Android 11 -päivitys katkaisee yhteyden muodostamisen tiettyihin yrityksen WiFi-verkkoihin. Tässä on syy ja mitä voit tehdä korjataksesi sen.
Jos omistat Google Pixelin ja olet päivittänyt viimeisimpään joulukuun 2020 tietoturvapäivitykseen, olet ehkä huomannut, että et pysty muodostamaan yhteyttä tiettyihin yrityksen WiFi-verkkoihin. Jos näin on, tiedä, että et ole yksin. Tämä ei ole virhe, vaan pikemminkin tarkoituksellinen muutos, jonka Google teki Android 11:een ja joka sattuu olemaan mukana Pixel-puhelimiin joulukuussa lähetetyssä versiossa. Kaikissa Android-puhelimissa, jotka saavat päivityksen Android 11:een, odotetaan myöhemmin tapahtuvan tämä muutos*, eli tulemme näkemään lähitulevaisuudessa paljon vihaisia valituksia käyttäjiltä, jotka eivät voi lisätä yrityksen WiFi-yhteyttä verkkoon. Tässä on mitä sinun tulee tietää siitä, miksi Google teki muutoksen ja mitä voit tehdä asialle.
Miksi en voi lisätä yritykseni WiFi-verkkoa Android 11:een?
Ongelma, johon monet käyttäjät törmäävät päivittäessään Android 11* -käyttöjärjestelmään, on se, että "Älä vahvista" -vaihtoehto avattavasta "CA-varmenne" -valikosta on poistettu. Tämä vaihtoehto ilmestyi aiemmin, kun lisättiin uusi WiFi-verkko WPA2-Enterprise-suojauksella.
Miksi tämä vaihtoehto poistettiin? Googlen mukaan se, että käyttäjät valitsevat "älä vahvista" -vaihtoehdon, on turvallisuusriski, koska se avaa mahdollisuuden käyttäjien tunnistetietojen vuotamiseen. Jos käyttäjä esimerkiksi haluaa hoitaa verkkopankkiasioita, hän ohjaa selaimensa pankkinsa tuntemaan verkkotunnukseen (esim. www.bankofamerica.com). Jos käyttäjä huomaa napsauttaneensa linkkiä ja hänen selaimensa on ladannut verkkosivun väärästä verkkotunnuksesta, hän luonnollisesti epäröi antaa pankkitilitietojaan. Mutta lisäksi, mistä käyttäjä tietää, että palvelin, johon hänen selaimensa muodostaa yhteyden, on sama, johon kaikki muut muodostavat yhteyden? Toisin sanoen, mistä tietää, että heidän näkemänsä pankkisivusto ei ole vain väärennetty versio, jonka verkkoon päässyt haitallinen kolmas osapuoli on syöttänyt? Verkkoselaimet varmistavat, että näin ei tapahdu tarkistamalla palvelinvarmenne, mutta kun käyttäjä vaihtaa "älä validoi" -vaihtoehto muodostaessaan yhteyden yrityksen WiFi-verkkoon, he estävät laitetta tekemästä minkäänlaista varmennetta validointi. Jos hyökkääjä suorittaa välimieshyökkäyksen ja ottaa verkon hallintaansa, hän voi osoittaa asiakaslaitteet hyökkääjän omistamille laittomille palvelimille.
Verkon ylläpitäjiä on varoitettu tästä mahdollisesta turvallisuusriskistä jo vuosia, mutta edelleen on monia yrityksiä, yliopistot, koulut, valtion organisaatiot ja muut laitokset, jotka ovat määrittäneet verkkoprofiilinsa epävarma. Jatkossa WiFi Alliancen WPA3-spesifikaatiolle hyväksymät suojausvaatimukset ovat edellyttäneet tätä muutosta, mutta kuten me kaikki tiedämme, monet organisaatiot ja hallitukset ovat hitaita päivittämään asioita ja ovat yleensä löyhiä turvallisuus. Jotkut organisaatiot – vaikka tietävät riskit – suosittelevat silti käyttäjiä poistamaan varmenteen vahvistuksen käytöstä muodostaessaan yhteyden WiFi-verkkoonsa.
Voi kestää vuosia, ennen kuin WPA3:a tukevat laitteet ja reitittimet yleistyvät, joten Google ottaa suuren askeleen juuri nyt varmistaaksemme, että käyttäjät eivät voi enää altistaa itseään palvelinvarmenteen ohittamisen riskeille validointi. Tämän muutoksen myötä he varoittavat verkon järjestelmänvalvojia, joiden käyttäjillä on edelleen epävarma yhteys yrityksen Wi-Fi-verkkoon. Toivottavasti riittävä määrä käyttäjiä valittaa verkon järjestelmänvalvojalle, etteivät he voi lisätä yrityksen WiFi-verkkoaan ohjeiden mukaisesti, mikä kehottaa heitä tekemään muutoksia.
* Koska Android-ohjelmistopäivitykset toimivat, on mahdollista, että tämä muutos ei vaikuta laitteesi Android 11:n alkuperäiseen julkaisuun. Tämä muutos otettiin käyttöön Pixel-puhelimissa vain joulukuun 2020 päivityksen myötä, jonka versionumero on RQ1A/D mallista riippuen. Koska tämä on kuitenkin alustatason muutos, joka yhdistettiin Android Open Source Project (AOSP) -projektiin osana "R QPR1" -rakenne (kuten se tunnetaan sisäisesti), odotamme muiden Android-puhelimien sisältävän tämän lopulta muuttaa.
Mitä ratkaisuja tähän ongelmaan on?
Ensimmäinen askel tässä tilanteessa on ymmärtää, että käyttäjä ei voi tehdä paljon laitteellaan. Tätä muutosta ei voida välttää, ellei käyttäjä päätä olla päivittämättä laitettaan – mutta se saattaa avata monia muita ongelmia, joten sitä ei suositella. Tästä syystä on välttämätöntä ilmoittaa ongelmasta kyseisen WiFi-verkon verkonvalvojalle.
Google suosittelee, että verkon järjestelmänvalvojat opastavat käyttäjiä juuri CA-varmenteen asentamisessa tai a järjestelmän luottamustallentaa kuten selain, ja lisäksi opastaa heitä palvelimen toimialueen määrittämisessä nimi. Näin käyttöjärjestelmä voi todentaa palvelimen turvallisesti, mutta se vaatii käyttäjän suorittamaan vielä muutaman vaiheen, kun lisäät WiFi-verkkoa. Vaihtoehtoisesti Google sanoo, että verkon järjestelmänvalvojat voivat luoda sovelluksen, joka käyttää Androidin WiFi-ehdotussovellusliittymä määrittääksesi verkon automaattisesti käyttäjälle. Käyttäjien toiminnan helpottamiseksi verkonvalvoja voi käyttää Passpointia, joka on WiFi-protokolla tuettu kaikissa laitteissa, joissa on Android 11 — ja ohjaa käyttäjää luomaan laitteensa, jolloin se voi muodostaa yhteyden automaattisesti uudelleen aina, kun se on lähellä verkkoa. Koska mikään näistä ratkaisuista ei vaadi käyttäjän päivittämään mitään ohjelmistoa tai laitteistoa, he voivat jatkaa saman laitteen käyttöä, jolla heillä on jo.
Käytännössä kestää kuitenkin jonkin aikaa, ennen kuin yritykset ja muut laitokset ottavat nämä ratkaisut käyttöön. Tämä johtuu siitä, että heidät on ensin saatava tietoisiksi tästä muutoksesta, jota ei tosin ole kommunikoitu käyttäjille niin hyvin. Monet verkon ylläpitäjät ovat seuranneet näitä muutoksia kuukausia, mutta on myös monia, jotka eivät ehkä tiedä. Jos olet verkon järjestelmänvalvoja ja haluat lisätietoja muutoksista, saat lisätietoja tästä artikkelista SecureW2.