Android 11-opdateringen vil afbryde forbindelsen til visse virksomheds WiFi-netværk. Her er hvorfor og hvad du kan gøre for at rette det.
Hvis du ejer en Google Pixel og har opdateret til den seneste sikkerhedsopdatering fra december 2020, har du muligvis opdaget, at du ikke er i stand til at oprette forbindelse til visse virksomheds WiFi-netværk. Hvis dette er tilfældet, så ved, at du ikke er alene. Dette er ikke en fejl, men snarere en bevidst ændring, som Google har foretaget til Android 11, som tilfældigvis er til stede i den build, der blev skubbet til Pixel-telefoner i december. Alle Android-telefoner, der vil modtage en opdatering til Android 11, forventes i sidste ende at have denne ændring*, hvilket betyder vi kommer til at se en masse vrede klager i den nærmeste fremtid fra brugere, der ikke kan tilføje deres virksomheds WiFi netværk. Her er, hvad du skal vide om, hvorfor Google har foretaget ændringen, og hvad du kan gøre ved det.
Hvorfor kan jeg ikke tilføje mit virksomheds-WiFi-netværk i Android 11?
Problemet, som mange brugere vil støde på, efter de har opdateret til Android 11*, er, at indstillingen "Valider ikke" under rullemenuen "CA-certifikat" er blevet fjernet. Denne mulighed dukkede tidligere op, når du tilføjede et nyt WiFi-netværk med WPA2-Enterprise-sikkerhed.
Hvorfor blev denne mulighed fjernet? Ifølge Google er det en sikkerhedsrisiko at få brugere til at vælge "valider ikke"-indstillingen, da det åbner muligheden for at lække brugeroplysninger. For eksempel, hvis en bruger ønsker at udføre netbank, peger de deres browser til det kendte domænenavn, der ejes af deres bank (f.eks. www.bankofamerica.com). Hvis brugeren bemærker, at de har klikket på et link, og deres browser har indlæst en webside fra det forkerte domæne, vil de naturligvis være tøvende med at give deres bankkontooplysninger. Men oven i det, hvordan ved brugeren, at den server, deres browser opretter forbindelse til, er den samme, som alle andre opretter forbindelse til? Med andre ord, hvordan ved man, at den bankwebside, de ser, ikke bare er en falsk version, der er injiceret af en ondsindet tredjepart, der har fået adgang til netværket? Webbrowsere sørger for, at dette ikke sker ved at bekræfte servercertifikatet, men når brugeren skifter til "ikke valider", når de opretter forbindelse til deres virksomheds WiFi-netværk, forhindrer de enheden i at udføre ethvert certifikat validering. Hvis en angriber udfører et man-in-the-middle-angreb og tager kontrol over netværket, så kan de pege klientenheder til illegitime servere, der ejes af angriberen.
Netværksadministratorer er blevet advaret om denne potentielle sikkerhedsrisiko i årevis, men der er stadig mange virksomheder, universiteter, skoler, statslige organisationer og andre institutioner, der har konfigureret deres netværksprofiler usikkert. Fremover har sikkerhedskravene vedtaget af WiFi Alliance for WPA3-specifikationen mandat til denne ændring, men som vi alle ved, er mange organisationer og regeringer langsomme til at opgradere tingene og har en tendens til at være slappe, når det kommer til sikkerhed. Nogle organisationer - selv ved at kende de involverede risici - anbefaler stadig brugere at deaktivere certifikatvalidering, når de opretter forbindelse til deres WiFi-netværk.
Det kan tage år, før enheder og routere, der understøtter WPA3 bliver udbredt, så Google tager et stort skridt lige nu for at sikre, at brugere ikke længere kan udsætte sig selv for risikoen ved at springe servercertifikat over validering. Med denne ændring giver de netværksadministratorer, som fortsat har brugere usikker forbindelse til deres virksomheds-WiFi, besked. Forhåbentlig vil nok brugere klage til deres netværksadministrator over, at de ikke kan tilføje deres virksomheds WiFi-netværk som anvist, hvilket beder dem om at foretage ændringer.
*På grund af den måde, Android-softwareopdateringer fungerer på, er det muligt, at den første udgivelse af Android 11 til din specifikke enhed ikke bliver påvirket af denne ændring. Denne ændring blev kun introduceret til Pixel-telefoner med december 2020-opdateringen, som har buildnummer RQ1A/D afhængigt af modellen. Men da dette er en ændring på platformsniveau fusioneret til Android Open Source Project (AOSP) som en del af "R QPR1"-bygningen (som den er kendt internt), forventer vi, at andre Android-telefoner med tiden vil have dette lave om.
Hvad er nogle løsninger på dette problem?
Det første skridt i denne situation er at indse, at der ikke er meget, brugeren kan gøre på deres enhed. Denne ændring kan ikke undgås, medmindre brugeren vælger ikke at opdatere deres enhed - men det åbner potentielt op for en lang række andre problemer, så det anbefales ikke. Derfor er det bydende nødvendigt at kommunikere dette problem til netværksadministratoren af det berørte WiFi-netværk.
Google anbefaler, at netværksadministratorer instruerer brugere i, hvordan de installerer et rod-CA-certifikat eller bruger et system trust store som en browser, og derudover instruer dem i, hvordan de konfigurerer serverdomænet navn. Hvis du gør det, kan operativsystemet sikkert godkende serveren, men det kræver, at brugeren udfører et par trin mere, når du tilføjer et WiFi-netværk. Alternativt siger Google, at netværksadministratorer kan oprette en app, der bruger Androids WiFi-forslags-API for automatisk at konfigurere netværket for brugeren. For at gøre tingene endnu nemmere for brugerne kan en netværksadministrator bruge Passpoint - altså en WiFi-protokol understøttet på alle enheder, der kører Android 11 — og guide brugeren til at klargøre deres enhed, så den automatisk kan oprette forbindelse igen, når den er i nærheden af netværket. Da ingen af disse løsninger kræver, at brugeren opdaterer software eller hardware, kan de fortsætte med at bruge den samme enhed, som de allerede har.
I praksis vil det dog tage noget tid for virksomheder og andre institutioner at indføre disse løsninger. Det er fordi, de skal gøres opmærksomme på denne ændring i første omgang, som ganske vist ikke rigtig er blevet kommunikeret så godt ud til brugerne. Mange netværksadministratorer har set disse ændringer i månedsvis, men der er også mange, der kan være uvidende. Hvis du er netværksadministrator, der søger mere information om, hvad der ændrer sig, kan du lære mere i denne artikel fra SecureW2.