Сертификаты безопасности являются основой доверия в интернете, обеспечивая шифрование и защиту данных при обмене информацией между устройствами и серверами. Важной частью современного механизма обеспечения безопасности является концепция Certificate Transparency (CT), призванная предупредить злоупотребления сертификатами и улучшить прозрачность их выдачи. Несмотря на благие цели, недавние обновления и проблемы с Certificate Transparency привели к серьезным перегрузкам и сбоям в работе множества Android-приложений, которые оказались неспособными наладить защищённые соединения и корректно функционировать. Данная ситуация вызвала волну обсуждений в профессиональных кругах и оказала негативное влияние на пользователей по всему миру. Концепция Certificate Transparency возникла в ответ на множество случаев мошенничества с сертификатами и попыток выдачи нелегитимных сертификатов.
Идея состоит в ведении общедоступных журналов (логов), в которых фиксируется информация обо всех выданных сертификатах. При проверке безопасности приложение или браузер обращается к этим журналам, подтверждая подлинность сертификатов и консультируясь о наличии их в списках с положительной историей. Это помогает выявлять и блокировать поддельные или подозрительные сертификаты. Однако в июне 2023 года произошла критическая ситуация, когда обновления файла log_list.json, содержащего список серверов логов и необходимую метаинформацию, привели к сбоям в механизме его автоматического обновления.
В частности, в последнем обновлении в списке появился новый элемент с пустым массивом logs, например "Geomys" со свойством "logs": []. Это стало причиной ошибки в процессе десериализации данных, сопровождающейся исключением java.lang.IllegalArgumentException: Failed requirement. В результате многие приложения, использующие библиотеку appmattus/certificatetransparency для проверки CT, начали выдавать ошибки при попытке загрузить список логов.
Основная проблема заключалась в том, что приложение ожидало непустой список логов, но получило пустой, что нарушило внутренние требования и вызвало сбой. По состоянию на сегодня эта проблема затронула сотни приложений на базе Android. Большинство из них не обрабатывает ошибку корректно и полностью отказывается устанавливать защищённые соединения с серверами, приводя к невозможности подключения к сервисам. Пользователи сталкиваются с ошибками загрузки данных, невозможностью авторизации и плохой доступностью приложений, что в свою очередь негативно влияет на репутацию разработчиков и вызывает недовольство среди аудитории. Суть проблемы кроется в том, что обновление списка логов происходит синхронно с проверкой сертификатов, и при ошибке загрузки или обработки данных вся процедура завершается неудачей.
В чём техническая причина? Библиотека, используемая для работы с Certificate Transparency, при обновлении списка логов требует, чтобы списки logs или tiled_logs были непустыми. Но в обновлении обнаружился именно пустой массив, что не предусмотрено логикой обработки. Это системная ошибка в дизайне библиотеки, недостаточно гибко реагирующая на подобные исключения. Из-за этого приложения падают или блокируют все запросы, так как считают, что не могут доверять сертификатам. Проблема усугубляется тем, что подобные обновления и исправления требуют прохождения стандартных циклов выпуска приложений через Google Play Market.
Да и сама возможность мгновенно вернуть предыдущую стабильную версию при использовании сервиса отсутствует, что означает дополнительное время простоя сервисов и потери для бизнеса. В сообществе разработчиков активно обсуждаются имеющиеся решения. Одним из предложений является изменить логику проверки, добавив контроль наличия значимых данных не по одному массиву, а по объединённой логике tiled_logs.isNotEmpty() или logs.isNotEmpty(), что позволит пропускать корректные проверки даже при наличии пустых элементов отдельных элементов.
Другие разработчики прибегают к временной деактивации проверки CT, используя флаги или конфигурации в своих приложениях, чтобы обеспечить возможность соединения с сервисами, несмотря на проблемы с обновлением. Конечно, это временное решение, снижающее уровень безопасности, но позволяющее сохранить работу служб до появления патчей. Взаимодействие с Google и командой поддержки данной библиотеки пока проблематично. Известны случаи, когда обращение в официальные каналы не приносит оперативного результата. Это заставляет разработчиков самостоятельно искать профилактические меры для смягчения воздействия проблемы.
Параллельно существует надежда, что учитывая масштаб проблемы и влияние на популярные сервисы и Firebase-библиотеки, Google оперативно отреагирует и исправит лог-листы. Для конечных пользователей рекомендуются абсолютная внимательность при обновлении приложений, а также по возможности использование альтернативных версий или ожидание исправлений. Для разработчиков же это урок необходимости создания более отказоустойчивых систем обновления, способных работать в условиях некорректных или частично недоступных данных. В итогах можно сказать, что случившаяся ситуация с Certificate Transparency выявила уязвимости в архитектуре современных систем безопасности андроид-приложений, показала необходимость усовершенствования стратегий обработки ошибок и важность прямого взаимодействия с крупными платформами и поставщиками сервисов. В условиях растущей зависимости общества от цифровых технологий и мобильных приложений, устойчивость систем проверки безопасности становится критически важной для предотвращения массовых сбоев и утраты доверия пользователей.
