Aktualizace Androidu 11 přeruší připojení k určitým podnikovým WiFi sítím. Zde je důvod a co můžete udělat, abyste to napravili.
Pokud vlastníte Google Pixel a máte aktualizaci na nejnovější aktualizaci zabezpečení z prosince 2020, možná jste zjistili, že se nemůžete připojit k některým podnikovým sítím WiFi. Pokud je to tak, pak vězte, že v tom nejste sami. Nejedná se o chybu, ale spíše o záměrnou změnu, kterou Google provedl na Androidu 11 a která je náhodou přítomna v sestavení, které se v prosinci dostalo do telefonů Pixel. Očekává se, že všechny telefony s Androidem, které obdrží aktualizaci na Android 11, budou mít tuto změnu*, tzn v blízké budoucnosti uvidíme spoustu naštvaných stížností od uživatelů, kteří si nemohou přidat své podnikové WiFi síť. Zde je to, co potřebujete vědět o tom, proč Google provedl změnu a co s tím můžete udělat.
Proč nemohu do systému Android 11 přidat svou podnikovou síť WiFi?
Problém, na který mnoho uživatelů po aktualizaci na Android 11* narazí, je ten, že byla odstraněna možnost „Neověřovat“ v rozevíracím seznamu „Certifikát CA“. Tato možnost se dříve objevila při přidávání nové WiFi sítě se zabezpečením WPA2-Enterprise.
Proč byla tato možnost odstraněna? Podle společnosti Google je volba „neověřovat“ uživateli bezpečnostním rizikem, protože otevírá možnost úniku uživatelských přihlašovacích údajů. Pokud chce uživatel například provozovat online bankovnictví, nasměruje svůj prohlížeč na známý název domény vlastněný jeho bankou (např. www.bankofamerica.com). Pokud si uživatel všimne, že kliknul na odkaz a jeho prohlížeč načetl webovou stránku z nesprávné domény, bude samozřejmě váhat s poskytnutím informací o svém bankovním účtu. Ale kromě toho, jak uživatel ví, že server, ke kterému se jeho prohlížeč připojuje, je stejný, ke kterému se připojují všichni ostatní? Jinými slovy, jak člověk ví, že bankovní web, který vidí, není jen falešná verze vložená škodlivou třetí stranou, která získala přístup k síti? Webové prohlížeče se ujistí, že k tomu nedojde ověřením certifikátu serveru, ale když uživatel přepne „ne validate" při připojování k jejich podnikové WiFi síti, brání zařízení v provádění jakéhokoli certifikátu Validace. Pokud útočník provede útok typu man-in-the-middle a převezme kontrolu nad sítí, může nasměrovat klientská zařízení na nelegitimní servery vlastněné útočníkem.
Síťoví administrátoři byli na toto potenciální bezpečnostní riziko upozorňováni již několik let, ale stále existuje mnoho podniků, univerzity, školy, vládní organizace a další instituce, které nakonfigurovaly své síťové profily nejistě. Do budoucna tuto změnu vyžadují bezpečnostní požadavky přijaté WiFi Alliance pro specifikaci WPA3, ale jak všichni víme, mnohé organizace a vlády jsou pomalé v modernizaci věcí a mají tendenci být laxní, pokud jde o bezpečnostní. Některé organizace – i když znají související rizika – stále doporučují uživatelům deaktivovat ověřování certifikátů při připojování k jejich WiFi síti.
Může trvat roky, než se zařízení a routery podporující WPA3 rozšíří, takže Google dělá velký krok právě teď, abychom zajistili, že se uživatelé již nebudou moci vystavovat riziku přeskočení certifikátu serveru Validace. Touto změnou upozorňují správce sítě, u kterých se uživatelé nadále nezabezpečeně připojují k jejich podnikové síti WiFi. Doufejme, že si dostatek uživatelů bude stěžovat svému správci sítě, že nemohou přidat svou podnikovou WiFi síť podle pokynů, a vyzve je k provedení změn.
*Vzhledem k tomu, jak aktualizace softwaru pro Android fungují, je možné, že počáteční vydání Androidu 11 pro vaše konkrétní zařízení nebude touto změnou ovlivněno. Tato změna byla pro telefony Pixel zavedena až s aktualizací z prosince 2020, která nese číslo sestavení RQ1A/D v závislosti na modelu. Protože se však jedná o změnu na úrovni platformy, sloučila se jako součást projektu Android Open Source Project (AOSP). sestavení „R QPR1“ (jak je interně známo), očekáváme, že to nakonec budou mít i další telefony Android změna.
Jaká jsou některá řešení tohoto problému?
Prvním krokem v této situaci je uvědomit si, že uživatel na svém zařízení nemůže dělat mnoho. Této změně se nelze vyhnout, pokud se uživatel nerozhodne neaktualizovat své zařízení – ale to potenciálně otevírá celou řadu dalších problémů, takže se nedoporučuje. Proto je nutné tento problém sdělit správci sítě dotčené sítě WiFi.
Google doporučuje, aby správci sítě poučili uživatele o tom, jak nainstalovat certifikát kořenové CA, nebo použít a úložiště důvěryhodnosti systému jako prohlížeč, a navíc je poučte, jak nakonfigurovat doménu serveru název. Pokud tak učiníte, umožníte OS bezpečně ověřit server, ale vyžaduje to, aby uživatel při přidávání sítě WiFi provedl několik dalších kroků. Alternativně Google říká, že správci sítě mohou vytvořit aplikaci, která používá API pro návrh WiFi pro Android pro automatickou konfiguraci sítě pro uživatele. Aby to pro uživatele bylo ještě jednodušší, může správce sítě použít Passpoint – protokol WiFi podporováno na všech zařízeních se systémem Android 11 — a navede uživatele, aby zajistil své zařízení, což mu umožní automaticky se znovu připojit, kdykoli bude v blízkosti sítě. Protože žádné z těchto řešení nevyžaduje, aby uživatel aktualizoval jakýkoli software nebo hardware, může nadále používat stejné zařízení, které již má.
Prakticky vzato však podnikům a dalším institucím bude nějakou dobu trvat, než tato řešení přijmou. Je to proto, že musí být o této změně v první řadě informováni, což je pravda, že ve skutečnosti nebylo uživatelům tak dobře sděleno. Mnoho síťových administrátorů sledovali tyto změny měsíce, ale je také mnoho těch, kteří si to možná neuvědomují. Pokud jste správce sítě a hledáte více informací o tom, co se mění, můžete se dozvědět více v tomto článku od SecureW2.