Обновление Android 11 прекратит подключение к некоторым корпоративным сетям Wi-Fi. Вот почему и что вы можете сделать, чтобы это исправить.
Если у вас есть Google Pixel и вы обновили до последнего обновления безопасности от декабря 2020 г., возможно, вы обнаружили, что не можете подключиться к определенным корпоративным сетям Wi-Fi. Если это так, то знайте, что вы не одиноки. Это не ошибка, а скорее преднамеренное изменение, внесенное Google в Android 11, которое случайно присутствует в сборке, выпущенной для телефонов Pixel в декабре. Ожидается, что все телефоны Android, которые получат обновление до Android 11, в конечном итоге получат это изменение*, то есть в ближайшем будущем мы увидим много гневных жалоб от пользователей, которые не могут добавить свой корпоративный Wi-Fi. сеть. Вот что вам нужно знать о том, почему Google внес изменения и что вы можете с этим поделать.
Почему я не могу добавить свою корпоративную сеть Wi-Fi в Android 11?
Проблема, с которой многие пользователи столкнутся после обновления до Android 11*, заключается в том, что опция «Не проверять» в раскрывающемся списке «Сертификат CA» была удалена. Ранее эта опция появлялась при добавлении новой сети Wi-Fi с безопасностью WPA2-Enterprise.
Почему эту опцию удалили? По мнению Google, выбор пользователями опции «не проверять» представляет собой угрозу безопасности, поскольку открывает возможность утечки учетных данных пользователя. Например, если пользователь хочет воспользоваться онлайн-банкингом, он указывает в своем браузере известное доменное имя, принадлежащее его банку (например, www.bankofamerica.com). Если пользователь заметит, что он щелкнул ссылку, а его браузер загрузил веб-страницу из неправильного домена, он, конечно, не решится предоставить информацию о своем банковском счете. Но кроме того, как пользователь узнает, что сервер, к которому подключается его браузер, тот же, к которому подключаются все остальные? Другими словами, как можно узнать, что банковский веб-сайт, который они просматривают, не является просто поддельной версией, внедренной злонамеренной третьей стороной, получившей доступ к сети? Веб-браузеры гарантируют, что этого не произойдет, проверяя сертификат сервера, но когда пользователь переключает параметр «не проверить» при подключении к корпоративной сети Wi-Fi, они не позволяют устройству выполнять какие-либо сертификаты. Проверка. Если злоумышленник выполняет атаку «человек посередине» и получает контроль над сетью, он может направить клиентские устройства на незаконные серверы, принадлежащие злоумышленнику.
Сетевые администраторы были предупреждены об этой потенциальной угрозе безопасности в течение многих лет, но существует еще много предприятий, университеты, школы, правительственные организации и другие учреждения, настроившие свои сетевые профили неуверенно. В дальнейшем это изменение потребовало требований безопасности, принятых Альянсом WiFi для спецификации WPA3. но, как мы все знаем, многие организации и правительства медленно модернизируют вещи и склонны проявлять слабость, когда дело доходит до безопасность. Некоторые организации, даже зная о связанных с этим рисках, по-прежнему рекомендуют пользователям отключать проверку сертификатов при подключении к сети Wi-Fi.
Могут пройти годы, прежде чем устройства и маршрутизаторы, поддерживающие WPA3, получат широкое распространение, поэтому Google делает большой шаг. прямо сейчас, чтобы гарантировать, что пользователи больше не смогут подвергать себя риску пропуска сертификата сервера. Проверка. Этим изменением они предупреждают сетевых администраторов, которые по-прежнему заставляют пользователей небезопасно подключаться к их корпоративному Wi-Fi. Будем надеяться, что достаточное количество пользователей пожалуются своему сетевому администратору, что они не могут добавить свою корпоративную сеть Wi-Fi в соответствии с инструкциями, что побудит их внести изменения.
*Из-за особенностей работы обновлений программного обеспечения Android это изменение не повлияет на первоначальную версию Android 11 для вашего конкретного устройства. Это изменение было введено только в телефоны Pixel с обновлением от декабря 2020 года, которое имеет номер сборки RQ1A/D в зависимости от модели. Однако, поскольку это изменение уровня платформы объединено с проектом Android с открытым исходным кодом (AOSP) как часть сборка «R QPR1» (как она известна внутри компании), мы ожидаем, что другие телефоны Android в конечном итоге будут иметь эту функцию. изменять.
Каковы некоторые решения этой проблемы?
Первый шаг в этой ситуации — осознать, что пользователь мало что может сделать на своем устройстве. Этого изменения нельзя избежать, если только пользователь не решит не обновлять свое устройство, но это потенциально открывает целый ряд других проблем, поэтому не рекомендуется. Таким образом, необходимо сообщить об этой проблеме сетевому администратору затронутой сети Wi-Fi.
Google рекомендует сетевым администраторам инструктировать пользователей о том, как установить корневой сертификат CA или использовать системное хранилище доверенных сертификатов, такое как браузер, и, кроме того, проинструктируйте их о том, как настроить домен сервера. имя. Это позволит ОС безопасно аутентифицировать сервер, но потребует от пользователя выполнить еще несколько шагов при добавлении сети Wi-Fi. В качестве альтернативы Google утверждает, что сетевые администраторы могут создать приложение, использующее API предложений WiFi для Android для автоматической настройки сети для пользователя. Чтобы еще больше упростить задачу пользователям, сетевой администратор может использовать Passpoint — протокол Wi-Fi, который поддерживается на всех устройствах под управлением Android 11 - и помочь пользователю подготовить свое устройство, позволяя ему автоматически повторно подключаться всякий раз, когда оно оказывается рядом с сетью. Поскольку ни одно из этих решений не требует от пользователя обновления какого-либо программного или аппаратного обеспечения, он может продолжать использовать то же устройство, которое у него уже есть.
Однако на практике предприятиям и другим учреждениям потребуется некоторое время, чтобы принять эти решения. Это потому, что их в первую очередь необходимо проинформировать об этом изменении, о котором, по общему признанию, пользователи не были так хорошо доведены до сведения. Многие сетевые администраторы наблюдал за этими изменениями в течение нескольких месяцев, но есть также многие, кто может не знать. Если вы являетесь сетевым администратором и хотите получить дополнительную информацию о том, что меняется, вы можете узнать больше в этой статье на сайте SecureW2.