В августе 2025 года разработка популярной приватной прошивки CalyxOS внезапно встала на паузу. Причина была весомой: из проекта ушел один из основателей. Оставшейся команде пришлось полностью заморозить обновления, чтобы перестроить конвейер релизов, пересмотреть протоколы безопасности и — самое главное — сменить ключи подписи.

Теперь проект официально вышел из комы, представив сборку CalyxOS 7.2.2.0. Это не просто дежурный апдейт, а результат масштабной переработки внутренней инфраструктуры.

Новая архитектура подписей: никаких единых точек отказа

С уходом основателя команде потребовалось исключить риск компрометации. Версия 7.2.2.0 и все последующие сборки теперь подписываются с помощью нового opensource-решения на базе аппаратных криптографических модулей (HSM).

Разработчики полностью избавились от единых точек отказа и обеспечили надежное резервирование ключей. Процесс стал максимально прозрачным для сообщества:

Важно
Нужно произвести чистую установку новой версии, чтобы получать обновления.

Инфраструктура и борьба за код AOSP

За время перерыва серверную часть серьезно оптимизировали — «почистили» архитектуру, чтобы ускорить выпуск будущих версий. Однако главной головной болью для кастомных прошивок сегодня стала сама Google, которая начала гораздо реже публиковать исходники Android (AOSP, Android Open Source Project).

Чтобы не оставлять пользователей без свежих заплаток, команда CalyxOS написала собственный набор автоматизаций. Новые скрипты радикально снижают накладные расходы на интеграцию ежемесячных патчей безопасности. Впрочем, полностью избавиться от рутины пока не вышло: запрашивать и сохранять исходники ядра для каждого апдейта все еще приходится руками.

Отдельного упоминания заслуживает проблема с деревьями устройств. Из-за того, что Google фактически перестала нормально делиться ими для линейки Pixel, разработчикам альтернативных прошивок пришлось закрывать эту брешь своими силами. Сейчас ведущий инженер CalyxOS взял на себя поддержку базовых деревьев устройств не только для собственного проекта, но и для дружественной LineageOS.

CalyxOS снова в строю, и, судя по проделанной работе, вынужденная пауза пошла архитектуре проекта только на пользу.

Комментарий эксперта

Антон Дятлов

Инженер по защите информации

С точки зрения ИБ, уход ключевого разработчика с доступом к ключам подписи — это классический «фактор автобуса». Возникает критический риск компрометации всей цепочки. То, что команда CalyxOS не стала замалчивать проблему, а намертво остановила конвейер для перевыпуска ключей, — абсолютно правильное решение. Часто вендоры прячут подобные инциденты под ковер.

Переход на аппаратные криптомодули с открытым решением для подписи и резервированием — это ровно то, что требуется для устранения единой точки отказа. Отдельный респект за публикацию независимого аудита скрипта инициализации. В прикладной криптографии недостаточно просто заявить «мы сделали надежно», нужно доказать, как именно ключи были сгенерированы и защищены на старте, чтобы исключить любые закладки и бэкдоры.

А вот тенденции со стороны Google очень тревожат:

  • изменили подход к AOSP,

  • перестали публиковать полные деревья устройств,

  • бинарные драйверы,

  • скрыли историю коммитов для своих же телефонов Pixel.

Все это не только «создает опасное окно уязвимости пользователей альтернативных прошивок», но и показывает пренебрежительное отношение к своим же пользователям. 

Пока энтузиасты героически пишут костыли и переносят патчи почти вручную, злоумышленники получают фору для эксплуатации N-day уязвимостей. Каким бы защищенным ни был процесс сборки у CalyxOS, жесткая зависимость от закрывающейся экосистемы техногиганта остается их главной и пока нерешенной архитектурной угрозой.