אנדרואיד 11 לא יאפשר לך יותר להתחבר לכמה רשתות WiFi ארגוניות

MiscellaneaNov 13, 2023

עדכון אנדרואיד 11 ישבור את החיבור לרשתות WiFi ארגוניות מסוימות. הנה הסיבה ומה אתה יכול לעשות כדי לתקן את זה.

אם יש לך Google Pixel ועדכנת לעדכון האבטחה האחרון של דצמבר 2020, ייתכן שגילית שאינך יכול להתחבר לרשתות WiFi ארגוניות מסוימות. אם זה המקרה, אז דע שאתה לא לבד. זה לא באג אלא מדובר בשינוי מכוון שגוגל ביצעה באנדרואיד 11, שבמקרה היה נוכח במבנה שנדחף לטלפונים של Pixel בדצמבר. כל טלפונים אנדרואיד שיקבלו עדכון לאנדרואיד 11 צפויים בסופו של דבר לקבל את השינוי הזה*, כלומר אנחנו הולכים לראות הרבה תלונות זועמות בעתיד הקרוב ממשתמשים שלא יכולים להוסיף את ה-WiFi הארגוני שלהם רֶשֶׁת. הנה מה שאתה צריך לדעת מדוע Google ביצעה את השינוי ומה אתה יכול לעשות בנידון.

למה אני לא יכול להוסיף את רשת ה-WiFi הארגונית שלי באנדרואיד 11?

הבעיה שמשתמשים רבים יתקלו בה לאחר עדכון לאנדרואיד 11* היא שהאפשרות "אל תאמת" בתפריט הנפתח "אישור CA" הוסרה. אפשרות זו הופיעה בעבר בעת הוספת רשת WiFi חדשה עם אבטחת WPA2-Enterprise.

מדוע הוסרה אפשרות זו? לפי גוגל, העובדה שמשתמשים יבחרו באפשרות "אל תאמת" מהווה סיכון אבטחה מכיוון שהיא פותחת את האפשרות להדליף אישורי משתמש. לדוגמה, אם משתמש רוצה לעשות בנקאות מקוונת, הוא מפנה את הדפדפן שלו אל שם הדומיין הידוע שבבעלות הבנק שלו (למשל www.bankofamerica.com). אם המשתמש שם לב שהם לחצו על קישור והדפדפן שלו טען דף אינטרנט מהדומיין הלא נכון, אז הוא כמובן יהסס לתת את פרטי חשבון הבנק שלו. אבל נוסף על כך, איך המשתמש יודע שהשרת שהדפדפן שלו מתחבר אליו הוא אותו שרת שכולם מתחברים אליו? במילים אחרות, איך אפשר לדעת שהאתר הבנקאי שהם רואים הוא לא רק גרסה מזויפת שהוזרקה על ידי צד שלישי זדוני שקיבל גישה לרשת? דפדפני אינטרנט מוודאים שזה לא יקרה על ידי אימות אישור השרת, אך כאשר המשתמש מחליף את "אל תעשה" לאמת" בעת התחברות לרשת ה-WiFi הארגונית שלהם, הם מונעים מהמכשיר לבצע אישור כלשהו מַתַן תוֹקֵף. אם תוקף מבצע התקפת איש-באמצע ומשתלט על הרשת, אז הוא יכול להפנות התקני לקוח לשרתים לא לגיטימיים בבעלות התוקף.

מנהלי רשת הוזהרו מפני סיכון אבטחה פוטנציאלי זה במשך שנים, אך עדיין יש הרבה ארגונים, אוניברסיטאות, בתי ספר, ארגונים ממשלתיים ומוסדות אחרים שהגדירו את פרופילי הרשת שלהם בחוסר ביטחון. מעתה והלאה, דרישות האבטחה שאומצו על ידי WiFi Alliance עבור מפרט WPA3 חייבו את השינוי הזה, אבל כפי שכולנו יודעים, ארגונים וממשלות רבים איטיים בשדרוג דברים ונוטים להיות רפויים בכל הנוגע ל בִּטָחוֹן. ארגונים מסוימים - אפילו יודעים את הסיכונים הכרוכים בכך - עדיין ממליצים למשתמשים להשבית את אימות האישור בעת התחברות לרשת ה-WiFi שלהם.

צילום מסך המציג הנחיות מוועד בית ספר בשכונה כיצד להתחבר לרשת ה-WiFi שלהם. שימו לב לשלב הרביעי שבו מסופר למשתמשים על תרגול לא בטוח זה.

עשויות לחלוף שנים עד שמכשירים ונתבים התומכים ב-WPA3 יהפכו לנפוצים, כך שגוגל עושה צעד גדול כרגע כדי להבטיח שמשתמשים לא יוכלו עוד להכפיף את עצמם לסיכונים של דילוג על אישור שרת מַתַן תוֹקֵף. עם השינוי הזה, הם מכניסים הודעה למנהלי רשת שממשיכים להתחבר למשתמשים בצורה לא מאובטחת ל-WiFi הארגוני שלהם. יש לקוות שמספיק משתמשים יתלוננו בפני מנהל הרשת שלהם שהם לא יכולים להוסיף את רשת ה-WiFi הארגונית שלהם לפי ההוראות, מה שינחה אותם לבצע שינויים.

*בגלל האופן שבו פועלים עדכוני תוכנות אנדרואיד, ייתכן שהגרסה הראשונית של אנדרואיד 11 עבור המכשיר הספציפי שלך לא תושפע מהשינוי הזה. השינוי הזה הוצג רק לטלפונים של Pixel עם העדכון של דצמבר 2020, הנושא את מספר ה-build RQ1A/D בהתאם לדגם. עם זאת, מכיוון שמדובר בשינוי ברמת הפלטפורמה שמוזג לפרויקט הקוד הפתוח של אנדרואיד (AOSP) כחלק מ- המבנה "R QPR1" (כפי שהוא מוכר פנימי), אנו מצפים שטלפונים אחרים של אנדרואיד יופיעו בסופו של דבר שינוי.

מהם כמה פתרונות לבעיה זו?

הצעד הראשון במצב זה הוא להבין שהמשתמש לא יכול לעשות הרבה במכשיר שלו. לא ניתן להימנע מהשינוי הזה אלא אם המשתמש בוחר לא לעדכן את המכשיר שלו - אבל זה עלול לפתוח שורה שלמה של בעיות אחרות, אז זה לא מומלץ. לפיכך, הכרחי להעביר את הנושא הזה למנהל הרשת של רשת ה-WiFi המושפעת.

גוגל ממליצה למנהלי רשת להדריך את המשתמשים כיצד להתקין אישור CA שורש או להשתמש ב-a חנות האמון של המערכת כמו דפדפן, ובנוסף, תדריך אותם כיצד להגדיר את תחום השרת שֵׁם. פעולה זו תאפשר למערכת ההפעלה לאמת את השרת בצורה מאובטחת, אך היא דורשת מהמשתמש לבצע עוד כמה שלבים בעת הוספת רשת WiFi. לחלופין, גוגל אומרת שמנהלי רשת יכולים ליצור אפליקציה שמשתמשת ממשק API להצעות WiFi של אנדרואיד כדי להגדיר את הרשת באופן אוטומטי עבור המשתמש. כדי להקל עוד יותר על המשתמשים, מנהל רשת יכול להשתמש ב- Passpoint - פרוטוקול WiFi כלומר נתמך בכל המכשירים שבהם פועל אנדרואיד 11 - ולהנחות את המשתמש להקצות את המכשיר שלו, ולאפשר לו להתחבר מחדש אוטומטית בכל פעם שהוא ליד הרשת. מאחר שאף אחד מהפתרונות הללו לא דורש מהמשתמש לעדכן תוכנה או חומרה כלשהי, הוא יכול להמשיך להשתמש באותו מכשיר שכבר יש לו.

עם זאת, באופן מעשי, ייקח זמן מה לארגונים ומוסדות אחרים לאמץ את הפתרונות הללו. הסיבה לכך היא שהם צריכים להיות מודעים לשינוי הזה מלכתחילה, שאמנם לא ממש הועבר למשתמשים כל כך טוב. מנהלי רשת רבים בוחנים את השינויים האלה במשך חודשים, אבל יש גם רבים שאולי לא מודעים. אם אתה מנהל רשת שמחפש מידע נוסף על מה משתנה, תוכל ללמוד עוד במאמר זה מאת SecureW2.