Wydanie Androida KitKat 4.4 przyniosło szeroką gamę ulepszeń obejmujących zwiększone bezpieczeństwo. Podczas gdy zabezpieczenia mogą być ciaśniejsze, wiadomości mogą nadal być nieco zagadkowe. Co dokładnie oznacza trwałe ostrzeżenie "Sieć może być monitorowana", jeśli masz wątpliwości i co możesz zrobić, aby się go pozbyć?
Drogi How-To Geek,
Niedawno kupiłem nowy telefon z Androidem i pojawiło się nowe ostrzeżenie, które trochę mnie przeraża. Nigdy nie pojawił się na moim starym telefonie z Androidem, a teraz pojawia się co kilka dni lub kiedy ponownie uruchomię telefon. Komunikat, który miga na pasku stanu, a następnie pojawia się w menu powiadomień, to "Sieć może być monitorowany", a następnie kliknięcie skrótu ostrzegawczego w menu powiadomień powoduje przejście do menu systemu oznaczonego "Zaufane dane uwierzytelniające", "Z dwiema zakładkami. Jeden jest oznaczony jako "system", a drugi jako "użytkownik". Na karcie "system" wymieniono mnóstwo elementów i tylko jedną w zakładce "użytkownik". Co dziwne, jeden element wymieniony na karcie użytkownika wygląda jak nazwa routera "netgear".
Nie mam pojęcia, co to jest ani dlaczego Android podpowiada mi, że moja sieć może być monitorowana. Czy powinienem być tak przerażony tą wiadomością, jak ja, i co mogę zrobić, aby odejść? Załączam kilka zrzutów ekranu na wypadek, gdy zrobiłem słabą pracę opisując problem.
Z poważaniem,
Paranoid Android
Taka właśnie sytuacja sprawiła, że nie byliśmy szczególnie zainteresowani implementacją obsługi poświadczeń w Androidzie 4.4. Serce Google'a było we właściwym miejscu, ale sposób, w jaki aktualizacja radzi sobie z nim (i ostrzegał użytkownika) jest w najlepszym wypadku nie najlepszy, a niepokojący (dla niewtajemniczonego użytkownika końcowego). Przyjrzyjmy się, czym jest komunikat ostrzegawczy i co możesz z tym zrobić.
Najpierw wyjaśnijmyczemu otrzymujesz ten komunikat o błędzie, ponieważ Android daje zero użytecznych informacji zwrotnych w tym zakresie. Telefon zachowuje listę zaufanych i dostarczonych przez użytkownika certyfikatów bezpieczeństwa. Taka długa lista wpisów w "systemie", które znalazłeś w menu "Zaufane referencje", jest po prostu wielką starą białą listą zatwierdzonych wystawców certyfikatów bezpieczeństwa, którą Google wstępnie przygotował na Twój telefon z Androidem. Zasadniczo twój telefon mówi: "Och, ok, ci ludzie są godni zaufania, więc możemy ufać wystawionym przez nich certyfikatom bezpieczeństwa."
Po dodaniu certyfikatu bezpieczeństwa do telefonu (ręcznie przez ciebie, złośliwie przez innego użytkownika lub automatycznie przez jakąś usługę lub witrynę, z której korzystasz) inie wydane przez jednego z tych wstępnie zatwierdzonych wystawców, następnie funkcja bezpieczeństwa Androida uruchamia się z ostrzeżeniem "Sieci mogą być monitorowane." Technicznie jest to dokładne ostrzeżenie: jeśli na urządzeniu jest zainstalowany złośliwy / naruszony certyfikat bezpieczeństwa, możliwe, że ruch z Twojego urządzenia może być monitorowany w określonych okolicznościach. Możliwe jest również, aby firma lub dostawca hotspotów używał w tym celu samodzielnie wydanych certyfikatów na swoim sprzęcie (chociaż zazwyczaj ich motywy są łagodniejsze).
Niestety wydane ostrzeżenie jest niepotrzebnie przerażające i nie jest jasne: jeśli nie wiesz, co to jest umowa z zaufanymi danymi uwierzytelniającymi i certyfikatami bezpieczeństwa, to ostrzeżenie może być również binarne.
Certyfikat nie musi być naprawdę złośliwy, aby uruchamiać ostrzeżenia, ale musi zostać wydany / podpisany przez organ, który nie jest wymieniony na zaufanej liście "systemu". Oznacza to, że jeśli podpisałeś swój własny certyfikat dla jakiegoś zastosowania (np. Konfigurując bezpieczne połączenie z domowym serwerem), to Android złoży na nie skargę. Oznacza to również, że jeśli Twoja firma sama podpisuje certyfikaty na użytek własny i nie płaci za podpisany oficjalnie certyfikat, otrzymasz również ostrzeżenie.
Wreszcie, jesteśmy prawie pewni, że to właśnie stało się w twoim przypadku, jeśli połączysz się z bezpieczną siecią Wi-Fi, która używa certyfikatu bezpieczeństwa od wystawcy, który nie znajduje się na zaufanej liście w telefonie, dostać błąd. Z technicznego punktu widzenia, jak wspomniano powyżej, firma może używać samopodpisanego certyfikatu w złych zamiarach, ale praktycznie przez większość czasu, w którym pojawia się ten problem, będzie to przyczyną 1) firma nie chce płacić opłat za publiczne certyfikat, którego używają do celów prywatnych, oraz 2) chcą całkowitej kontroli nad procesem tworzenia i podpisywania certyfikatu.
Jeśli chcesz przeczytać więcej na temat technicznej strony ostrzeżenia (a także, jak bardzo niezadowolony jest nowy system do obsługi certyfikatów, zrobił więcej niż kilka osób), możesz przejrzeć te wątki raportu o błędach Androida [1, 2] i tych dwóch posty na blogu w GeekTaco [1, 2] szczegółowo omawiające problem.
Ostrzeżenie jest bardzo poważnie sformułowane i nie możemy winić cię za bycie trochę przerażonym. Ale czy naprawdę musisz się martwić? W większości przypadków użytkownicy widzący ten błąd nie widzą go, ponieważ ktoś zainstalował złośliwy certyfikat na swoim komputerze i teraz jest w niebezpieczeństwie. Najbardziej typowy powód to ten, który opisaliśmy powyżej: firmy korzystające z samopodpisanych certyfikatów, które nie są wymienione w katalogu zaufanych certyfikatów systemu, ponieważ nigdy nie zostały wystawione przez autoryzowanego wystawcę.
Biorąc pod uwagę prawdopodobieństwo, że ktoś użyje złośliwego certyfikatu, jeśli jesteś niski, a prawdopodobieństwo, że certyfikat spowoduje, że ostrzeżenie nie jest złośliwym certyfikatem, które nie zostało utworzone przez publicznie zweryfikowany urząd certyfikacji, nie musisz wpadać w panikę.
Powiedział, że nie ma powodu, aby przechowywać nieznane certyfikaty i nie ma powodu, aby znosić ostrzeżenia, które nie odnoszą się do twojej sytuacji. Spójrzmy, co możesz zrobić w obu scenariuszach.
Znakomita większość certyfikatów z legalnych źródeł powinna być odpowiednio podpisana i zweryfikowana. W rzadkich przypadkach, gdy masz niepodpisany certyfikat (np. Utworzyłeś go sam lub Twoja firma korzysta z niego w sieciach wewnętrznych), albo wiesz o pochodzeniu certyfikatu, ponieważ miałeś rękę do zrobienia go lub rozmowy z informatykami powinno wyjaśnić.
Więc jeśli nie używasz Androida w środowisku korporacyjnym (w którym powinieneś sprawdzić u swoich informatyków, aby dowiedzieć się, co to jest umowa z certyfikatem, bo taki może być stworzony) lub sam stworzyłeś certyfikat, najprostszym rozwiązaniem jest tylko naciśnij i przytrzymaj wszystkie nieznane certyfikaty znalezione w kategorii "użytkownik" kategorii "zaufane certyfikaty" i usuń je (przycisk usuwania znajduje się w dolnej części okienka informacyjnego). Im mniej niezidentyfikowane luźne końce (szczególnie na twojej liście certyfikatów) tym lepiej.
Jeśli masz prawowity certyfikat, który wyświetla błąd, ponieważ znajduje się na liście "użytkownika" zamiast na liście "systemowej", możesz (według własnego uznania i ryzyka) ręcznie przenieść certyfikat z katalogu / katalogu użytkownika do katalog systemowy / katalog. Nie jest to łatwe zadanie, więc jeśli nie masz całkowitej pewności, że certyfikat na liście "użytkownika" jest bezpieczny, ponieważ 1) został utworzony lub 2) pracownicy IT w Twojej firmie potwierdzili, że jest to jeden z ich certyfikatów nie powinieneś próbować ruchu.
Jeśli masz pewność co do bezpieczeństwa i pochodzenia certyfikatu, inżynier i entuzjasta Androida, Sam Hobbs, ma jasno napisany podręcznik do ręcznego przenoszenia certyfikatów, a inny programista i entuzjasta Felix Ableitner ma aplikację typu open source, która wykonuje to samo zadanie bez praca z wiersza poleceń. Ponownie, jeśli nie masz pilnego (i dobrze zrozumiałego) zapotrzebowania na certyfikat, zalecamy go odrzucić.
Masz pytanie techniczne? Napisz do nas e-mail na adres [email protected], a my dołożymy wszelkich starań, aby na nie odpowiedzieć.
