Android 11 värskendus katkestab ühenduse loomise teatud ettevõtte WiFi-võrkudega. Siit saate teada, miks ja mida saate selle parandamiseks teha.
Kui teil on Google Pixel ja olete värskendanud uusimale detsembri 2020 turvavärskendusele, võite olla avastanud, et te ei saa ühendust luua teatud ettevõtte WiFi-võrkudega. Kui see nii on, siis teadke, et te pole üksi. See ei ole viga, vaid pigem tahtlik muudatus, mille Google tegi Android 11-s ja mis just nii juhtub ka detsembris Pixeli telefonidele edastatud versioonis. Kõikidel Android-telefonidel, mis saavad Android 11 värskenduse, peaks see muudatus* lõpuks olema näeme lähitulevikus palju vihaseid kaebusi kasutajatelt, kes ei saa oma ettevõtte WiFi-ühendust lisada võrku. Siin on, mida peate teadma selle kohta, miks Google muudatuse tegi ja mida saate sellega seoses teha.
Miks ma ei saa Android 11-s oma ettevõtte WiFi-võrku lisada?
Probleem, millega paljud kasutajad pärast Android 11* värskendamist kokku puutuvad, on see, et rippmenüüst „CA sertifikaat” on eemaldatud valik „Ära valideeri”. See valik ilmus varem uue WPA2-Enterprise turvalisusega WiFi-võrgu lisamisel.
Miks see valik eemaldati? Google'i sõnul on suvandi "Ära kinnita" valimine kasutajatel turvarisk, kuna see avab võimaluse kasutaja mandaatide lekkimiseks. Näiteks kui kasutaja soovib Interneti-pangas asju ajada, suunab ta oma brauseri teadaolevale domeeninimele, mis kuulub tema pangale (nt www.bankofamerica.com). Kui kasutaja märkab, et ta klõpsas lingil ja tema brauser on laadinud veebilehe valest domeenist, siis kahtleb ta oma pangakonto teabe edastamisel. Kuid lisaks sellele, kuidas saab kasutaja teada, et server, millega tema brauser ühenduse loob, on sama, millega kõik teised ühenduse loovad? Teisisõnu, kuidas saab teada, et panganduse veebisait, mida nad näevad, pole lihtsalt võltsversioon, mille on sisestanud võrgule juurdepääsu saanud pahatahtlik kolmas osapool? Veebibrauserid tagavad, et seda ei juhtuks, kontrollides serveri sertifikaati, kuid kui kasutaja lülitab sisse "ära valideerida" oma ettevõtte WiFi-võrguga ühenduse loomisel takistavad nad seadmel sertifikaate välja andmast kinnitamine. Kui ründaja sooritab vahetu rünnaku ja võtab võrgu üle kontrolli, saab ta suunata kliendiseadmed ründajale kuuluvatele ebaseaduslikele serveritele.
Võrguadministraatoreid on selle võimaliku turvariski eest hoiatatud juba aastaid, kuid endiselt on palju ettevõtteid, ülikoolid, koolid, valitsusasutused ja muud asutused, kes on oma võrguprofiilid konfigureerinud ebakindlalt. Edaspidi on WiFi Alliance'i poolt WPA3 spetsifikatsiooni jaoks vastu võetud turbenõuded seda muudatust lubanud, kuid nagu me kõik teame, on paljud organisatsioonid ja valitsused asjade uuendamisel aeglased ja kipuvad olema lõdvad, kui asi puudutab turvalisus. Mõned organisatsioonid – isegi teades kaasnevaid riske – soovitavad kasutajatel WiFi-võrguga ühenduse loomisel siiski sertifikaadi valideerimise keelata.
WPA3-d toetavate seadmete ja ruuterite laialdaseks levikuks võib kuluda aastaid, seega astub Google suure sammu kohe tagamaks, et kasutajad ei saaks enam riskida serveri sertifikaadi vahelejätmisega kinnitamine. Selle muudatusega panevad nad ette võrguadministraatoritele, kelle kasutajad loovad jätkuvalt ebaturvaliselt oma ettevõtte WiFi-ühendust. Loodetavasti kaebavad piisavalt kasutajad oma võrguadministraatorile, et nad ei saa oma ettevõtte WiFi-võrku vastavalt juhistele lisada, mis sunnib neid muudatusi tegema.
* Androidi tarkvaravärskenduste toimimise tõttu on võimalik, et see muudatus ei mõjuta teie seadme jaoks mõeldud Android 11 esialgset väljalaset. See muudatus viidi Pixeli telefonidele sisse ainult 2020. aasta detsembri värskendusega, mille järgunumber on olenevalt mudelist RQ1A/D. Kuna tegemist on aga platvormitaseme muudatusega, mis liideti osana Androidi avatud lähtekoodiga projektiga (AOSP). "R QPR1" konstruktsioon (nagu see on sisemiselt tuntud), eeldame, et teised Android-telefonid saavad seda lõpuks kasutada muuta.
Millised on selle probleemi lahendused?
Esimene samm selles olukorras on mõista, et kasutaja ei saa oma seadmes palju teha. Seda muudatust ei saa vältida, välja arvatud juhul, kui kasutaja otsustab oma seadet mitte värskendada, kuid see võib avada terve hulga muid probleeme, seega pole see soovitatav. Seetõttu tuleb sellest probleemist kindlasti teavitada mõjutatud WiFi-võrgu võrguadministraatorit.
Google soovitab võrguadministraatoritel anda kasutajatele juhiseid CA juursertifikaadi installimiseks või a süsteemi usalduspoodi nagu brauser ja lisaks juhendage neid serveri domeeni konfigureerimisel nimi. See võimaldab OS-il serverit turvaliselt autentida, kuid see nõuab kasutajalt WiFi-võrgu lisamisel veel mõned toimingud. Teise võimalusena ütleb Google, et võrguadministraatorid saavad luua rakenduse, mis kasutab Androidi WiFi soovituse API võrgu automaatseks konfigureerimiseks kasutaja jaoks. Asjade kasutajate jaoks veelgi lihtsamaks muutmiseks võib võrguadministraator kasutada Passpointi – WiFi-protokolli toetatud kõigis seadmetes, kus töötab Android 11 — ja suunata kasutaja oma seadet varustama, võimaldades sellel automaatselt uuesti ühenduse luua, kui see on võrgu lähedal. Kuna ükski neist lahendustest ei nõua kasutajalt tarkvara või riistvara värskendamist, saavad nad jätkata juba olemasoleva seadme kasutamist.
Praktiliselt võtab aga ettevõtetel ja muudel institutsioonidel nende lahenduste kasutuselevõtt veidi aega. Selle põhjuseks on asjaolu, et neid muudatusi tuleb kõigepealt teadvustada, mida pole kasutajaid tegelikult nii hästi teavitatud. Paljud võrguadministraatorid on neid muutusi jälginud kuude jooksul, kuid on ka palju neid, kes ei pruugi sellest teadlikud olla. Kui olete võrguadministraator, kes soovib muutuvate kohta lisateavet, saate sellest artiklist lisateavet SecureW2.