Aké je riešenie s pretrvávajúcou sieťou môže byť monitorovaná Android Upozornenie?

Uvedenie Android 4.4 KitKat prinieslo široké spektrum vylepšení vrátane zvýšenej bezpečnosti. Kým bezpečnosť môže byť prísnejšia, správy môžu byť stále trochu tajomné. Čo presne znamená, že pretrvávajúce upozornenie "Network May Be Monitored" znamená, ak máte záujem a čo môžete urobiť, aby ste sa ho zbavili?

Vážený How-To Geek,

Nedávno som si zakúpil nový telefón s Androidom a bolo to nové varovné hlásenie, ktoré mi trochu vystrašilo. Nikdy sa nezobrazoval na svojom starom telefóne s Androidom a teraz sa objavuje každých pár dní alebo vždy, keď reštartujem telefón. Správa, ktorá bliká vo stavovom riadku a potom sa objaví v ponuke upozornení, je "Sieť môže byť monitorovaná" a potom, keď kliknem na varovnú skratku v ponuke upozornenia, prejde do systémovej ponuky s označením "Dôveryhodné poverenia, "S dvoma záložkami. Jedna je označená ako "systém" a jedna je označená ako "používateľ". V tabuľke "Systém" je uvedený počet položiek a len jeden na karte "Používateľ". Čo je divné, že jedna položka uvedená na karte používateľa vyzerá ako názov routeru "netgear".

Nemám potuchy, aké sú tieto veci alebo prečo Android hovorí, že moja sieť môže byť monitorovaná. Mala by som byť takýmto posolstvom taká, ako som ja, a čo mám robiť, aby som to odišiel? Priložil (-a) som niekoľko snímok obrazovky v prípade, že som urobil zlú prácu popisujúcu problém.

úprimne,

Paranoidné Android

Takáto situácia je presne dôvodom, prečo sme v aplikácii Android 4.4 nepáčili mimoriadne záujem o implementáciu poverenia. Srdce spoločnosti Google bolo na správnom mieste, ale spôsob, akým sa aktualizácia zaobchádzala (a upozornil používateľa), je v najlepšom prípade neopodstatnená a znepokojujúca (v prípade neohláseného koncového používateľa) v najhoršom prípade. Poďme sa pozrieť na to, čo je varovná správa a čo s tým môžete urobiť.

Zdroj varovania

Po prvé, vysvetlite prečo dostanete toto chybové hlásenie, pretože Android poskytuje v tejto súvislosti nulovú užitočnú spätnú väzbu. Váš telefón udržiava zoznam dôveryhodných a používateľom poskytnutých bezpečnostných certifikátov. Tento dlhý zoznam položiek pod "systémom", ktorý ste našli v ponuke "Dôveryhodné informácie", je v podstate iba veľký starý biely zoznam schválených vydavateľov bezpečnostných certifikátov, ktoré spoločnosť Google predbežne nasadila váš telefón s Androidom. V podstate váš telefón hovorí: "Och, dobre, títo ľudia sú dôveryhodní, takže môžeme dôverovať bezpečnostným certifikátom, ktoré vydali."

Keď je do telefónu pridaný bezpečnostný certifikát (či už manuálne, neúmyselne iným používateľom alebo automaticky pomocou nejakej služby alebo stránky, ktoré používate), je to nie vydané jedným z týchto predbežne schválených emitentov, potom bezpečnostná funkcia Android vyvrcholí v činnosti s upozornením "Siete môžu byť monitorované." Technicky to je presné upozornenie: ak je na vašom zariadení nainštalovaný škodlivý / ohrozený bezpečnostný certifikát, je možné, že môže byť za určitých okolností sledovaná návštevnosť z vášho zariadenia. Je tiež možné, aby spoločnosť alebo poskytovateľ hotspotu používali na tento účel vlastné vydané certifikáty na svojom vlastnom hardvéri (aj keď ich motívy sú zvyčajne priaznivejšie).

Bohužiaľ vydané upozornenie je zbytočne desivé a je to nejasné: ak neviete, aké je riešenie s dôveryhodnými povereniami a bezpečnostnými certifikátmi, potom môže byť upozornenie v binárnom.

Certifikát nemusí byť dokonca nebezpečný, aby spustil upozornenia, ale musí byť vydané / podpísané orgánom, ktorý nie je uvedený v zozname dôveryhodných "systémov". To znamená, že ak ste podpísali svoj vlastný certifikát na určité použitie (napríklad nastavenie zabezpečeného pripojenia na váš domovský server), Android sa o to bude sťažovať. Znamená to tiež, že ak vaša spoločnosť podpisuje svoje certifikáty pre vlastné použitie a nezaplatí za oficiálne podpísané osvedčenie, dostanete tiež upozornenie.

Nakoniec a sme si celkom istí, že sa presne to, čo sa stalo vo vašom prípade, ak sa pripájate k zabezpečenej sieti Wi-Fi, ktorá používa bezpečnostný certifikát od emitenta, ktorý nie je na dôveryhodnom zozname v telefóne, dostať chybu. Technicky, ako sme už uviedli, spoločnosť mohla používať certifikát s vlastným podpisom na škodlivé účely, ale prakticky väčšinu času, kedy narazíte na tento problém, to spôsobí 1) spoločnosť nechce platiť poplatky za verejné ktoré používajú na súkromné ​​účely a 2) chcú úplnú kontrolu nad procesom vytvárania a podpisovania certifikátov.

Ak sa chcete dozvedieť viac o technickej stránke varovania (ako aj o tom, ako narušil nový systém na spracovanie certifikátov, urobil viac ako niekoľko ľudí), môžete si pozrieť tieto vlákna s hlásením chýb Android [1, 2] a tieto dva príspevky blogu v spoločnosti GeekTaco [1, 2] o dôkladnej diskusii.

Mali by ste byť znepokojení?

Toto upozornenie je veľmi vážne a veľmi ťažko vás obviňujeme, že ste trochu rozhnevaný. Ale mali by ste sa skutočne obávať? Vo väčšine prípadov sa používatelia, ktorí túto chybu zobrazujú, nevidia, pretože niekto na svojom počítači nainštaloval škodlivý certifikát a teraz sú v nebezpečenstve. Najtypickejším dôvodom je ten, ktorý sme naznačili vyššie: firmy používajúce certifikáty s vlastným podpisom, ktoré nie sú uvedené v adresári systémov dôveryhodných certifikátov, pretože nikdy neboli vydané autorizovaným emitentom.

Vzhľadom na pravdepodobnosť, že niekto používa škodlivý certifikát, ktorý je proti vám nízky a že pravdepodobnosť, že certifikát spôsobí, že varovanie bude certifikátom, ktorý nie je škodlivý a ktorý nebol vytvorený verejne overeným certifikačným orgánom, nemusíte paniku.

To znamená, že nie je dôvod uchovávať neznáme certifikáty a žiadny dôvod na to, aby vydržali varovania, ktoré sa nevzťahujú na vašu situáciu. Poďme sa pozrieť na to, čo môžete urobiť v oboch scenároch.

Čo môžeš urobiť?

Veľká väčšina certifikátov z legitímnych zdrojov by mala byť riadne podpísaná a overená. V zriedkavých prípadoch, keď ste nepodpísali platný certifikát (napr. Ste si ho vytvorili sami, alebo vaša spoločnosť ich používa pre interné siete), buď by ste vedeli o pôvode certifikátu, pretože ste mali ruku alebo konverzáciu s IT ľudia by mali jasné veci.

Takže ak nepoužívate systém Android v podnikovom prostredí (kde by ste sa mali poradiť s vašimi IT kluci, aby zistili, aký je obchod s certifikátom, pretože môže byť ten, ktorý vytvorili), alebo ste si sám vytvorili certifikát, najjednoduchším riešením je len stlačte a podržte akékoľvek neznáme certifikáty uvedené v kategórii "používateľ" kategórie "dôveryhodné certifikáty" a odstráňte ich (tlačidlo na odstránenie sa nachádza v spodnej časti informačného okna). Menej neidentifikované voľné konce (najmä v zozname certifikátov), ​​tým lepšie.

Ak máte oprávnený certifikát, ktorý sa chystá odmietnuť, pretože je v zozname "používateľ" namiesto zoznamu "systém", môžete (podľa vlastného uváženia a rizika) manuálne presunúť certifikát zo zoznamu používateľov / adresára do systémový zoznam / adresár. Nie je to úloha, ktorú by ste mali ľahko podniknúť, ak si nie ste úplne istí, že certifikát v zozname používateľov je bezpečný, pretože buď 1) ste ho vytvorili, alebo 2) pracovníci IT vo vašej spoločnosti overili, že je to jeden z ich certifikátov , nemali by ste sa pokúšať o pohyb.

Ak ste presvedčení o bezpečnosti a pôvode certifikátu, inžinier a inžinier so systémom Android Sam Hobbs má jasne napísanú inštrukčnú príručku pre ručné presuny vašich certifikátov a ďalší programátor a nadšenec Felix Ableitner má aplikáciu s otvoreným zdrojovým kódom, ktorá vykonáva rovnakú úlohu bez toho, aby práce s príkazovým riadkom. Opäť, ak nemáte naliehavú (a dobre pochopenú) potrebu certifikátu, odporúcame vám to zabrániť.

Máte naliehavú technickú otázku? Napíšte nám e-mail na adresu [email protected] a budeme sa snažiť odpovedať na ne.