Ažuriranje Androida 11 prekinut će povezivanje s određenim poslovnim WiFi mrežama. Evo zašto i što možete učiniti da to popravite.
Ako posjedujete Google Pixel i ažurirali ste ga na najnovije sigurnosno ažuriranje iz prosinca 2020, možda ste otkrili da se ne možete povezati s određenim poslovnim WiFi mrežama. Ako je to slučaj, znajte da niste sami. Ovo nije greška, već namjerna promjena koju je Google napravio na Androidu 11, a koja je slučajno prisutna u međugradnji koja je u prosincu stavljena na Pixel telefone. Očekuje se da će svi Android telefoni koji će primiti ažuriranje na Android 11 na kraju imati ovu promjenu*, što znači u bliskoj budućnosti vidjet ćemo mnogo ljutitih pritužbi od korisnika koji ne mogu dodati svoj poslovni WiFi mreža. Evo što trebate znati o tome zašto je Google napravio promjenu i što možete učiniti u vezi s tim.
Zašto ne mogu dodati WiFi mrežu svoje tvrtke u Android 11?
Problem s kojim će se mnogi korisnici susresti nakon ažuriranja na Android 11* je taj što je uklonjena opcija "Ne potvrđuj" pod padajućim izbornikom "CA certifikat". Ova se opcija prije pojavljivala prilikom dodavanja nove WiFi mreže s WPA2-Enterprise sigurnošću.
Zašto je ova opcija uklonjena? Prema Googleu, to što korisnici odaberu opciju "ne potvrđuj" predstavlja sigurnosni rizik jer otvara mogućnost curenja korisničkih vjerodajnica. Na primjer, ako korisnik želi obavljati internetsko bankarstvo, usmjerava svoj preglednik na poznati naziv domene u vlasništvu njegove banke (npr. www.bankofamerica.com). Ako korisnik primijeti da je kliknuo vezu i da je njegov preglednik učitao web stranicu s pogrešne domene, tada će naravno oklijevati dati podatke o svom bankovnom računu. Ali povrh svega, kako korisnik zna da je poslužitelj na koji se njegov preglednik povezuje isti onaj na koji se povezuju svi ostali? Drugim riječima, kako netko može znati da bankarska web stranica koju vidi nije samo lažna verzija koju je ubacila zlonamjerna treća strana koja je dobila pristup mreži? Web preglednici osiguravaju da se to ne dogodi provjerom certifikata poslužitelja, ali kada korisnik uključi opciju "nemoj potvrdi" kada se povezuju na njihovu poslovnu WiFi mrežu, sprječavaju uređaj da izvrši bilo kakvu potvrdu validacija. Ako napadač izvede napad "čovjek u sredini" i preuzme kontrolu nad mrežom, tada može usmjeriti klijentske uređaje na nelegitimne poslužitelje u vlasništvu napadača.
Mrežni administratori godinama su upozoravani na ovaj potencijalni sigurnosni rizik, ali još uvijek postoje mnoga poduzeća, sveučilišta, škole, vladine organizacije i druge institucije koje su konfigurirale svoje mrežne profile nesigurno. Ubuduće, sigurnosni zahtjevi koje je WiFi Alliance usvojio za WPA3 specifikaciju nalažu ovu promjenu, ali kao što svi znamo, mnoge su organizacije i vlade spore u nadogradnji stvari i obično su opuštene kada je riječ o sigurnosti. Neke organizacije — čak i znajući uključene rizike — i dalje preporučuju korisnicima da onemoguće provjeru valjanosti certifikata prilikom povezivanja na svoju WiFi mrežu.
Mogle bi proći godine prije nego što uređaji i usmjerivači koji podržavaju WPA3 postanu rašireni, stoga Google poduzima veliki korak upravo sada kako bi osigurali da se korisnici više ne mogu izlagati rizicima preskakanja certifikata poslužitelja validacija. Ovom promjenom obavještavaju mrežne administratore koji i dalje imaju korisnike koji se nesigurno povezuju na poslovni WiFi. Nadajmo se da će se dovoljno korisnika žaliti svom mrežnom administratoru da ne mogu dodati svoju poslovnu WiFi mrežu prema uputama, što će ih potaknuti da naprave promjene.
*Zbog načina na koji funkcioniraju ažuriranja Android softvera, moguće je da ova promjena neće utjecati na početno izdanje Androida 11 za vaš uređaj. Ova je promjena uvedena samo na Pixel telefone s ažuriranjem iz prosinca 2020., koje nosi broj izrade RQ1A/D ovisno o modelu. Međutim, budući da je ovo promjena na razini platforme spojena s Android Open Source Project (AOSP) kao dio "R QPR1" verzija (kako je interno poznata), očekujemo da će drugi telefoni s Androidom s vremenom imati ovo promijeniti.
Koja su rješenja za ovaj problem?
Prvi korak u ovoj situaciji je shvatiti da ne postoji puno toga što korisnik može učiniti na svom uređaju. Ovu promjenu nije moguće izbjeći osim ako korisnik ne odluči ažurirati svoj uređaj — ali to potencijalno otvara čitav niz drugih problema, pa se ne preporučuje. Stoga je imperativ priopćiti ovaj problem mrežnom administratoru zahvaćene WiFi mreže.
Google preporučuje da mrežni administratori upute korisnike kako instalirati korijenski CA certifikat ili koristiti a pohranite povjerenje sustava poput preglednika, a osim toga, uputite ih kako da konfiguriraju domenu poslužitelja Ime. To će omogućiti OS-u da sigurno provjeri autentičnost poslužitelja, ali zahtijeva od korisnika da napravi još nekoliko koraka prilikom dodavanja WiFi mreže. Alternativno, Google kaže da mrežni administratori mogu izraditi aplikaciju koja koristi Androidov WiFi prijedlog API za automatsko konfiguriranje mreže za korisnika. Da bi stvari bile još jednostavnije za korisnike, mrežni administrator može koristiti Passpoint — WiFi protokol koji je podržano na svim uređajima s Androidom 11 — i vodi korisnika da opskrbi svoj uređaj, dopuštajući mu da se automatski ponovno poveže kad god je u blizini mreže. Budući da nijedno od ovih rješenja ne zahtijeva od korisnika ažuriranje bilo kakvog softvera ili hardvera, oni mogu nastaviti koristiti isti uređaj koji već imaju.
Praktično gledano, poduzećima i drugim institucijama trebat će neko vrijeme da prihvate ta rješenja. To je zato što ih prije svega treba upoznati s ovom promjenom, koja doduše nije tako dobro priopćena korisnicima. Mnogi mrežni administratori promatrali ove promjene mjesecima, ali postoje i mnogi koji možda nisu svjesni. Ako ste mrežni administrator i tražite više informacija o tome što se mijenja, možete saznati više u ovom članku od Sigurno W2.