Eliberarea kitului Android 4.4 KitKat a adus o gamă largă de îmbunătățiri, inclusiv o securitate îmbunătățită. În timp ce securitatea ar putea fi mai strictă, mesajele pot fi încă un pic cam criptice. Ce anume avertizează persistența avertismentului "Rețeaua poate fi monitorizată", dacă sunteți îngrijorat și ce puteți face pentru a scăpa de aceasta?
Dragă Cum-Pentru Geek,
Am cumpărat recent un nou telefon Android, și a fost un nou mesaj de avertizare care mă cam înfurie puțin. Nu a apărut niciodată pe vechiul meu telefon Android și acum apare la fiecare câteva zile sau ori de câte ori repornez telefonul. Mesajul care clipește în bara de stare și apoi apare în meniul de notificare este "Rețeaua poate fi monitorizată", iar apoi dacă dau clic pe scurtătura de avertizare din meniul de notificare, mă duce la un meniu sistem cu eticheta "Credințe de încredere, "Cu două file. Una este denumită "sistem" și una este etichetă "utilizator". Există tone de elemente listate în fila "sistem" și numai una în fila "utilizator". Ce este ciudat este faptul că un element afișat în fila utilizatorului arată ca un nume de router "netgear".
Nu am nici o idee despre ce înseamnă aceste lucruri sau de ce Android îmi spune că rețeaua mea poate fi monitorizată. Ar trebui să fiu atât de înspăimântată de acest mesaj ca și mine, și ce să fac pentru a pleca? Am atașat câteva capturi de ecran în cazul în care am făcut o lucrare proastă care descrie problema.
Cu sinceritate,
Android paranoic
Acest tip de situație este exact motivul pentru care nu am fost deosebit de îndrăgostiți de punerea în aplicare a prelucrării credentelor în Android 4.4. Inima Google a fost la locul potrivit, însă modul în care actualizarea a gestionat-o (și a avertizat utilizatorul) este inelegant în cel mai bun caz și neliniștit (la utilizatorul final neinitiat) în cel mai rău caz. Să aruncăm o privire la ceea ce este chiar mesajul de avertizare și ce puteți face în legătură cu acesta.
În primul rând, să explicămDe ce primiți acest mesaj de eroare, deoarece Android oferă, în partea de jos, un feedback util în acest sens. Telefonul dvs. menține o listă de certificate de securitate de încredere și de utilizatori. Această listă lungă de intrări în "sistemul" pe care ați găsit-o în meniul "Trusted credentials" este, în esență, doar o listă albă veche a emitenților certificați de certificare de securitate pe care Google le-a semănat cu telefonul tău Android. În esență, telefonul tău spune: "Oh, bine, acești oameni sunt de încredere, așa că putem avea încredere în certificatele de securitate emise de ei."
Atunci când pe telefonul dvs. este adăugat un certificat de securitate (fie manual, de către un alt utilizator, fie în mod automat de un serviciu sau de un site pe care îl utilizați), acesta estenu emise de unul dintre acești emitenți aprobați în prealabil, atunci caracteristica de securitate a Androidului revine în acțiune cu avertismentul "Rețelele pot fi monitorizate". Din punct de vedere tehnic, este un avertisment precis: dacă un dispozitiv de securitate malware / compromis este instalat pe dispozitiv, este posibil ca traficul de pe dispozitivul dvs. poate fi monitorizat în anumite circumstanțe. De asemenea, este posibil ca o companie sau un furnizor de hotspot să utilizeze certificate auto-emise pe propriul hardware în acest scop (deși, de obicei, motivele lor sunt mai benigne).
Din păcate, avertismentul emis este în mod inutil de înfricoșător și este neclar: dacă nu știți care este acordul cu acreditările de încredere și certificatele de securitate, avertismentul ar putea fi, de asemenea, în binar.
Un certificat nu trebuie chiar să fie cu adevărat rău intenționat pentru a declanșa avertismentele, totuși el trebuie doar să fie emis / semnat de o autoritate care nu este listată în lista "sistem" de încredere. Aceasta înseamnă că dacă v-ați semnat certificatul propriu pentru o anumită utilizare (cum ar fi configurarea unei conexiuni securizate la serverul de acasă), atunci Android se va plânge de acest lucru. De asemenea, înseamnă că, dacă compania dvs. își semnează certificatele pentru uz intern și nu plătește pentru un certificat oficial semnat, veți primi și un avertisment.
În cele din urmă, și suntem destul de siguri că acest lucru sa întâmplat exact în cazul dvs., dacă vă conectați la o rețea securizată Wi-Fi care utilizează un certificat de securitate de la un emitent care nu se află pe lista de încredere din telefon, veți obțineți eroarea. Din punct de vedere tehnic, așa cum am menționat mai sus, compania ar putea să utilizeze certificatul cu auto-semnătura pentru scopuri dăunătoare, dar practic, de cele mai multe ori, vă aflați în această problemă va fi cauza 1) compania nu dorește să plătească taxele pentru un public certificatul pe care îl utilizează în scopuri private și 2) doresc control total asupra procesului de creare și semnare a certificatului.
Dacă doriți să citiți mai multe despre partea tehnică a avertismentului (precum și modul în care a deranjat noul sistem de gestionare a certificatelor a făcut mai mult de câțiva oameni), puteți verifica aceste fire de raport Android [1, 2] și aceste două postările de blog de la GeekTaco [1, 2] discutând problema în profunzime.
Avertizarea este formulată foarte în serios și nu vă greșim că sunteți puțin speriată. Dar ar trebui să fii îngrijorat de fapt? În marea majoritate a cazurilor, utilizatorii care văd această eroare nu o văd pentru că cineva a instalat un certificat rău intenționat pe mașina lor și acum sunt în pericol. Motivul cel mai tipic este acela pe care l-am prezentat mai sus: companiile care folosesc certificate auto-semnate care nu sunt enumerate în directorul sistemului de certificate de încredere deoarece nu au fost niciodată emise de un emitent autorizat.
Având în vedere probabilitatea ca cineva care utilizează un certificat malware împotriva dvs. să fie scăzut și probabilitatea ca certificatul să provoace avertizarea ca fiind un certificat non-malware, care nu a fost creat de o autoritate de certificare verificată public, nu este nevoie să faceți panică.
Acestea fiind spuse, nu există niciun motiv să păstrați în jur certificate necunoscute și nici un motiv pentru a suporta avertismente care nu se aplică situației dvs. Să ne uităm la ce puteți face în ambele scenarii.
Majoritatea certificatelor din surse legitime ar trebui semnate și verificate corespunzător. În situațiile rare în care aveți un certificat nesemnificat prin certificat valid (de exemplu, ați creat-o singur sau compania dvs. o utilizează pentru rețele interne), veți cunoaște proveniența certificatului, deoarece aveți o mână de lucru sau o conversație cu oamenii IT ar trebui să clarifice lucrurile.
Deci, dacă nu utilizați Android într-un mediu corporativ (în cazul în care trebuie să verificați cu oamenii IT să vedeți ce este acordul cu certificatul deoarece ar putea fi unul pe care l-au creat) sau dacă ați creat singur certificatul, cea mai simplă soluție este țineți apăsat pe oricare dintre certificatele necunoscute din categoria "utilizator" din categoria "certificatele de încredere" și le ștergeți (butonul de eliminare se află în partea de jos a panoului de informații). Cele mai puțin terminate neidentificate (mai ales în lista dvs. de certificate), cu atât mai bine.
Dacă aveți un certificat legitim care aruncă eroarea deoarece este în lista "utilizator" în locul listei de "sistem", puteți să mutați manual (din proprie inițiativă și de risc) certificatul din lista de utilizatori / directorul în lista de sisteme / director. Aceasta nu este o sarcină care trebuie făcută cu ușurință, dacă nu sunteți încrezător că certificatul din lista "utilizator" este sigur deoarece: 1) l-ați creat sau 2) personalul IT de la compania dvs. a verificat că este unul dintre certificatele sale , nu trebuie să încercați o mișcare.
Dacă sunteți încrezător în securitatea și originea certificatului, entuziastul inginer și Android Sam Hobbs are un ghid de instrucțiuni clar scris pentru mutarea manuală a certificatelor, iar un alt programator și entuziast, Felix Ableitner, are o aplicație open-source care efectuează aceeași sarcină fără linie de lucru. Din nou, dacă nu aveți o nevoie presantă (și bine înțeleasă) față de certificat, vă recomandăm să o respingeți.
Aveți o întrebare tehnică presantă? Trimiteți-ne un e-mail la [email protected] și vom face tot posibilul pentru a răspunde.