De Android 11-update verbreekt de verbinding met bepaalde zakelijke WiFi-netwerken. Hier leest u waarom en wat u kunt doen om het probleem te verhelpen.
Als u een Google Pixel bezit en deze heeft bijgewerkt naar de nieuwste beveiligingsupdate van december 2020, heeft u mogelijk gemerkt dat u geen verbinding kunt maken met bepaalde zakelijke WiFi-netwerken. Als dit het geval is, weet dan dat u niet de enige bent. Dit is geen bug, maar is eerder een opzettelijke wijziging die Google heeft aangebracht in Android 11 en die toevallig aanwezig is in de build die in december naar Pixel-telefoons is gepusht. De verwachting is dat alle Android-telefoons die een update naar Android 11 zullen krijgen op termijn deze wijziging* zullen krijgen we gaan in de nabije toekomst veel boze klachten zien van gebruikers die hun zakelijke WiFi niet kunnen toevoegen netwerk. Dit is wat u moet weten over waarom Google deze wijziging heeft doorgevoerd en wat u eraan kunt doen.
Waarom kan ik mijn zakelijke WiFi-netwerk niet toevoegen in Android 11?
Het probleem dat veel gebruikers tegenkomen nadat ze een update naar Android 11* hebben uitgevoerd, is dat de optie ‘Niet valideren’ onder de vervolgkeuzelijst ‘CA-certificaat’ is verwijderd. Deze optie verscheen eerder bij het toevoegen van een nieuw WiFi-netwerk met WPA2-Enterprise-beveiliging.
Waarom is deze optie verwijderd? Volgens Google is het een veiligheidsrisico als gebruikers de optie 'niet valideren' selecteren, omdat dit de mogelijkheid biedt om gebruikersgegevens te lekken. Als een gebruiker bijvoorbeeld online wil bankieren, verwijst hij zijn browser naar de bekende domeinnaam van zijn bank (bijvoorbeeld www.bankofamerica.com). Als de gebruiker merkt dat hij op een link heeft geklikt en zijn browser een webpagina van het verkeerde domein heeft geladen, dan zal hij uiteraard aarzelen om zijn bankrekeninggegevens door te geven. Maar bovendien: hoe weet de gebruiker dat de server waarmee zijn browser verbinding maakt, dezelfde is als waar alle anderen verbinding mee maken? Met andere woorden: hoe weet je dat de bankwebsite die ze zien niet slechts een nepversie is die is geïnjecteerd door een kwaadwillende derde partij die toegang heeft gekregen tot het netwerk? Webbrowsers zorgen ervoor dat dit niet gebeurt door het servercertificaat te verifiëren, maar wanneer de gebruiker de optie "niet doen" inschakelt valideren' wanneer ze verbinding maken met hun zakelijke WiFi-netwerk, voorkomen ze dat het apparaat een certificaat uitvoert geldigmaking. Als een aanvaller een man-in-the-middle-aanval uitvoert en de controle over het netwerk overneemt, kan hij clientapparaten doorverwijzen naar onwettige servers die eigendom zijn van de aanvaller.
Netwerkbeheerders worden al jaren gewaarschuwd voor dit potentiële veiligheidsrisico, maar er zijn nog steeds veel ondernemingen die universiteiten, scholen, overheidsorganisaties en andere instellingen die hun netwerkprofielen hebben geconfigureerd onzeker. In de toekomst hebben de door de WiFi Alliance aangenomen beveiligingsvereisten voor de WPA3-specificatie deze wijziging verplicht gesteld. maar zoals we allemaal weten, zijn veel organisaties en overheden traag in het upgraden van zaken en zijn ze vaak laks als het erop aankomt beveiliging. Sommige organisaties raden gebruikers, zelfs als ze de risico's kennen, nog steeds aan om de certificaatvalidatie uit te schakelen wanneer ze verbinding maken met hun WiFi-netwerk.
Het kan jaren duren voordat apparaten en routers die WPA3 ondersteunen wijdverspreid worden, dus Google zet een grote stap om ervoor te zorgen dat gebruikers zich niet langer kunnen blootstellen aan de risico's van het overslaan van het servercertificaat geldigmaking. Met deze wijziging stellen ze netwerkbeheerders op de hoogte die ervoor zorgen dat gebruikers onveilig verbinding maken met hun zakelijke WiFi. Hopelijk zullen genoeg gebruikers bij hun netwerkbeheerder klagen dat ze hun zakelijke WiFi-netwerk niet volgens de instructies kunnen toevoegen, waardoor ze worden gevraagd wijzigingen aan te brengen.
*Vanwege de manier waarop Android-software-updates werken, is het mogelijk dat de eerste release van Android 11 voor uw specifieke apparaat niet door deze wijziging wordt beïnvloed. Deze wijziging is pas geïntroduceerd op Pixel-telefoons met de update van december 2020, die afhankelijk van het model buildnummer RQ1A/D draagt. Omdat dit echter een wijziging op platformniveau is die is samengevoegd met het Android Open Source Project (AOSP) als onderdeel van de "R QPR1" -build (zoals deze intern bekend staat), verwachten we dat andere Android-telefoons dit uiteindelijk zullen bevatten wijziging.
Wat zijn enkele oplossingen voor dit probleem?
De eerste stap in deze situatie is het besef dat de gebruiker niet veel kan doen op zijn apparaat. Deze wijziging kan niet worden vermeden, tenzij de gebruiker ervoor kiest zijn apparaat niet bij te werken, maar dat kan mogelijk een hele reeks andere problemen met zich meebrengen, dus het wordt niet aanbevolen. Het is dus absoluut noodzakelijk om dit probleem te communiceren met de netwerkbeheerder van het getroffen WiFi-netwerk.
Google raadt netwerkbeheerders aan gebruikers te instrueren hoe ze een root-CA-certificaat kunnen installeren of een systeemvertrouwensopslag als een browser, en instrueer ze bovendien hoe ze het serverdomein moeten configureren naam. Als u dit doet, kan het besturingssysteem de server veilig verifiëren, maar moet de gebruiker wel nog een paar stappen uitvoeren bij het toevoegen van een WiFi-netwerk. Als alternatief zegt Google dat netwerkbeheerders een app kunnen maken die gebruikmaakt van Android's WiFi-suggestie-API om het netwerk automatisch voor de gebruiker te configureren. Om het voor gebruikers nog eenvoudiger te maken, kan een netwerkbeheerder Passpoint gebruiken, een WiFi-protocol dus ondersteund op alle apparaten met Android 11 - en begeleid de gebruiker bij het inrichten van zijn apparaat, zodat dit automatisch opnieuw verbinding kan maken wanneer het zich in de buurt van het netwerk bevindt. Omdat geen van deze oplossingen vereist dat de gebruiker software of hardware bijwerkt, kan hij hetzelfde apparaat blijven gebruiken dat hij al heeft.
Praktisch gezien zal het echter enige tijd duren voordat bedrijven en andere instellingen deze oplossingen zullen adopteren. Dat komt omdat ze in de eerste plaats op de hoogte moeten worden gesteld van deze verandering, die weliswaar niet zo goed aan de gebruikers is gecommuniceerd. Veel netwerkbeheerders hebben deze veranderingen in de gaten gehouden maanden lang, maar er zijn er ook velen die zich er misschien niet van bewust zijn. Als u een netwerkbeheerder bent en meer informatie zoekt over wat er verandert, kunt u in dit artikel meer informatie vinden SecureW2.