L'aggiornamento di Android 11 interromperà la connessione a determinate reti WiFi aziendali. Ecco perché e cosa puoi fare per risolverlo.
Se possiedi un Google Pixel e hai aggiornato all'ultimo aggiornamento di sicurezza di dicembre 2020, potresti aver scoperto di non riuscire a connetterti a determinate reti Wi-Fi aziendali. Se questo è il caso, sappi che non sei solo. Questo non è un bug ma è piuttosto una modifica intenzionale che Google ha apportato ad Android 11 e che sembra essere presente nella build inviata ai telefoni Pixel a dicembre. Si prevede che tutti i telefoni Android che riceveranno un aggiornamento ad Android 11 disporranno di questa modifica*, ovvero nel prossimo futuro vedremo molte lamentele arrabbiate da parte degli utenti che non possono aggiungere il proprio WiFi aziendale rete. Ecco cosa devi sapere sul motivo per cui Google ha apportato la modifica e cosa puoi fare al riguardo.
Perché non riesco ad aggiungere la mia rete WiFi aziendale in Android 11?
Il problema che molti utenti incontreranno dopo l'aggiornamento ad Android 11* è che l'opzione "Non convalidare" nel menu a discesa "Certificato CA" è stata rimossa. Questa opzione appariva in precedenza quando si aggiungeva una nuova rete WiFi con sicurezza WPA2-Enterprise.
Perché questa opzione è stata rimossa? Secondo Google, far sì che gli utenti selezionino l'opzione "non convalidare" è un rischio per la sicurezza in quanto apre la possibilità di divulgare le credenziali dell'utente. Ad esempio, se un utente desidera effettuare operazioni bancarie online, indirizza il proprio browser al nome di dominio noto di proprietà della propria banca (ad esempio www.bankofamerica.com). Se l'utente nota di aver fatto clic su un collegamento e che il suo browser ha caricato una pagina Web dal dominio sbagliato, ovviamente esiterà a fornire le informazioni sul proprio conto bancario. Ma oltre a ciò, come fa l'utente a sapere che il server a cui si connette il suo browser è lo stesso a cui si connettono tutti gli altri? In altre parole, come si fa a sapere che il sito web bancario che si sta visualizzando non è semplicemente una versione falsa inserita da una terza parte malintenzionata che ha ottenuto l'accesso alla rete? I browser Web si assicurano che ciò non accada verificando il certificato del server, ma quando l'utente attiva l'opzione "non validate" quando si connettono alla rete WiFi aziendale, impediscono al dispositivo di eseguire qualsiasi certificato convalida. Se un utente malintenzionato esegue un attacco man-in-the-middle e prende il controllo della rete, può indirizzare i dispositivi client verso server illegittimi di proprietà dell'utente malintenzionato.
Gli amministratori di rete sono stati avvertiti per anni di questo potenziale rischio per la sicurezza, ma ci sono ancora molte aziende, università, scuole, organizzazioni governative e altre istituzioni che hanno configurato i propri profili di rete in modo insicuro. In futuro, i requisiti di sicurezza adottati dalla WiFi Alliance per la specifica WPA3 hanno imposto questo cambiamento, ma come tutti sappiamo, molte organizzazioni e governi sono lenti nel migliorare le cose e tendono ad essere negligenti quando si tratta di sicurezza. Alcune organizzazioni, pur conoscendo i rischi connessi, consigliano comunque agli utenti di disattivare la convalida del certificato quando si connettono alla propria rete WiFi.
Potrebbero volerci anni prima che i dispositivi e i router che supportano WPA3 si diffondano, quindi Google sta facendo un grande passo in questo momento per garantire che gli utenti non possano più esporsi ai rischi derivanti dal mancato rispetto del certificato del server convalida. Con questa modifica, stanno avvisando gli amministratori di rete che continuano a far sì che gli utenti si connettano in modo non sicuro al WiFi aziendale. Si spera che un numero sufficiente di utenti si lamenterà con il proprio amministratore di rete dicendo che non possono aggiungere la propria rete WiFi aziendale come indicato, spingendoli ad apportare modifiche.
*A causa del funzionamento degli aggiornamenti software Android, è possibile che la versione iniziale di Android 11 per il tuo dispositivo specifico non sia interessata da questa modifica. Questa modifica è stata introdotta sui telefoni Pixel solo con l'aggiornamento di dicembre 2020, che porta il numero di build RQ1A/D a seconda del modello. Tuttavia, poiché si tratta di una modifica a livello di piattaforma fusa nell'Android Open Source Project (AOSP) come parte di la build "R QPR1" (come è conosciuta internamente), ci aspettiamo che altri telefoni Android la dispongano prima o poi modifica.
Quali sono alcune soluzioni a questo problema?
Il primo passo in questa situazione è rendersi conto che non c'è molto che l'utente possa fare sul proprio dispositivo. Questa modifica non può essere evitata a meno che l'utente non scelga di non aggiornare il proprio dispositivo, ma ciò apre potenzialmente tutta una serie di altri problemi, quindi non è consigliabile. Pertanto, è imperativo comunicare questo problema all'amministratore di rete della rete WiFi interessata.
Google consiglia agli amministratori di rete di istruire gli utenti su come installare un certificato CA radice o utilizzare un certificato CA radice archiviare la fiducia del sistema come un browser e, inoltre, istruirli su come configurare il dominio del server nome. Ciò consentirà al sistema operativo di autenticare in modo sicuro il server, ma richiede all'utente di eseguire alcuni passaggi aggiuntivi quando aggiunge una rete WiFi. In alternativa, Google afferma che gli amministratori di rete possono creare un'app che utilizzi API di suggerimento WiFi di Android per configurare automaticamente la rete per l'utente. Per rendere le cose ancora più semplici per gli utenti, un amministratore di rete può utilizzare Passpoint, un protocollo WiFi supportato su tutti i dispositivi con Android 11 - e guida l'utente nel provisioning del proprio dispositivo, consentendogli di riconnettersi automaticamente ogni volta che si trova vicino alla rete. Poiché nessuna di queste soluzioni richiede all'utente di aggiornare software o hardware, può continuare a utilizzare lo stesso dispositivo che già possiede.
In pratica, però, ci vorrà del tempo prima che le imprese e le altre istituzioni adottino queste soluzioni. Questo perché è necessario innanzitutto informarli di questo cambiamento, che certamente non è stato comunicato così bene agli utenti. Molti amministratori di rete hanno osservato questi cambiamenti per mesi, ma ci sono anche molti che potrebbero non saperlo. Se sei un amministratore di rete e cerchi maggiori informazioni su cosa sta cambiando, puoi saperne di più in questo articolo da SicuroW2.