A atualização do Android 11 interromperá a conexão com determinadas redes WiFi corporativas. Veja por que e o que você pode fazer para consertar isso.
Se você possui um Google Pixel e atualizou para a atualização de segurança mais recente de dezembro de 2020, você pode ter descoberto que não consegue se conectar a determinadas redes WiFi corporativas. Se for esse o caso, saiba que você não está sozinho. Isso não é um bug, mas sim uma mudança intencional que o Google fez no Android 11, que por acaso está presente na versão enviada para telefones Pixel em dezembro. Espera-se que todos os telefones Android que receberão uma atualização para o Android 11 eventualmente tenham essa mudança*, o que significa veremos muitas reclamações iradas em um futuro próximo de usuários que não conseguem adicionar seu WiFi corporativo rede. Aqui está o que você precisa saber sobre por que o Google fez a mudança e o que você pode fazer a respeito.
Por que não consigo adicionar minha rede WiFi corporativa no Android 11?
O problema que muitos usuários encontrarão após atualizarem para o Android 11* é que a opção “Não validar” no menu suspenso “Certificado CA” foi removida. Esta opção apareceu anteriormente ao adicionar uma nova rede WiFi com segurança WPA2-Enterprise.
Por que essa opção foi removida? Segundo o Google, fazer com que os usuários selecionem a opção “não validar” é um risco de segurança, pois abre a possibilidade de vazamento de credenciais do usuário. Por exemplo, se um usuário deseja fazer serviços bancários on-line, ele aponta seu navegador para o nome de domínio conhecido de propriedade de seu banco (por exemplo, www.bankofamerica.com). Se o usuário perceber que clicou em um link e seu navegador carregou uma página da Web do domínio errado, é claro que hesitará em fornecer as informações de sua conta bancária. Mas, além disso, como o usuário sabe que o servidor ao qual seu navegador está se conectando é o mesmo ao qual todos os outros se conectam? Em outras palavras, como saber se o site bancário que está vendo não é apenas uma versão falsa injetada por um terceiro mal-intencionado que obteve acesso à rede? Os navegadores da Web garantem que isso não aconteça verificando o certificado do servidor, mas quando o usuário alterna a opção "não validar" ao se conectar à rede WiFi corporativa, eles estão impedindo o dispositivo de fazer qualquer certificado validação. Se um invasor realizar um ataque man-in-the-middle e assumir o controle da rede, ele poderá apontar dispositivos clientes para servidores ilegítimos de propriedade do invasor.
Os administradores de rede têm sido alertados sobre esse risco potencial à segurança há anos, mas ainda existem muitas empresas, universidades, escolas, organizações governamentais e outras instituições que configuraram seus perfis de rede inseguro. No futuro, os requisitos de segurança adotados pela WiFi Alliance para a especificação WPA3 exigiram esta mudança, mas como todos sabemos, muitas organizações e governos são lentos na actualização e tendem a ser negligentes quando se trata de segurança. Algumas organizações – mesmo sabendo dos riscos envolvidos – ainda recomendam que os usuários desabilitem a validação de certificados ao se conectarem à sua rede WiFi.
Pode levar anos até que dispositivos e roteadores que suportam WPA3 se tornem difundidos, então o Google está dando um grande passo agora mesmo para garantir que os usuários não possam mais se sujeitar aos riscos de ignorar o certificado do servidor validação. Com essa mudança, eles estão avisando os administradores de rede que continuam a fazer com que os usuários se conectem de forma insegura ao WiFi corporativo. Esperançosamente, um número suficiente de usuários reclamará com o administrador da rede que não podem adicionar sua rede WiFi corporativa conforme as instruções, solicitando que façam alterações.
*Devido à forma como as atualizações de software Android funcionam, é possível que a versão inicial do Android 11 para o seu dispositivo específico não seja afetada por esta mudança. Essa mudança só foi introduzida nos telefones Pixel com a atualização de dezembro de 2020, que traz o número de compilação RQ1A/D dependendo do modelo. No entanto, como esta é uma mudança no nível da plataforma mesclada ao Android Open Source Project (AOSP) como parte do a versão "R QPR1" (como é conhecida internamente), esperamos que outros telefones Android eventualmente apresentem este mudar.
Quais são algumas soluções para este problema?
O primeiro passo nesta situação é perceber que não há muita coisa que o usuário possa fazer em seu dispositivo. Essa mudança não pode ser evitada, a menos que o usuário opte por não atualizar seu dispositivo – mas isso potencialmente abre uma série de outros problemas, por isso não é recomendado. Portanto, é imperativo comunicar esse problema ao administrador da rede WiFi afetada.
O Google recomenda que os administradores de rede instruam os usuários sobre como instalar um certificado CA raiz ou usar um armazenamento confiável do sistema como um navegador e, além disso, instruí-los sobre como configurar o domínio do servidor nome. Isso permitirá que o sistema operacional autentique o servidor com segurança, mas exige que o usuário execute mais algumas etapas ao adicionar uma rede WiFi. Alternativamente, o Google diz que os administradores de rede podem criar um aplicativo que use API de sugestão de WiFi do Android para configurar automaticamente a rede para o usuário. Para facilitar ainda mais as coisas para os usuários, um administrador de rede pode usar o Passpoint — um protocolo WiFi que é compatível com todos os dispositivos com Android 11 — e orientar o usuário a provisionar seu dispositivo, permitindo que ele se reconecte automaticamente sempre que estiver próximo à rede. Como nenhuma dessas soluções exige que o usuário atualize qualquer software ou hardware, ele pode continuar usando o mesmo dispositivo que já possui.
Na prática, porém, levará algum tempo para que as empresas e outras instituições adotem estas soluções. Isso porque eles precisam estar cientes dessa mudança em primeiro lugar, que reconhecidamente não foi bem comunicada aos usuários. Muitos administradores de rede estive de olho nessas mudanças há meses, mas também há muitos que podem não saber. Se você é um administrador de rede e busca mais informações sobre o que está mudando, saiba mais neste artigo em SeguroW2.