Актуализацията на Android 11 ще прекъсне свързването към определени корпоративни WiFi мрежи. Ето защо и какво можете да направите, за да го поправите.
Ако притежавате Google Pixel и сте актуализирали до последната актуализация на защитата от декември 2020 г, може да сте установили, че не можете да се свържете с определени корпоративни WiFi мрежи. Ако случаят е такъв, тогава знайте, че не сте сами. Това не е грешка, а по-скоро умишлена промяна, която Google направи в Android 11, която случайно присъства в компилацията, пусната за телефони Pixel през декември. Всички телефони с Android, които ще получат актуализация до Android 11, се очаква в крайна сметка да имат тази промяна*, т.е ще видим много гневни оплаквания в близко бъдеще от потребители, които не могат да добавят своята корпоративна WiFi мрежа. Ето какво трябва да знаете защо Google направи промяната и какво можете да направите по въпроса.
Защо не мога да добавя своята корпоративна WiFi мрежа в Android 11?
Проблемът, с който ще се сблъскат много потребители, след като актуализират до Android 11*, е, че опцията „Не проверявай“ в падащото меню „CA сертификат“ е премахната. Тази опция се появяваше преди това при добавяне на нова WiFi мрежа с WPA2-Enterprise защита.
Защо тази опция беше премахната? Според Google изборът на потребители на опцията „не проверявай“ е риск за сигурността, тъй като създава възможност за изтичане на потребителски идентификационни данни. Например, ако потребител иска да извършва онлайн банкиране, той насочва браузъра си към известното име на домейн, собственост на неговата банка (напр. www.bankofamerica.com). Ако потребителят забележи, че е кликнал върху връзка и браузърът му е заредил уеб страница от грешен домейн, тогава той, разбира се, ще се поколебае да даде информация за банковата си сметка. Но на всичкото отгоре, как потребителят знае, че сървърът, към който се свързва неговият браузър, е същият, към който се свързват всички останали? С други думи, как човек знае, че банковият уебсайт, който вижда, не е просто фалшива версия, инжектирана от злонамерена трета страна, която е получила достъп до мрежата? Уеб браузърите гарантират, че това не се случва, като проверяват сертификата на сървъра, но когато потребителят превключва „не валидиране", когато се свързват с тяхната корпоративна WiFi мрежа, те не позволяват на устройството да изпълни какъвто и да е сертификат валидиране. Ако нападател извърши атака "човек по средата" и поеме контрола над мрежата, тогава той може да насочи клиентските устройства към нелегитимни сървъри, притежавани от нападателя.
Мрежовите администратори са били предупреждавани за този потенциален риск за сигурността от години, но все още има много предприятия, университети, училища, правителствени организации и други институции, които са конфигурирали своите мрежови профили несигурно. В бъдеще изискванията за сигурност, приети от WiFi Alliance за спецификацията WPA3, изискват тази промяна, но както всички знаем, много организации и правителства са бавни в надграждането на нещата и са склонни да бъдат небрежни, когато става дума за сигурност. Някои организации – дори да знаят свързаните с това рискове – все още препоръчват на потребителите да деактивират валидирането на сертификата, когато се свързват към своята WiFi мрежа.
Може да отнеме години, преди устройствата и рутерите, поддържащи WPA3, да станат широко разпространени, така че Google предприема голяма стъпка точно сега, за да се гарантира, че потребителите вече не могат да се излагат на рисковете от пропускане на сървърния сертификат валидиране. С тази промяна те предупреждават мрежовите администратори, които продължават да карат потребителите да се свързват несигурно към тяхната корпоративна WiFi мрежа. Да се надяваме, че достатъчно потребители ще се оплачат на мрежовия си администратор, че не могат да добавят своята корпоративна WiFi мрежа според инструкциите, което ги подканва да направят промени.
*Поради начина, по който работят софтуерните актуализации на Android, е възможно първоначалната версия на Android 11 за вашето конкретно устройство да не бъде засегната от тази промяна. Тази промяна беше въведена само за телефони Pixel с актуализацията от декември 2020 г., която носи номер на компилация RQ1A/D в зависимост от модела. Въпреки това, тъй като това е промяна на ниво платформа, обединена с проекта с отворен код на Android (AOSP) като част от изграждането "R QPR1" (както е известно вътрешно), очакваме други телефони с Android в крайна сметка да разполагат с това промяна.
Какви са някои решения на този проблем?
Първата стъпка в тази ситуация е да осъзнаете, че няма много неща, които потребителят може да направи на устройството си. Тази промяна не може да бъде избегната, освен ако потребителят не избере да актуализира своето устройство — но това потенциално отваря множество други проблеми, така че не се препоръчва. Поради това е наложително да съобщите този проблем на мрежовия администратор на засегнатата WiFi мрежа.
Google препоръчва мрежовите администратори да инструктират потребителите как да инсталират основен CA сертификат или да използват a системно надеждно хранилище като браузър и в допълнение ги инструктирайте как да конфигурират домейна на сървъра име. Това ще позволи на операционната система да удостовери сигурно сървъра, но изисква от потребителя да направи още няколко стъпки, когато добавя WiFi мрежа. Като алтернатива Google казва, че мрежовите администратори могат да създадат приложение, което използва API за предложения за WiFi на Android за автоматично конфигуриране на мрежата за потребителя. За да направи нещата още по-лесни за потребителите, мрежовият администратор може да използва Passpoint - WiFi протокол, който е поддържа се на всички устройства с Android 11 — и насочва потребителя да осигури своето устройство, като му позволява автоматично да се свързва отново, когато е близо до мрежата. Тъй като никое от тези решения не изисква от потребителя да актуализира софтуер или хардуер, те могат да продължат да използват същото устройство, което вече имат.
На практика обаче ще отнеме известно време на предприятията и другите институции да приемат тези решения. Това е така, защото те трябва да бъдат информирани за тази промяна на първо място, която наистина не е била съобщена на потребителите толкова добре. Много мрежови администратори са наблюдавали тези промени от месеци, но има и много, които може би не знаят. Ако сте мрежов администратор и търсите повече информация за това какво се променя, можете да научите повече в тази статия от Сигурен W2.