Яка угода з постійною «мережею Android, яку можна контролювати»?

Випуск Android 4.4 KitKat приніс широкий спектр поліпшень, включаючи розширену безпеку. Хоча безпека може бути жорсткішою, повідомлення все одно можуть бути трохи загадковими. Що саме означає тривале попередження "Мережа може бути простежено", якщо ви зацікавлені, і що ви можете зробити, щоб позбутися її?

Шановні інструктори Geek,

Нещодавно я купив новий Android-телефон, і з'явилося це нове попереджувальне повідомлення, яке трохи мене злетить. Він ніколи не вискочив на мій старий телефон Android, і тепер він з'являється кожні кілька днів або коли я перезавантажувати телефон. Повідомлення, яке блимає в рядку стану, а потім з'являється в меню сповіщень, - "Мережа може контролюватися", а потім, якщо я натискаю ярлик попередження в меню сповіщень, він переходить до системного меню, позначеного як "Довірені облікові дані, З двома вкладками. Один з них позначений як «система», а інший - «користувач». На вкладці «система» є декілька пунктів, а на вкладці «користувач» - один. Дивно, що один елемент, перерахований на вкладці користувача, виглядає як ім'я маршрутизатора "netgear".

Я поняття не маю, що таке це або чому Android говорить мені, що моя мережа може контролюватися. Чи повинен я бути таким уродженим цим посланням, як і я, і що я можу зробити, щоб він пішов? Я додав деякі скріншоти у випадку, якщо я зробив погану роботу, що описує проблему.

З повагою,

Параноїдальний Android

Саме тому ми не особливо любили реалізацію обробки облікових даних в Android 4.4. Серце Google знаходилося в потрібному місці, але спосіб оновлення (і попередження користувача) в кращому випадку неефективний і, в найгіршому випадку, непогано (для непосвяченого кінцевого користувача). Давайте подивимося, що таке попереджувальне повідомлення і що ви можете зробити з ним.

Джерело Попередження

По-перше, давайте пояснимо чому Ви отримуєте це повідомлення про помилку, оскільки Android дає майже нульовий корисний відгук у цьому відношенні. У телефоні зберігається список довірених та наданих користувачем сертифікатів безпеки. Цей довгий список записів у розділі "Система", який ви знайшли в меню "Довірені облікові дані", по суті, є просто великим старим білим списком затверджених емітентів сертифікатів безпеки, з яким Google попередньо поклав ваш телефон Android. По суті, ваш телефон каже: "О, добре, ці люди заслуговують на довіру, тому ми можемо довіряти сертифікатам безпеки, які вони видають".

Якщо до телефону додано сертифікат безпеки (або вручну, то іншим користувачем, або автоматично певною службою або сайтом, який ви використовуєте), ні випущена одним з цих попередньо схвалених емітентів, тоді функція безпеки Android починає діяти з попередженням "Мережі можуть контролюватися". Технічно це є точним попередженням: якщо на вашому пристрої встановлено шкідливий / скомпрометований сертифікат безпеки, можливо, що трафік з вашого пристрою можна контролювати за певних обставин. Також для компанії або постачальника точок доступу можна використовувати для цього власні сертифікати (хоча, як правило, їхні мотиви є більш сприятливими).

На жаль, видане попередження не потрібне, і незрозуміло: якщо ви не знаєте, що стосується довірених облікових даних і сертифікатів безпеки, попередження може також бути в двійковій формі.

Сертифікат навіть не повинен бути дійсно шкідливим, щоб викликати попередження, однак, він просто повинен бути виданий / підписаний органом, який не вказаний у списку надійних "системних". Це означає, що якщо ви підписали свій власний сертифікат на використання (наприклад, налаштування безпечного підключення до домашнього сервера), то Android скаржиться на нього. Це також означає, що якщо ваша компанія самостійно підписує свої сертифікати для внутрішнього використання та не платить за офіційно підписаний сертифікат, ви також отримаєте попередження.

Нарешті, і ми впевнені, що це саме те, що відбулося у вашому випадку, якщо ви під’єднаєтеся до захищеної мережі Wi-Fi, яка використовує сертифікат безпеки від емітента, який не входить до списку надійних у вашому телефоні, отримати помилку. Технічно, як ми вже згадували вище, компанія могла б використовувати самостійний сертифікат для зловмисних цілей, але практично більшу частину часу, коли ви стикаєтеся з цією проблемою, це буде причиною 1) компанія не хоче платити за плату сертифікати, які вони використовують для особистих цілей і 2) вони хочуть мати повний контроль над процесом створення та підписання сертифікатів.

Якщо ви хочете дізнатися більше про технічну сторону попередження (а також про те, як засмутила нова система для обробки сертифікатів, вийшло більше декількох людей), ви можете перевірити ці теми звітів про помилки Android [1, 2] і ці два Повідомлення в блогах GeekTaco [1, 2] обговорюють цю проблему в глибині.

Якщо вас турбує?

Попередження сформульовано дуже серйозно, і ми навряд чи звинувачуємо вас за те, що ми трохи злякалися. Але чи варто насправді турбуватися? У переважній більшості випадків користувачі, які бачать цю помилку, не бачать її, оскільки хтось встановив на своєму комп'ютері шкідливий сертифікат, і зараз вони знаходяться в небезпеці. Найбільш типова причина полягає в тому, що ми вказали вище: компанії, які використовують самостійно підписані сертифікати, які не входять до каталогу довірених сертифікатів системи, оскільки вони ніколи не були видані уповноваженим емітентом.

Беручи до уваги ймовірність того, що хтось використовує шкідливий сертифікат проти вас, і ймовірність того, що сертифікат призведе до того, що попередження не є шкідливим сертифікатом, який просто не був створений державним центром сертифікації, вам не потрібно панікувати.

Тим не менш, немає ніяких підстав зберігати невідомі сертифікати навколо, і немає підстав терпіти застереження, які не стосуються вашої ситуації. Давайте подивимося, що ви можете зробити в обох сценаріях.

Що ти можеш зробити?

Переважна більшість сертифікатів із законних джерел повинна бути належним чином підписана та перевірена. У рідкісних випадках, коли у вас є непідписаний дійсний сертифікат (наприклад, ви створили його самостійно або ваша компанія використовує його для внутрішніх мереж), ви або будете знати про походження сертифіката, оскільки ви мали змогу зробити це або розмовляти з ІТ-фахівцями слід розбиратися.

Так що, якщо ви не використовуєте Android у корпоративному середовищі (де ви повинні перевірити з вашими ІТ хлопцями, щоб побачити, що угода з сертифікатом, тому що це може бути таке, що вони створили), або ви самі створили сертифікат, найпростіше рішення - натисніть і утримуйте будь-які невідомі сертифікати, знайдені в категорії «користувач» категорії «довірені сертифікати», та видаліть їх (кнопка видалення знаходиться в нижній частині інформаційної панелі). Чим менше невідомі кінці (особливо у списку сертифікатів), тим краще.

Якщо у вас є законний сертифікат, який викидає помилку, тому що він знаходиться у списку "користувач" замість списку "система", ви можете (на власний розсуд і ризик) вручну перемістити сертифікат зі списку користувачів / каталогу до системний список / каталог. Це не так важливо, тому якщо ви не повністю впевнені, що сертифікат у списку "користувач" є безпечним, тому що або 1) ви його створили, або 2) персонал ІТ у вашій компанії перевірив, що це один з їхніх сертифікатів. , ви не повинні намагатися рухатися.

Якщо ви впевнені в безпеці та походженні сертифіката, інженер та Android-ентузіаст Сем Хоббс має чітко написаний посібник для ручного переміщення сертифікатів, а інший програміст і ентузіаст Фелікс Аблейтнер має відкрите програмне забезпечення, яке виконує те саме завдання без робота командного рядка. Знову ж таки, якщо ви не маєте нагальної (і добре зрозумілої) необхідності сертифіката, ми рекомендуємо проти нього.

Чи маєте актуальне технічне питання? Стріляйте нам електронною поштою на [email protected], і ми зробимо все можливе, щоб відповісти на нього.