L’attestazione di sicurezza di Android è la spina dorsale di molti servizi affidabili sui nostri smartphone, tra cui SafetyNet, Digital Car Key e l’API Identity Credential. La certificazione di questi sistemi di sicurezza è stata richiesta da Android 8 Oreo e faceva affidamento su una chiave di root installata direttamente sulla linea di produzione. Il provisioning di queste chiavi richiedeva la massima segretezza da parte del produttore e, se una chiave fosse trapelata, ciò avrebbe significato che sarebbe dovuta essere revocata. Con Android 13, Google renderà obbligatorio il Remote Key Provisioning che mira a risolvere questo problema.
Se una chiave è esposta su uno smartphone Android, Google è tenuta a revocarla. Ciò pone un problema per qualsiasi dispositivo a cui è stata iniettata una chiave in fabbrica: qualsiasi tipo di perdita che espone la chiave significherebbe che gli utenti non sarebbero in grado di accedere a determinati contenuti protetti. Ciò potrebbe includere anche la revoca dell’accesso a servizi come Google Pay, qualcosa su cui molte persone fanno affidamento.
Questo è un peccato per i consumatori perché senza la riparazione del telefono da parte di un produttore, non ci sarebbe modo di sistemare le cose.
A partire da Android 12, Google sta sostituendo il provisioning di chiavi private in fabbrica con una combinazione di estrazione di chiavi pubbliche in fabbrica e provisioning di certificati over-the-air con certificati di breve durata. Questo schema sarà obbligatorio in Android 13 e ci sono un paio di vantaggi.
Innanzitutto, impedisce agli OEM e agli ODM di dover gestire la segretezza delle chiavi in una fabbrica. In secondo luogo, consente il ripristino dei dispositivi in caso di compromissione delle loro chiavi, il che significa che i consumatori non perderanno per sempre l’accesso ai servizi protetti.
Ora, anziché utilizzare un certificato calcolato utilizzando una chiave che si trova sul dispositivo e che potrebbe essere trapelata a causa di una vulnerabilità, viene richiesto un certificato temporaneo a Google ogni volta che viene utilizzato un servizio che richiede l’attestazione.
Tutto questo chiaramente per gli smartphone che hanno accesso ai GMS, visto che i modelli Huawei e quelli in cui viene installata una Custom ROM non avranno questo obbligo.
