Az Android 11 frissítés megszakítja a csatlakozást bizonyos vállalati WiFi hálózatokhoz. Íme, miért, és mit tehet a javítás érdekében.
Ha van Google Pixel telefonja, és frissítette a legújabb, 2020. decemberi biztonsági frissítésre, előfordulhat, hogy nem tud csatlakozni bizonyos vállalati WiFi hálózatokhoz. Ha ez a helyzet, akkor tudd, hogy nem vagy egyedül. Ez nem hiba, hanem egy szándékos változtatás, amelyet a Google hajtott végre az Android 11-en, ami véletlenül jelen van a Pixel telefonokra decemberben benyújtott buildben. Az összes Android-telefonon, amelyen az Android 11 frissítés érkezik, várhatóan idővel ez a változás*, azaz a közeljövőben sok dühös panaszt fogunk látni azoktól a felhasználóktól, akik nem tudják hozzáadni a vállalati WiFi-t hálózat. Íme, mit kell tudni arról, hogy a Google miért hajtotta végre a változtatást, és mit tehet ellene.
Miért nem tudom hozzáadni a vállalati WiFi hálózatomat az Android 11 rendszerhez?
Az a probléma, amellyel sok felhasználó találkozik az Android 11*-re való frissítés után, hogy a „CA-tanúsítvány” legördülő menüből eltávolították a „Ne érvényesítse” opciót. Ez az opció korábban új, WPA2-Enterprise biztonságú WiFi hálózat hozzáadásakor jelent meg.
Miért törölték ezt a lehetőséget? A Google szerint az, hogy a felhasználók a "nem érvényesít" opciót választják, biztonsági kockázatot jelent, mivel megnyílik a felhasználói hitelesítő adatok kiszivárogtatása. Például, ha egy felhasználó online banki ügyintézést szeretne végezni, böngészőjét a bankja által birtokolt ismert domain névre irányítja (pl. www.bankofamerica.com). Ha a felhasználó azt észleli, hogy rákattintott egy linkre, és a böngészője rossz domainről töltött be egy weboldalt, akkor természetesen habozni fog, hogy megadja-e bankszámlája adatait. De ezen felül honnan tudja a felhasználó, hogy a böngészője ugyanaz a szerver, amelyhez mindenki más csatlakozik? Más szóval, honnan tudhatja valaki, hogy az általa látott banki webhely nem csupán egy hamis verzió, amelyet egy rosszindulatú, a hálózathoz hozzáférő harmadik fél oltott be? A webböngészők a szervertanúsítvány ellenőrzésével biztosítják, hogy ez ne történjen meg, de amikor a felhasználó a „ne validate" opciót, amikor csatlakoznak a vállalati WiFi hálózathoz, megakadályozzák, hogy az eszköz tanúsítványt végezzen érvényesítés. Ha egy támadó ember-in-the-middle támadást hajt végre, és átveszi az irányítást a hálózat felett, akkor az ügyféleszközöket a támadó tulajdonában lévő illegitim szerverekre irányíthatja.
A hálózati rendszergazdákat évek óta figyelmeztették erre a potenciális biztonsági kockázatra, de még mindig sok a vállalkozás, egyetemek, iskolák, kormányzati szervezetek és más intézmények, amelyek konfigurálták hálózati profiljukat bizonytalanul. A jövőben a WiFi Alliance által a WPA3 specifikációra vonatkozóan elfogadott biztonsági követelmények kötelezővé teszik ezt a változtatást, de mint mindannyian tudjuk, sok szervezet és kormány lassan korszerűsíti a dolgokat, és hajlamos laza, amikor Biztonság. Egyes szervezetek még az ezzel járó kockázatok ismeretében is azt javasolják a felhasználóknak, hogy kapcsolják ki a tanúsítvány érvényesítését, amikor csatlakoznak WiFi hálózatukhoz.
Évekbe telhet, amíg a WPA3-at támogató eszközök és útválasztók széles körben elterjednek, ezért a Google nagy lépést tesz most, hogy biztosítsa, hogy a felhasználók többé ne tegyék ki magukat a szervertanúsítvány kihagyásának kockázatának érvényesítés. Ezzel a változtatással figyelmeztetik azokat a hálózati rendszergazdákat, akiknél a felhasználók továbbra is bizonytalanul csatlakoznak a vállalati WiFi-hez. Remélhetőleg elég sok felhasználó fog panaszkodni a hálózati rendszergazdának, hogy nem tudják hozzáadni a vállalati WiFi-hálózatot az utasításoknak megfelelően, ami változtatásra készteti őket.
*Az Android-szoftverfrissítések működése miatt lehetséges, hogy ez a változás nem érinti az Android 11 kezdeti kiadását az adott eszközön. Ezt a változást csak a Pixel telefonokon vezették be a 2020. decemberi frissítéssel, amely modelltől függően RQ1A/D buildszámot visel. Mivel azonban ez egy platformszintű változás, amelyet az Android Open Source Project (AOSP) részeként egyesítettek az "R QPR1" build (ahogyan belsőleg ismert), azt várjuk, hogy más Android telefonok is ezt fogják tartalmazni változás.
Milyen megoldások vannak erre a problémára?
Ebben a helyzetben az első lépés annak felismerése, hogy a felhasználó nem sok mindent tehet eszközén. Ezt a változást csak akkor lehet elkerülni, ha a felhasználó úgy dönt, hogy nem frissíti eszközét – ez azonban potenciálisan egy sor egyéb problémát nyit meg, ezért nem ajánlott. Ezért feltétlenül közölni kell a problémát az érintett WiFi hálózat hálózati rendszergazdájával.
A Google azt javasolja, hogy a hálózati rendszergazdák utasítsák a felhasználókat a root CA-tanúsítvány telepítésére vagy a rendszer megbízhatósági tárolót, mint egy böngészőt, és emellett utasíthatja őket a szervertartomány konfigurálására név. Ez lehetővé teszi az operációs rendszer számára, hogy biztonságosan hitelesítse a kiszolgálót, de a felhasználónak még néhány lépést kell tennie WiFi hálózat hozzáadásakor. Alternatív megoldásként a Google azt mondja, hogy a hálózati rendszergazdák létrehozhatnak egy alkalmazást, amely a Android WiFi javaslat API hogy automatikusan konfigurálja a hálózatot a felhasználó számára. A felhasználók dolgának még egyszerűbbé tétele érdekében a hálózati rendszergazdák használhatják a Passpointot – egy WiFi protokollt támogatja az összes Android 11-et futtató eszközön — és irányítsa a felhasználót az eszköz kiépítésére, lehetővé téve, hogy az automatikusan újracsatlakozzon, amikor az a hálózat közelében van. Mivel ezen megoldások egyike sem követeli meg a felhasználótól szoftver vagy hardver frissítését, továbbra is használhatja ugyanazt az eszközt, amelyiken már rendelkezik.
Gyakorlatilag azonban eltart egy ideig, amíg a vállalkozások és más intézmények átveszik ezeket a megoldásokat. Ennek az az oka, hogy először is fel kell hívni a figyelmet erre a változásra, amit igaz, hogy nem igazán kommunikáltak a felhasználókkal. Sok hálózati rendszergazda figyeltek ezekre a változásokra hónapokig, de sokan vannak, akik nem tudnak róla. Ha Ön hálózati adminisztrátor, aki további információra van szüksége a változásokról, ebben a cikkben többet megtudhat SecureW2.