- 다가오는 Android 14 릴리즈는 루트 권한을 가진 사용자조차 시스템 인증서의 모든 수정을 차단할 것입니다.
- 이 변화는 개발자들에게 핸드셋 기능과 도구에 대한 완전한 접근을 허용하는 "오픈 플랫폼"이라는 Android의 초기 약속에서 크게 벗어난 것입니다.
- 인증 기관(CA) 인증서 주변의 제한은 훨씬 더 강화되어, 완전히 루트된 장치에서 신뢰할 수 있는 인증서 세트를 수정하는 것이 불가능하게 될 것입니다.
- 이 변화는 Android 개발자, 테스터, 리버스 엔지니어, 그리고 자신의 장치가 누구를 신뢰하는지 제어하는 데 관심이 있는 사람들에게 새로운 도전을 제시할 것입니다.
- 더 많이 제한된, 벤더가 제어하는 세상으로의 전환은 Android 7 (Nougat)에서 시작되었으며, 이는 장치의 인증 기관(CAs)을 OS 벤더가 제공하는 고정 목록과 사용자가 수정 가능한 목록 두 가지로 분리했습니다.
- 신뢰할 수 있는 인증서 세트를 수정하는 능력은 개인 정보 보호 및 보안 연구, 리버스 엔지니어링, 앱 디버깅 및 테스트, 그리고 다양한 기업 내부 네트워크 구성에 있어 중요합니다.
- 불편함에도 불구하고, Android 장치를 루트화하고 이러한 제한을 우회하는 것이 가능했지만, 이 우회 방법은 Android 14에서는 더 이상 효과적이지 않을 것입니다.
- Android 14의 새로운 보안 기능인 원격으로 업데이트 가능한 CA 인증서는 더 빠른 CA 업데이트를 가능하게 하며, Google이 각 휴대폰 벤더가 OTA 업데이트를 릴리즈하는 것을 기다리지 않고 모든 Android 14+ 장치에서 문제가 있는 또는 실패하는 CA에 대한 신뢰를 철회할 수 있게 합니다.
- 이 기능의 긍정적인 목표에도 불구하고, 구현은 심각한 결과를 초래하며 시스템 CA 인증서는 더 이상 /system에서 로드되지 않고, 루트 접근을 사용하여 만든 모든 변경 사항은 장치의 모든 앱에 의해 무시됩니다.
- 이 변화는 Android Pony EXpress (APEX) 모듈의 범위로 이동된 미래 시스템 구성 요소도 사용자 제어에서 제거되며, 이는 GrapheneOS & LineageOS와 같은 Android의 포크와 Magisk와 같은 고급 장치 구성 도구에 문제를 일으킬 수 있음을 의미합니다.
- 현재로서는, 디버깅, 리버스 엔지니어링, 테스트, 또는 연구를 위해 자신의 시스템 CA 인증서를 구성하는 데 관심이 있는 사람들은 Android 14로 업데이트하는 것을 피하거나, APEX 모듈을 사용하여 CA 인증서를 관리하지 않는 사용자 정의 OS 릴리즈를 사용해야 합니다.