном рынке (свой экземпляр мы заказали в Amazon, который – что немаловажно – продаёт их самостоятельно, а не через посредников). Устройство работает под управлением последней глобальной версии Flyme OS 5.2.4.0G, которая устанавливается для телефонов для международного рынка.
При том, что Meizu Pro 6 продаётся на территории России и Европы, у телефона нет сертификации Google. Сертификации нет, а магазин Google Play – есть. Уже одно это нас сильно заинтересовало, и мы приобрели экземпляр для тестирования.
Google есть. Сертификации – нет. Чем это грозит пользователю?
Итак, пользователь покупает телефон – например, Meizu Pro 6. Вопросы сертификации Google его не совершенно волнуют, да и не должны. Более того, подавляющее большинство пользователей вообще не задумывается о самом факте существования подобных сертификаций. Устройство работает «из коробки»? Магазин Google Play есть? Вроде бы, больше ничего и не нужно.
Рассмотрим процесс начальной настройки смартфона под управлением Android. Запускается стандартный мастер активации, который предлагает выбрать язык, просит подключиться к сети Wi-Fi, обновляет компоненты Google Services, проверяет состояние Factory Reset Protection (мы уже писали об этом в статье Understanding and Bypassing Reset Protection), просит ввести данные учётной записи Google Account. Если устройство было сброшено «неправильно», без предварительной отвязки от учётной записи Google, то необходимо ввести данные той учётной записи, которая использовалась на устройстве в качестве основной непосредственно перед сбросом. Двухфакторная аутентификация, автоматическое восстановление настроек, приложений и данных из «облачной» резервной копии, и через какое-то время у пользователя в руках телефон, которым можно пользоваться.
Что происходит, когда мы активируем телефон Meizu? Китайская компания не захотела проходить сертификацию, но и продавать телефоны без сервисов Google за пределами Китая она тоже не сможет. В результате в компании придумали способ, как обмануть Google, а заодно и пользователей.
Итак, при настройке Meizu Pro 6 нас встречает что-то похожее на стандартный мастер настройки. После выбора языка запрашивается пароль от Wi-Fi, предлагается завести учётную запись Meizu. И… и всё. Пользователь сразу попадает на рабочий стол. Но где магазин приложений? Его нет. Вместо него – китайский магазин приложений (его не могло бы быть на устройстве, если бы оно было сертифицировано: отсутствие альтернативных источников приложений – одно из требований MADA). Впрочем, моментально появляется предложение скачать и установить пакет сервисов Google. Согласившись на предложение, пользователь (а вовсе не Meizu!) самостоятельно устанавливает сервисы Google на телефон – точно так же, как он мог бы это сделать в случае с любым другим китайским устройством.
Для начала требуется скачать «установщик приложений Google»:
После чего программа автоматически скачает и установит сервисы Google:
И вот у пользователя на рабочем столе появилась заветная иконка Google Play. Казалось бы, проблема решена. В конце концов, какая пользователю разница, каким именно образом производитель устанавливает магазин Google на телефон, если им можно пользоваться? И здесь начинается самое интересное.
Резервные копии. Или нет
Во-первых, никто особо не тестировал прошивку на совместимость с сервисами Google. Нет, китайцы наверняка запустили Play Store и установили из него несколько приложений, но о каком-либо систематическом тестировании и речи не идёт. В результате в первые же минуты пользования телефоном стало понятно, что весь мощный механизм облачного резервного копирования Google Backup Transport неработоспособен.
Что это значит на практике? Всего-навсего то, что одно из основных преимуществ Android 6.0 – автоматическое резервное копирование и автоматическое же восстановление данных – становится недоступным. (В скобках заметим, что и второе основное преимущество Android 6.0, режим doze, в данном телефоне тоже работать не хочет).
Вместо стандартного механизма резервного копирования в Meizu предусмотрели свой, работающий в рамках одного устройства. Данные из внутренней памяти телефона сохраняются в резервную копию в собственном формате, которая создаётся… во внутренней памяти телефона. Пожалуй, мы не будем комментировать особенности такого подхода к резервному копированию.
Шифрование данных
Мы решили проверить, активировано ли в телефоне шифрование данных, как того требует Android Compatibility Definition Document. И не смогли: пункт «шифрование» просто отсутствует в настройках. Соответственно, «обычный» пользователь не получит никакой защиты данных вообще: как известно, без шифрования данные из телефона извлекаются специалистами в течение минут, а неспециалистами – после нескольких часов чтения форумов.
При этом Android Compatibility Definition Document не допускает двойных толкований: устройства, которые выходят с Android 6.0 на борту и которые отвечают минимальным требованиям производительности (а им отвечают даже бюджетники) обязаны полностью зашифровывать раздел данных к моменту, когда мастер начальной настройки окончит работу. Увы, здесь – провал.
Объективности ради отметим, что шифрование – базовая возможность Android, и выбросить её с концами не так и просто. Так что диалог, позволяющий активировать шифрование, с помощью intent нам вызвать удалось:
Даже по внешнему виду скриншота видно, насколько эта функция далека от того, чтобы предъявить её пользователям. Активировать шифрование в таком виде мы не рискнули.
Безопасность данных отпечатка пальцев
Android Compatibility Definition Document для шестой версии Android чётко определяет механизмы безопасности, которые допустимо использовать для биометрической аутентификации по датчику отпечатка пальцев. Не углубляясь в детали, при включении устройства данные, которые использует датчик, должны быть зашифрованы вплоть до момента разблокирования телефона с помощью PIN-кода, паттерна или пароля. Соответственно, после включения или перезагрузки телефон необходимо сперва разблокировать с помощью пароля, и только потом активируется датчик отпечатков.
К сожалению, общий подход китайских производителей к безопасности можно однозначно выразить словом «наплевать». Отсутствие сертификации Google позволяет изобретать самые изощрённые способы обойти системы безопасности Android, в том числе и систему дактилоскопической аутентификации.
Для того, чтобы телефон получил сертификацию Google, компания требует точного следования спецификациям Android Compatibility Definition Document. В отличие от требований к шифрованию, которые применяются только к устройствам, выпущенным с Android 6.0 на борту, требования к датчикам отпечатков пальцев едины как для устройствах, вышедших с Android 6.0 на борту, так и для тех, которые получают Android 6.0 в виде обновления. Слабые, небезопасные решения просто не пройдут сертификацию.
Что делает Meizu? Устройство не сертифицировано Google, а значит, и следовать каким-то требованиям совершенно не нужно. Данные датчика отпечатков не зашифрованы и никак не защищены, а разблокировать телефон отпечатком пальцев можно сразу после включения. Впрочем, в свете глобального отсутствия шифрования раздела данных это – мелкая шалость, просто ещё одна дыра в решете.
Factory Reset Protection: защита от кражи
Factory Reset Protection – важный механизм, который не только позволяет пользователю удалённо блокировать украденные устройства, но и способен помешать вору активировать устройство после сброса к заводским настройкам. Наиболее совершенна реализация данного механизма у Apple: в устройствах под управлением iOS обойти защиту от сброса, реализуемую через привязку к учётной записи iCloud, можно только непростым вмешательством в аппаратную часть. Сам факт наличия подобной защиты уже заметно снижает количество преступлений, связанных с кражей телефонов.
В Google также реализован механизм для защиты от кражи. Если сбросить телефон к заводским настройкам, для его активации потребуется ввести пароль от последней учётной записи, которая использовалась в устройстве. Да, этот механизм несовершенен, но это – лучше, чем ничего.
В случае с Meizu Pro 6 нет даже такой защиты. Из всех пунктов, которые могли бы иметь отношение к factory reset protection, мы нашли только загадочную опцию, подписанную на ломаном английском: «Verify phone number when change phones».
Добро пожаловать: root-доступ из коробки
Вишенка на торте – доступность root-доступа прямо из коробки. Пожалуй, на этом месте можно остановиться и прекратить анализ системы безопасности Meizu Pro 6.
Реакция Google
Meizu выкатили пробный шар, попытавшись обойти правила игры, установленные на рынке смартфонов Google. Надо полагать, многие китайские производители с интересом следили за ситуацией. Какова будет реакция Google?
Наивным было бы полагать, что в Google не заметят попытки обойти MADA. В марте 2017 года последовала реакция. В Google Play Services появилась малозаметная надпись, которая показывает, сертифицировано ли устройство для использования сервисов Google или нет:
В момент появления проверка сертификации работала из рук вон плохо: даже собственные устройства Google Pixel часто определялись как «не сертифицированные». Впрочем, с набором статистики ситуация стала стремительно выправляться, и на текущий момент ложные положительные и ложные отрицательные срабатывания случаются куда реже, чем прежде.
Что Google собирается делать с этой информацией? Год спустя, в марте 2018, Google начали блокировать устройства, выпущенные производителями, которые хотят обойти MADA. При начальной настройке телефона пользователи могут столкнуться с таким предупреждением:
Таким образом, продажам устройств, не прошедших официальную сертификацию, поставлено серьёзное препятствие. У производителей остаётся возможность очистить склады, распродав телефоны, работающие на старых сборках Android — но продавать за пределами Китая телефоны, использующие сервисы Google без официальной сертификации больше не получится. Интересный момент: для конечных пользователей (в частности, пользователей кастомных прошивок) оставлена возможность вручную добавить устройство в «белый список». Более того, блокировка касается только устройств, работающих под управлением сборок Android, выпущенных (согласно данным из build.prop) в марте 2018 или позднее.
Реакция производителей
Целью Google стали производители устройств под управлением Android, которые выпускали на международные рынки смартфоны, укомплектованные проприетарными сервисами Google без лицензии. Политика сертификации сервисов Google принесла ожидаемые плоды. К примеру, вышедший на европейский рынок телефон Meizu Pro 7 поставляется с предустановленными сервисами Google — и прошёл официальную сертификацию. Выгода для Google очевидна, да и пользователи только выиграют от улучшенной совместимости и стандартизации Android. Производителям же придётся затратить чуть больше усилий на выпуск более качественных и безопасных прошивок, отвечающих стандартам безопасности Google.
Дополнительная информация
Заключение
Сегодня мы рассмотрели некоторые особенности несертифицированных прошивок, причём рассмотрели их в основном с точки зрения безопасности. Вопросы о совместимости приложений, своевременной доставке push-уведомлений и многие другие вещи, которые относятся скорее к удобству использования устройства, чем к его безопасности, остались за рамками данной статьи. Возможно, мы ещё вернёмся к описанию особенностей китайских прошивок, но главный вывод мы уже сделали: китайские прошивки сильно отличаются от прошивок, сертифицированных Google, в первую очередь отношением к безопасности. Отсутствие шифрования и даже возможности его включить, безграмотная реализация разблокирования датчиком отпечатков пальцев, неадекватная защита от краж, отсутствие стандартного механизма резервного копирования и восстановления, наличие root-доступа «из коробки» – вот основные «прелести» прошивок, не прошедших через лабораторию Google.