Android 11 atjauninājums pārtrauks savienojumu ar noteiktiem uzņēmuma WiFi tīkliem. Lūk, kāpēc un ko varat darīt, lai to labotu.
Ja jums pieder Google Pixel un esat atjauninājis uz jaunāko 2020. gada decembra drošības atjauninājumu, iespējams, esat atklājis, ka nevarat izveidot savienojumu ar noteiktiem uzņēmuma WiFi tīkliem. Ja tas tā ir, tad ziniet, ka neesat viens. Tā nav kļūda, bet drīzāk apzināta izmaiņa, ko Google veica operētājsistēmā Android 11, kas decembrī tika ieviesta Pixel tālruņiem. Paredzams, ka visos Android tālruņos, kas saņems operētājsistēmas Android 11 atjauninājumu, būs šīs izmaiņas* tuvākajā nākotnē mēs redzēsim daudz dusmīgu sūdzību no lietotājiem, kuri nevar pievienot sava uzņēmuma WiFi tīkls. Lūk, kas jums jāzina par to, kāpēc Google veica izmaiņas un ko jūs varat darīt.
Kāpēc nevaru pievienot sava uzņēmuma WiFi tīklu operētājsistēmā Android 11?
Problēma, ar kuru saskarsies daudzi lietotāji pēc atjaunināšanas uz Android 11*, ir tāda, ka nolaižamajā izvēlnē “CA sertifikāts” ir noņemta opcija “Nepārbaudīt”. Šī opcija iepriekš parādījās, pievienojot jaunu WiFi tīklu ar WPA2-Enterprise drošību.
Kāpēc šī opcija tika noņemta? Saskaņā ar Google teikto, ja lietotāji izvēlas opciju “neapstiprināt”, tas rada drošības risku, jo tas paver iespēju nopludināt lietotāja akreditācijas datus. Piemēram, ja lietotājs vēlas veikt tiešsaistes banku pakalpojumus, viņš savā pārlūkprogrammā norāda uz zināmo domēna nosaukumu, kas pieder viņa bankai (piemēram, www.bankofamerica.com). Ja lietotājs pamana, ka ir noklikšķinājis uz saites un viņa pārlūkprogramma ir ielādējusi tīmekļa lapu no nepareiza domēna, viņš, protams, vilcināsies sniegt sava bankas konta informāciju. Bet papildus tam, kā lietotājs zina, ka serveris, ar kuru savienojas viņa pārlūkprogramma, ir tas pats, ar kuru savienojas visi pārējie? Citiem vārdiem sakot, kā zināt, ka banku vietne, ko viņi redz, nav tikai viltota versija, ko ievadījusi ļaunprātīga trešā puse, kas ir ieguvusi piekļuvi tīklam? Tīmekļa pārlūkprogrammas nodrošina, ka tas nenotiek, pārbaudot servera sertifikātu, bet, kad lietotājs pārslēdz "nelietot Validēt" opciju, veidojot savienojumu ar uzņēmuma WiFi tīklu, viņi neļauj ierīcei veikt nekādu sertifikātu apstiprināšanu. Ja uzbrucējs veic uzbrukumu “cilvēks vidū” un pārņem vadību pār tīklu, viņš var novirzīt klienta ierīces uz neleģitīmiem serveriem, kas pieder uzbrucējam.
Tīkla administratori ir brīdināti par šo iespējamo drošības risku gadiem ilgi, taču joprojām ir daudz uzņēmumu, universitātes, skolas, valsts organizācijas un citas iestādes, kas ir konfigurējušas savus tīkla profilus nedroši. Turpmāk drošības prasības, ko WiFi alianse pieņēma WPA3 specifikācijai, ir paredzējušas šīs izmaiņas, taču, kā mēs visi zinām, daudzas organizācijas un valdības lēni pilnveido lietas un mēdz būt vaļīgas, kad runa ir drošību. Dažas organizācijas, pat zinot ar to saistītos riskus, joprojām iesaka lietotājiem atspējot sertifikātu validāciju, kad tiek izveidots savienojums ar savu WiFi tīklu.
Var paiet gadi, līdz ierīces un maršrutētāji, kas atbalsta WPA3, kļūs plaši izplatīti, tāpēc Google sper lielu soli tieši tagad, lai nodrošinātu, ka lietotāji vairs nevar pakļaut sevi riskam, kas saistīts ar servera sertifikāta izlaišanu apstiprināšanu. Ar šīm izmaiņām viņi pievērš uzmanību tīkla administratoriem, kuru lietotāji joprojām nedroši izveido savienojumu ar uzņēmuma WiFi. Cerams, ka pietiekami daudz lietotāju sūdzēsies savam tīkla administratoram, ka viņi nevar pievienot sava uzņēmuma WiFi tīklu, kā norādīts, un tas liks viņiem veikt izmaiņas.
* Tā kā Android programmatūras atjauninājumi darbojas, iespējams, ka šīs izmaiņas neietekmēs sākotnējo Android 11 izlaidumu jūsu konkrētajai ierīcei. Šīs izmaiņas Pixel tālruņos tika ieviestas tikai ar 2020. gada decembra atjauninājumu, kuram atkarībā no modeļa ir būvējuma numurs RQ1A/D. Tomēr, tā kā šīs ir platformas līmeņa izmaiņas, kas apvienotas ar Android atvērtā pirmkoda projektu (AOSP). "R QPR1" (kā tas ir zināms iekšēji), mēs sagaidām, ka citi Android tālruņi galu galā piedāvās to mainīt.
Kādi ir daži šīs problēmas risinājumi?
Pirmais solis šajā situācijā ir saprast, ka lietotājs savā ierīcē nevar paveikt daudz. No šīm izmaiņām nevar izvairīties, ja vien lietotājs neizvēlas neatjaunināt savu ierīci, taču tas var radīt daudzas citas problēmas, tāpēc tas nav ieteicams. Tāpēc par šo problēmu ir obligāti jāpaziņo ietekmētā WiFi tīkla tīkla administratoram.
Google iesaka tīkla administratoriem sniegt norādījumus lietotājiem, kā instalēt saknes CA sertifikātu vai izmantot a sistēmas uzticības krātuvi kā pārlūkprogrammu, un turklāt norādiet, kā konfigurēt servera domēnu nosaukums. To darot, operētājsistēma varēs droši autentificēt serveri, taču, pievienojot WiFi tīklu, lietotājam ir jāveic vēl dažas darbības. Alternatīvi, Google saka, ka tīkla administratori var izveidot lietotni, kas izmanto Android WiFi ieteikumu API lai automātiski konfigurētu tīklu lietotājam. Lai lietotājiem padarītu darbu vēl vienkāršāku, tīkla administrators var izmantot Passpoint — WiFi protokolu atbalstīts visās ierīcēs, kurās darbojas operētājsistēma Android 11 — un palīdz lietotājam nodrošināt savu ierīci, ļaujot tai automātiski atjaunot savienojumu, kad tā atrodas tīkla tuvumā. Tā kā nevienam no šiem risinājumiem lietotājam nav jāatjaunina programmatūra vai aparatūra, viņi var turpināt izmantot to pašu ierīci, kas jau ir.
Tomēr praktiski paies zināms laiks, līdz uzņēmumi un citas iestādes pieņems šos risinājumus. Tas ir tāpēc, ka viņiem vispirms ir jāinformē par šīm izmaiņām, kas, protams, lietotājiem nav tik labi informētas. Daudzi tīkla administratori ir vērojuši šīs izmaiņas mēnešiem, bet ir arī daudzi, kas var nezināt. Ja esat tīkla administrators un meklējat vairāk informācijas par izmaiņām, varat uzzināt vairāk šajā rakstā no SecureW2.