Originariamente inviato da
IlSocio
Ho una domanda riguardo le custom ROM... rivolta principalmente a davy e simon che hanno realizzato le custom rom, ma natualmente, aperta a chiunque altro sia in grado di chiarirmi le idee!
Smanettando un pò, mi
tornava abbastanza chiaro il discorso che ruota attorno ai file CERT.RSA, CERT.SF e MANIFEST.MF per verificare l'integrità del firmware.
Ma tutto mi è venuto meno, quando ho notato che, per le custom rom realizzate, sono stati modificati i file CERT.SF e MANIFEST.MF per includere le entry relative a /system/bin/su
tuttavia, la firma del CERT.SF contenuta in CERT.RSA risulta essere perfettamente valida, cosa che mi porta a dedurre che la chiave privata che è stata utilizzata per generare quella firma è a disposizione di tutti e viene distribuita nel fw stesso... e quindi, mi chiedo:
1) dove posso reperire quella chiave privata che è stata utilizzata?
2) perchè è stata distribuita?
Naturalmente, è probabilissimo che invece, il tutto sia da ricondurre a qualche mio errore di valutazione ed inesperienza nel mondo Android... In tal caso, mi chiedo dov'e' l'errore?
EDIT:
aggiornamento... entrambe le rom, sia quella originale che la custom sono state signate usando questo questo certificato di test, presente nei sorgenti:
/build/target/product/security/testkey.x509.pem
/build/target/product/security/testkey.pk8
Quello che mi chiedo ora è, perchè il produttore certifica le sue rom ufficiali con un certificato di test che è potenzialmente utilizzabile da tutti?
Signando una rom custom con il medesimo certificato, non si ottiene forse una rom pienamente attendibile ed accettata dalla recovery originale del sistema?
Cosa mi sto perdendo per strada?