Actualizarea Android 11 va întrerupe conectarea la anumite rețele WiFi de întreprindere. Iată de ce și ce puteți face pentru a o repara.
Dacă dețineți un Google Pixel și ați actualizat la cea mai recentă actualizare de securitate din decembrie 2020, este posibil să fi constatat că nu vă puteți conecta la anumite rețele WiFi de întreprindere. Dacă acesta este cazul, atunci știi că nu ești singur. Aceasta nu este o eroare, ci mai degrabă o schimbare intenționată pe care Google a făcut-o Android 11, care se întâmplă să fie prezentă în versiunea introdusă pe telefoanele Pixel în decembrie. Toate telefoanele Android care vor primi o actualizare la Android 11 sunt de așteptat să aibă în cele din urmă această schimbare*, adică vom vedea o mulțime de plângeri furioase în viitorul apropiat din partea utilizatorilor care nu își pot adăuga WiFi de întreprindere reţea. Iată ce trebuie să știți despre motivul pentru care Google a făcut schimbarea și ce puteți face în acest sens.
De ce nu pot adăuga rețeaua mea WiFi de întreprindere în Android 11?
Problema pe care o vor întâmpina mulți utilizatori după ce vor actualiza la Android 11* este că opțiunea „Nu validați” din meniul derulant „Certificat CA” a fost eliminată. Această opțiune a apărut anterior la adăugarea unei noi rețele WiFi cu securitate WPA2-Enterprise.
De ce a fost eliminată această opțiune? Potrivit Google, ca utilizatorii să selecteze opțiunea „nu validați” reprezintă un risc de securitate, deoarece deschide posibilitatea scurgerii acreditărilor utilizatorului. De exemplu, dacă un utilizator dorește să facă servicii bancare online, acesta își orientează browserul către numele de domeniu cunoscut deținut de banca sa (de exemplu, www.bankofamerica.com). Dacă utilizatorul observă că a făcut clic pe un link și browserul său a încărcat o pagină web de pe un domeniu greșit, atunci va ezita, desigur, să ofere informații despre contul său bancar. Dar, pe deasupra, de unde știe utilizatorul că serverul la care se conectează browserul său este același cu care se conectează toți ceilalți? Cu alte cuvinte, de unde știi că site-ul bancar pe care îl văd nu este doar o versiune falsă injectată de o terță parte rău intenționată care a obținut acces la rețea? Browserele web se asigură că acest lucru nu se întâmplă prin verificarea certificatului de server, dar când utilizatorul comută butonul „nu validate" atunci când se conectează la rețeaua WiFi de companie, ei împiedică dispozitivul să facă vreun certificat validare. Dacă un atacator efectuează un atac de tip „man-in-the-middle” și preia controlul rețelei, atunci poate îndrepta dispozitivele client către servere nelegitime deținute de atacator.
Administratorii de rețea au fost avertizați despre acest potențial risc de securitate de ani de zile, dar există încă multe întreprinderi, universități, școli, organizații guvernamentale și alte instituții care și-au configurat profilurile de rețea nesigur. În continuare, cerințele de securitate adoptate de WiFi Alliance pentru specificația WPA3 au impus această schimbare, dar, după cum știm cu toții, multe organizații și guverne sunt lente în a actualiza lucrurile și tind să fie laxe când vine vorba de Securitate. Unele organizații – chiar și cunoscând riscurile implicate – încă recomandă utilizatorilor să dezactiveze validarea certificatelor atunci când se conectează la rețeaua lor WiFi.
Ar putea dura ani înainte ca dispozitivele și routerele care acceptă WPA3 să devină răspândite, așa că Google face un pas mare chiar acum pentru a se asigura că utilizatorii nu se mai pot supune riscurilor de a omite certificatul de server validare. Odată cu această modificare, îi anunță pe administratorii de rețea care continuă să aibă utilizatorii să se conecteze în mod nesigur la WiFi-ul companiei lor. Sperăm că destui utilizatori se vor plânge administratorului de rețea că nu își pot adăuga rețeaua WiFi de întreprindere conform instrucțiunilor, determinându-i să facă modificări.
*Din cauza modului în care funcționează actualizările software Android, este posibil ca lansarea inițială a Android 11 pentru dispozitivul dvs. particular să nu fie afectată de această modificare. Această modificare a fost introdusă pe telefoanele Pixel doar cu actualizarea din decembrie 2020, care poartă numărul de versiune RQ1A/D, în funcție de model. Cu toate acestea, deoarece aceasta este o schimbare la nivel de platformă fuzionată cu Android Open Source Project (AOSP) ca parte a versiunea „R QPR1” (așa cum este cunoscută intern), ne așteptăm ca alte telefoane Android să prezinte în cele din urmă acest lucru Schimbare.
Care sunt unele soluții la această problemă?
Primul pas în această situație este să realizați că nu există multe lucruri pe care utilizatorul le poate face pe dispozitivul său. Această modificare nu poate fi evitată decât dacă utilizatorul alege să nu-și actualizeze dispozitivul - dar asta poate deschide o mulțime de alte probleme, așa că nu este recomandată. Prin urmare, este imperativ să comunicați această problemă administratorului de rețea al rețelei WiFi afectate.
Google recomandă administratorilor de rețea să instruiască utilizatorii despre cum să instaleze un certificat CA rădăcină sau să utilizeze un magazin de încredere de sistem ca un browser și, în plus, instruiți-i cum să configureze domeniul serverului Nume. Acest lucru va permite sistemului de operare să autentifice în siguranță serverul, dar necesită ca utilizatorul să mai facă câțiva pași atunci când adaugă o rețea WiFi. Alternativ, Google spune că administratorii de rețea pot crea o aplicație care utilizează API-ul pentru sugestii WiFi pentru Android pentru a configura automat rețeaua pentru utilizator. Pentru a face lucrurile și mai ușoare pentru utilizatori, un administrator de rețea poate folosi Passpoint - un protocol WiFi care este acceptat pe toate dispozitivele care rulează Android 11 — și ghidați utilizatorul să-și furnizeze dispozitivul, permițând ca acesta să se reconnecteze automat ori de câte ori se află în apropierea rețelei. Deoarece niciuna dintre aceste soluții nu necesită ca utilizatorul să actualizeze software sau hardware, acesta poate continua să folosească același dispozitiv pe care îl are deja.
Practic vorbind, totuși, va dura ceva timp pentru ca întreprinderile și alte instituții să adopte aceste soluții. Asta pentru că trebuie să fie informați cu privire la această schimbare în primul rând, care, desigur, nu a fost comunicată atât de bine utilizatorilor. Mulți administratori de rețea au urmărit aceste schimbări de luni de zile, dar sunt și mulți care ar putea să nu fie conștienți. Dacă sunteți administrator de rețea și căutați mai multe informații despre ceea ce se schimbă, puteți afla mai multe în acest articol de la SecureW2.