Android 11-oppdateringen vil bryte tilkoblingen til visse bedrifts-WiFi-nettverk. Her er hvorfor og hva du kan gjøre for å fikse det.
Hvis du eier en Google Pixel og har oppdatert til den siste sikkerhetsoppdateringen fra desember 2020, kan det hende du har oppdaget at du ikke kan koble til visse bedrifts WiFi-nettverk. Hvis dette er tilfelle, så vit at du ikke er alene. Dette er ikke en feil, men snarere en tilsiktet endring som Google gjorde til Android 11 som tilfeldigvis er tilstede i bygget som ble presset til Pixel-telefoner i desember. Alle Android-telefoner som vil motta en oppdatering til Android 11 forventes til slutt å ha denne endringen*, altså vi kommer til å se mange sinte klager i nær fremtid fra brukere som ikke kan legge til bedriftens WiFi Nettverk. Her er det du trenger å vite om hvorfor Google gjorde endringen og hva du kan gjøre med det.
Hvorfor kan jeg ikke legge til bedriftens WiFi-nettverk i Android 11?
Problemet som mange brukere vil støte på etter at de oppdaterer til Android 11*, er at alternativet "Ikke valider" under rullegardinmenyen "CA-sertifikat" er fjernet. Dette alternativet dukket tidligere opp når du la til et nytt WiFi-nettverk med WPA2-Enterprise-sikkerhet.
Hvorfor ble dette alternativet fjernet? Ifølge Google er det en sikkerhetsrisiko å ha brukere til å velge "ikke valider"-alternativet, da det åpner for muligheten for å lekke brukerlegitimasjon. For eksempel, hvis en bruker ønsker å gjøre nettbank, peker de i nettleseren til det kjente domenenavnet som eies av banken deres (f.eks. www.bankofamerica.com). Hvis brukeren legger merke til at de har klikket på en lenke og nettleseren har lastet inn en nettside fra feil domene, vil de selvfølgelig være nølende med å oppgi bankkontoinformasjon. Men på toppen av det, hvordan vet brukeren at serveren nettleseren kobler til er den samme som alle andre kobler til? Med andre ord, hvordan vet man at banknettstedet de ser ikke bare er en falsk versjon injisert av en ondsinnet tredjepart som har fått tilgang til nettverket? Nettlesere sørger for at dette ikke skjer ved å bekrefte serversertifikatet, men når brukeren bytter på "ikke validere"-alternativet når de kobler til bedriftens WiFi-nettverk, hindrer de enheten i å utføre noe sertifikat validering. Hvis en angriper utfører et mann-i-midten-angrep og tar kontroll over nettverket, kan de peke klientenheter til illegitime servere som eies av angriperen.
Nettverksadministratorer har blitt advart om denne potensielle sikkerhetsrisikoen i årevis, men det er fortsatt mange bedrifter, universiteter, skoler, statlige organisasjoner og andre institusjoner som har konfigurert nettverksprofilene sine usikkert. Fremover har sikkerhetskravene vedtatt av WiFi Alliance for WPA3-spesifikasjonen gitt mandat til denne endringen, men som vi alle vet, er mange organisasjoner og myndigheter trege med å oppgradere ting og har en tendens til å være slappe når det gjelder sikkerhet. Noen organisasjoner – selv med kunnskap om risikoen – anbefaler fortsatt brukere å deaktivere sertifikatvalidering når de kobler til WiFi-nettverket.
Det kan ta år før enheter og rutere som støtter WPA3 blir utbredt, så Google tar et stort skritt akkurat nå for å sikre at brukere ikke lenger kan utsette seg for risikoen for å hoppe over serversertifikatet validering. Med denne endringen setter de nettverksadministratorer som fortsetter å ha brukere til å koble seg til bedriftens WiFi på en usikker måte. Forhåpentligvis vil nok brukere klage til nettverksadministratoren sin om at de ikke kan legge til bedriftens WiFi-nettverk som instruert, noe som ber dem om å gjøre endringer.
*På grunn av måten Android-programvareoppdateringer fungerer på, er det mulig at den første utgivelsen av Android 11 for din spesifikke enhet ikke blir påvirket av denne endringen. Denne endringen ble bare introdusert for Pixel-telefoner med desember 2020-oppdateringen, som har byggenummer RQ1A/D avhengig av modell. Men siden dette er en endring på plattformnivå slått sammen med Android Open Source Project (AOSP) som en del av "R QPR1"-bygget (som det er kjent internt), forventer vi at andre Android-telefoner til slutt vil ha dette endring.
Hva er noen løsninger på dette problemet?
Det første trinnet i denne situasjonen er å innse at det ikke er mye brukeren kan gjøre på enheten sin. Denne endringen kan ikke unngås med mindre brukeren velger å ikke oppdatere enheten sin - men det åpner potensielt for en hel rekke andre problemer, så det anbefales ikke. Derfor er det viktig å kommunisere dette problemet til nettverksadministratoren for det berørte WiFi-nettverket.
Google anbefaler at nettverksadministratorer instruerer brukere om hvordan de installerer et rot-CA-sertifikat eller bruker et system trust store som en nettleser, og i tillegg instruere dem om hvordan de skal konfigurere serverdomenet Navn. Å gjøre det vil tillate operativsystemet å autentisere serveren på en sikker måte, men det krever at brukeren gjør noen flere trinn når han legger til et WiFi-nettverk. Alternativt sier Google at nettverksadministratorer kan lage en app som bruker Androids WiFi-forslags-API for å automatisk konfigurere nettverket for brukeren. For å gjøre ting enda enklere for brukerne, kan en nettverksadministrator bruke Passpoint – altså en WiFi-protokoll støttes på alle enheter som kjører Android 11 – og veilede brukeren til å klargjøre enheten sin, slik at den automatisk kobles til igjen når den er i nærheten av nettverket. Siden ingen av disse løsningene krever at brukeren oppdaterer programvare eller maskinvare, kan de fortsette å bruke den samme enheten de allerede har.
I praksis vil det imidlertid ta litt tid før bedrifter og andre institusjoner tar i bruk disse løsningene. Det er fordi de må gjøres oppmerksomme på denne endringen i utgangspunktet, som riktignok ikke har blitt kommunisert så godt til brukerne. Mange nettverksadministratorer har sett disse endringene i måneder, men det er også mange som kan være uvitende. Hvis du er en nettverksadministrator som ønsker mer informasjon om hva som endrer seg, kan du lære mer i denne artikkelen fra SecureW2.