Bl0ckch41nnewsMiles de Apps Android fallan porque dependen de una biblioteca… que depende de un desarrollador ~ Segu-Info

En noviembre de 2021,
Google anunció cambios
en el formato de su archivo de lista de logs de transparencia de
certificados de Chrome y, en agosto de 2022, notificó a los desarrolladores
cuyas aplicaciones podrían verse afectadas que dejaría de publicar archivos de
lista de registro heredados el 17 de octubre de 2022.

Un
registro de transparencia de certificados
es un «libro público» con certificados digitales recién emitidos y confiables.
El objetivo general de esto es permitir que las organizaciones y los
internautas
supervisen y auditen
fácilmente estos últimos certificados, y detecten e invaliden certificados
falsos o emitidos incorrectamente que podrían usarse, por ejemplo, para
suplantar servicios y desarrolladores de software. Google
toma estos registros
de las autoridades de certificación y lo publica de forma consolidada como el
registro de transparencia de certificados de Chrome.

«Si hay herramientas u otras dependencias que aún dependen de estas
versiones anteriores, animamos a los mantenedores a migrar a la lista v3
antes de esta fecha», advirtió Devon O’Brien, ingeniero de seguridad de Chrome, en un grupo de discusión de Certificate Transparency.

El gigante de Internet esperaba pasar a la versión 3 de ese formato de archivo
de registro y abandonar la versión 2, aunque no salió según lo planeado.
Los desarrolladores pasaron por alto las advertencias y descubrieron que el
código se basa en la actualización de una biblioteca que depende de un
único desarrollador
de código abierto.

Google dejó de publicar la v1 en octubre y luego, al mes siguiente, ofreció un plan de transición a través del cual los datos de la v3 se podían obtener desde la v2
hasta el 15 de febrero. Google
cambió el esquema del archivo CT Log List
que distribuye, alterando el conjunto de claves y valores en el archivo JSON.
Por lo tanto, las aplicaciones que esperaban la
versión 2
de este archivo debían revisarse para manejar el formato de datos de la
versión 3.

Pero no todos recibieron el memorándum. Y cuando llegó la fecha límite el
miércoles 15 de febrero de 2023, las aplicaciones que dependían del registro
de Chrome y no esperaban el nuevo formato fallaron. Todo salió mal porque una
biblioteca de terceros para Android y Java Virtual Machine (JVM) 
 (com.appmattus.certificatetransparency) no estaba preparada para
la transición al esquema v3.

La situación con la biblioteca, mantenida principalmente por un solo
desarrollador con sede en el Reino Unido, es que el
pull request, enviado en septiembre de 2022, para migrar la dependencia del archivo de
registro de v2 a v3 nunca se realizó: la solución nunca se aplicó. Quienes
usaban la biblioteca vieron que se acercaba la fecha límite e instaron a que
se aceptara el cambio y se fusionara con el código base. Pero fue en vano; la
biblioteca no se arregló y, el 15 de febrero y las aplicaciones se rompieron.

En resumen, a partir del 15 de febrero, las apps que esperaban la versión v2,
no pueden procesar el JSON de la v3 y dejaron de funcionar. El
problema es la biblioteca mencionada para Android no ha sido
actualizada porque la mantiene una sola persona y no ha aplicado la
actualización desde septiembre de 2022. Es decir, todas las aplicaciones que
confían en ella han dejado de funcionar.

Este cambio ha causado fallas de SSL/TLS en las aplicaciones de Android en los
dispositivos de los usuarios finales. Google, a pesar de retrasar la
eliminación de los archivos de la lista de registros en formato v2, se
apresuró a deshacer los cambios.

Ante las solicitudes y otras, el equipo de transparencia de certificados de
Google inició una reversión. Aún no se ha establecido una nueva fecha para la
eliminación de la versión 2 de la lista de archivos de registro de CT.

Bienvenido a la cadena de suministro del software libre!

Fuente:
TheRegister