PDA

Voir la version complète : La crise des certificats - comment et pourquoi



alexx
16/07/2011, 12h33
LA CRISE DES CERTIFICATS - COMMENT ET POURQUOI

Source: Smartmobil.sk (http://smartmobil.sk/)
(Traduction: alexx)

Les certificats sont chose plus ou moins indispensables pur les utilisateurs Symbian. Beaucoup d'entre eux râlent. Sans eux, il est presque impossible de hacker, et donc pas de modding non plus. Mais même l'installation d'applications non officielles. Le 21 juin, cependant, tout a changé pour le pire.

Vous souvenez-vous (certains parmi nous) le temps de Nokia E50, N73 ou N80? Peut-être même le N95 avec les anciennes firmwares. Ce fut la troisième génération de téléphones avec Symbian, S60v3. Puis nous avons les nouveaux certificats. Nous nous y sommes habitués. Nous avons appris comment obtenir des certificats de Symbian Signed et cela a fonctionné jusqu'au ... le hack a été découvert. Le premier mieux connu a été HelloCarbide qui n'a même pas eu besoin d'un certificat. Et puis le téléphone hacké n'en a pas eu besoin du tout.

Nokia, cependant, a continué de produire de nouvelles versions de firmwares pour leurs téléphones, et presque toujours serrer un peu plus quelques règles de sécurité. Cettes règles sont bien sûr toujours être contournée par un nouveau hack, mais aucun d'entre eux ne pouvait pas être fait sans certificats. Cela a été une nécessité pour HelloOX et plus tard aussi bien que pour HelloOX 2.03 Obtention du certificat n'était pas si difficile - le travail des Chinois était relativement fiable, et qui ne comprennait pas "le thé renversé" sur leur site même en utilisant Google Translate, il a été aidé par quelqu'un, ou par les instructions comme une image coloriage, il a finalement réussi.

Ce qui s'est passé aujourd'hui? Beaucoup d'entre vous attendent toujours en vain, aujourd'hui, par exemple, certificats d'OPDA ou un autre. Vous allez être déçus, mais si vous avez fait la demande autour de 20 juin et plus tard, vous n'avez pas de la chance. Pourquoi? Eh bien, c'est délicat. Elle exige aussi un peu de connaissances théoriques. On peut appeler la période après 21/06/2011 «crise des certificats». On peut dire que derrier tout ça on peut trouver Nokia qui se trouve en ce moment dans un état qu'on peut appeler "Elopokalypsa".


Maintenant un peu de théorie:

UID - Il est un identifiant unique pour une application en particulier. Il détermine l'auteur et la proprieté des fichiers, et leur niveau de sécurité. Il a quelques gammes définies, il y en a un qui est important pour nous - development.

DevCert - C'est un certificat tel que nous connaissons - créé spécialement pour le numéro IMEI. En plus de votre numéro IMEI peut également avoir des centaines de milliers d'autres, pour lesquels s'applique également. "Force" du certificat est déterminé par le nombre de capabilities (aussi appelé CAPs). Dans le passé les plus utilisés ont était ceux avec 13 capabilities, aujourd'hui surtout les 17 capabilities. Bien sûr, les applications qui ont déjà été émis (soit par OVI Store soit par le fournisseur lui-même) sont signés par un autre certificat - qui est attribué à une entreprise en particulier, ou délivré par une autorité de certification.

CAPs / capacités - ce sont des différents authorisations des applications (accès aux données, l'emplacement réseau, GPS, appareil photo, etc.) Les demandes nécessitent certains d'entre eux, si nécessaire. Et c'est le certificat qui va les attribuer. Il y en a 20 exactement, mais les certificats que on a eu à notre disposition ont eu maximum 17. Nokia garde précieussement les 3 autres. Symbian a clairement une sécurité forte - vous ne pouvez pas officiellement fait aucune demande, et si vous avez un code malveillant dans votre portable, il est clair que vous l'avez mis vous-mêmes.

Récemment, un particulier ou une enterprise a pu demander un UID pour l'application de la gamme de test. (Bien sur un autre UID lui a été attribué après son publication dans la gamme de publication). Tout le monde a pu faire créer un certificat de 13 CAPs pour son IMEI. Pour 200 $, il est possible d'acheter PublisherID pour éditer les certificats pour 1000 portables, les testeurs éventuels de son application, pendant l'application est en stade de développement.

Vers la fin de janvier Symbian Signed a envoyé le mail à tous les développeurs pour leur annoncer que tout la gestion va être désormais géré par Nokia elle même (comme proprietaire exclusif de Symbian). Les développeurs concernés ont dû se registrer et accepter le transfert de data - PublisherID, UID des applications, etc. Alors il parraît que certains ont oublié le faire. Les règles ont définitivement changé le 21 juin, le jour que les servers comme OPDA ont cessé de délivrer les certificats à cause de Symbian Signed. Depuis sur un e-mail valid on peut enregistrer seulement un developer UID et cela n'est plus accessible à un particulier, mais uniquement à l'enterprise. Les certificats sont en effet toujours avec 17 CAPs, mais pas pour une gamme illimitée de l'UID, mais seulement pour la gamme de développement. Et c'est ça le problème. Applications avec UID dans cette gamme ne doit pas être diffusée au public.

Globalement il y a très peu applications qu'on peut installer signées avec les nouveaux certificats (publiés après le 23 juin). Certainement pas JustHackIt! ou HeloOx 2.11 - leurs UID ne se trouvant pas dans la gamme supporté. Oui on a pensé de changer UID... Oui c'est possible, c'est dans le stade des tests. Mais dans ce cas là précis, ce n'est pas possible, une subapplication doit avoir un certain UID. Le hack des nouveaux firmwares et les firmwares S^3 est possible uniquement par le flash. HelloOx 2.03 pour les anciens modèles et firmwares reste toujours applicable - après l'avoir signer, on peut l'installer.


Conclusion:
Il parraît que le hack avec les certificats n'est plus possible. Evidement la communuaté d'"underground" Symbian continue de chercher un moyen de hacker un gsm sans flasher.

felix leo
16/07/2011, 16h29
Devons nous prendre cette diatribe comme un appel aux armes ??

cyroko
17/07/2011, 21h13
Si je suis résté sur symbian aussi longtemps c'est en grande partie grace a son coté open !

Ces restrictions lui cause encore un désavantage par rapport aux autres OS , alors au final que va t'il lui rester de positif face à la concurrence ?

Ho et puis zut , il sera mort en 2016 ... :D