Aktualizacja Androida 11 przerwie połączenie z niektórymi firmowymi sieciami Wi-Fi. Oto dlaczego i co możesz zrobić, aby to naprawić.
Jeśli posiadasz Google Pixel i zaktualizowałeś do najnowszej aktualizacji zabezpieczeń z grudnia 2020 r, być może okazało się, że nie możesz połączyć się z niektórymi firmowymi sieciami Wi-Fi. Jeśli tak jest, wiedz, że nie jesteś sam. To nie jest błąd, ale raczej celowa zmiana wprowadzona przez Google w Androidzie 11, która tak się składa, że pojawiła się w wersji udostępnionej na telefony Pixel w grudniu. Oczekuje się, że wszystkie telefony z Androidem, które otrzymają aktualizację do Androida 11, ostatecznie będą miały tę zmianę*, co oznacza w najbliższej przyszłości zobaczymy wiele gniewnych skarg ze strony użytkowników, którzy nie mogą dodać swojej korporacyjnej sieci Wi-Fi sieć. Oto, co musisz wiedzieć o tym, dlaczego Google wprowadziło tę zmianę i co możesz z tym zrobić.
Dlaczego nie mogę dodać korporacyjnej sieci Wi-Fi w systemie Android 11?
Problemem, na który natrafia wielu użytkowników po aktualizacji do Androida 11*, jest usunięcie opcji „Nie sprawdzaj” w menu „Certyfikat CA”. Ta opcja pojawiła się wcześniej podczas dodawania nowej sieci Wi-Fi z zabezpieczeniem WPA2-Enterprise.
Dlaczego usunięto tę opcję? Według Google wybranie przez użytkowników opcji „nie sprawdzaj poprawności” stanowi ryzyko dla bezpieczeństwa, ponieważ stwarza możliwość wycieku danych uwierzytelniających użytkownika. Na przykład, jeśli użytkownik chce skorzystać z bankowości internetowej, kieruje swoją przeglądarkę na znaną nazwę domeny należącą do jego banku (np. www.bankofamerica.com). Jeśli użytkownik zauważy, że kliknął link, a jego przeglądarka załadowała stronę internetową z niewłaściwej domeny, będzie oczywiście wahał się z podaniem informacji o swoim koncie bankowym. Ale poza tym, skąd użytkownik wie, że serwer, z którym łączy się jego przeglądarka, jest tym samym, z którym łączą się wszyscy inni? Innymi słowy, skąd wiadomo, że oglądana witryna bankowa nie jest po prostu fałszywą wersją wstrzykniętą przez złośliwą stronę trzecią, która uzyskała dostęp do sieci? Przeglądarki internetowe pilnują, aby tak się nie stało, weryfikując certyfikat serwera, ale gdy użytkownik przełączy opcję „nie valid” podczas łączenia się z firmową siecią Wi-Fi, uniemożliwiają urządzeniu wykonanie jakiegokolwiek certyfikatu walidacja. Jeśli osoba atakująca przeprowadzi atak typu man-in-the-middle i przejmie kontrolę nad siecią, może skierować urządzenia klienckie na nielegalne serwery należące do atakującego.
Administratorzy sieci byli ostrzegani o tym potencjalnym ryzyku bezpieczeństwa od lat, ale nadal wiele przedsiębiorstw uniwersytety, szkoły, organizacje rządowe i inne instytucje, które skonfigurowały swoje profile sieciowe niepewnie. W przyszłości wymogi bezpieczeństwa przyjęte przez stowarzyszenie WiFi Alliance dla specyfikacji WPA3 wymusiły tę zmianę, Jednak jak wszyscy wiemy, wiele organizacji i rządów powolnie podchodzi do modernizacji i jest w tym zakresie niedbały bezpieczeństwo. Niektóre organizacje – nawet znając związane z tym ryzyko – nadal zalecają użytkownikom wyłączenie sprawdzania certyfikatów podczas łączenia się z siecią Wi-Fi.
Może minąć wiele lat, zanim urządzenia i routery obsługujące WPA3 staną się powszechne, dlatego Google robi duży krok już teraz, aby mieć pewność, że użytkownicy nie będą już narażani na ryzyko pominięcia certyfikatu serwera walidacja. Dzięki tej zmianie zwracają uwagę administratorów sieci, którzy w dalszym ciągu niepewnie łączą się z firmową siecią Wi-Fi. Miejmy nadzieję, że wystarczająca liczba użytkowników złoży skargę do administratora sieci, że nie może dodać korporacyjnej sieci Wi-Fi zgodnie z instrukcją, co poprosi ich o wprowadzenie zmian.
*Ze względu na sposób działania aktualizacji oprogramowania Androida możliwe jest, że ta zmiana nie będzie miała wpływu na pierwszą wersję Androida 11 dla Twojego konkretnego urządzenia. Ta zmiana została wprowadzona w telefonach Pixel dopiero w aktualizacji z grudnia 2020 r., która w zależności od modelu nosi numer kompilacji RQ1A/D. Ponieważ jednak jest to zmiana na poziomie platformy, połączona z projektem Android Open Source Project (AOSP) w ramach wersji „R QPR1” (jak jest wewnętrznie nazywana), spodziewamy się, że inne telefony z Androidem w końcu będą ją oferować zmiana.
Jakie są rozwiązania tego problemu?
Pierwszym krokiem w tej sytuacji jest uświadomienie sobie, że użytkownik niewiele może zrobić na swoim urządzeniu. Tej zmiany nie da się uniknąć, chyba że użytkownik zdecyduje się nie aktualizować swojego urządzenia – ale potencjalnie powoduje to szereg innych problemów, dlatego nie jest zalecane. Dlatego konieczne jest poinformowanie o tym problemie administratora sieci Wi-Fi, której dotyczy problem.
Google zaleca, aby administratorzy sieci poinstruowali użytkowników, jak zainstalować certyfikat głównego urzędu certyfikacji lub używać certyfikatu systemowy magazyn zaufania jak przeglądarka, a dodatkowo poinstruuj ich, jak skonfigurować domenę serwera nazwa. Dzięki temu system operacyjny będzie mógł bezpiecznie uwierzytelnić serwer, ale będzie wymagał od użytkownika wykonania kilku dodatkowych kroków podczas dodawania sieci Wi-Fi. Alternatywnie Google twierdzi, że administratorzy sieci mogą stworzyć aplikację, która będzie z niej korzystać Interfejs API sugestii Wi-Fi w systemie Android aby automatycznie skonfigurować sieć dla użytkownika. Aby jeszcze bardziej ułatwić użytkownikom pracę, administrator sieci może używać Passpoint – czyli protokołu Wi-Fi obsługiwane na wszystkich urządzeniach z systemem Android 11 — i poinstruuj użytkownika, jak skonfigurować swoje urządzenie, umożliwiając mu automatyczne ponowne nawiązanie połączenia, gdy tylko znajdzie się w pobliżu sieci. Ponieważ żadne z tych rozwiązań nie wymaga od użytkownika aktualizacji oprogramowania ani sprzętu, może on nadal korzystać z tego samego urządzenia, które już posiada.
W praktyce jednak przyjęcie tych rozwiązań przez przedsiębiorstwa i inne instytucje zajmie trochę czasu. Dzieje się tak dlatego, że należy ich w pierwszej kolejności uświadomić o tej zmianie, o której, co prawda, użytkownicy nie zostali zbyt dobrze zakomunikowani. Wielu administratorów sieci obserwowałem te zmiany przez miesiące, ale jest też wielu, którzy mogą nie być tego świadomi. Jeśli jesteś administratorem sieci i szukasz więcej informacji na temat tego, co się zmienia, możesz dowiedzieć się więcej w tym artykule z BezpieczneW2.