Aktualizácia systému Android 11 preruší pripojenie k určitým podnikovým sieťam WiFi. Tu je dôvod a čo môžete urobiť, aby ste to napravili.
Ak vlastníte Google Pixel a máte aktualizované na najnovšiu aktualizáciu zabezpečenia z decembra 2020, možno ste zistili, že sa nemôžete pripojiť k určitým podnikovým sieťam WiFi. Ak je to tak, potom vedzte, že nie ste sami. Toto nie je chyba, ale je to skôr zámerná zmena, ktorú spoločnosť Google vykonala v systéme Android 11 a ktorá sa náhodou objavila v zostave presunutej do telefónov Pixel v decembri. Očakáva sa, že všetky telefóny s Androidom, ktoré dostanú aktualizáciu na Android 11, budú mať túto zmenu*, tzn v blízkej budúcnosti budeme svedkami mnohých nahnevaných sťažností od používateľov, ktorí si nemôžu pridať svoje podnikové WiFi siete. Tu je to, čo potrebujete vedieť o tom, prečo spoločnosť Google vykonala zmenu a čo s tým môžete urobiť.
Prečo nemôžem pridať svoju podnikovú sieť WiFi v systéme Android 11?
Problém, s ktorým sa mnohí používatelia stretnú po aktualizácii na Android 11*, je, že možnosť „Neoveriť overenie“ v rozbaľovacej ponuke „Certifikát CA“ bola odstránená. Táto možnosť sa predtým objavila pri pridávaní novej siete WiFi so zabezpečením WPA2-Enterprise.
Prečo bola táto možnosť odstránená? Podľa spoločnosti Google, ak si používatelia vyberú možnosť „neoveriť“, predstavuje bezpečnostné riziko, pretože otvára možnosť úniku používateľských poverení. Napríklad, ak chce používateľ využívať online bankovníctvo, nasmeruje svoj prehliadač na známy názov domény, ktorý vlastní jeho banka (napr. www.bankofamerica.com). Ak si používateľ všimne, že klikol na odkaz a jeho prehliadač načítal webovú stránku z nesprávnej domény, potom bude samozrejme váhať s uvedením informácií o svojom bankovom účte. Ale okrem toho, ako používateľ vie, že server, ku ktorému sa pripája jeho prehliadač, je rovnaký, ku ktorému sa pripájajú všetci ostatní? Inými slovami, ako sa dá vedieť, že webová stránka bankovníctva, ktorú vidí, nie je len falošná verzia vložená škodlivou treťou stranou, ktorá získala prístup k sieti? Webové prehliadače zaistia, aby sa to nestalo, overením certifikátu servera, ale keď používateľ prepne overiť" pri pripájaní k ich podnikovej sieti WiFi bránia zariadeniu vykonať akýkoľvek certifikát validácia. Ak útočník vykoná útok typu man-in-the-middle a prevezme kontrolu nad sieťou, môže klientske zariadenia nasmerovať na nelegitímne servery vo vlastníctve útočníka.
Správcovia siete boli na toto potenciálne bezpečnostné riziko upozorňovaní už roky, no stále existuje veľa podnikov, univerzity, školy, vládne organizácie a ďalšie inštitúcie, ktoré si nakonfigurovali svoje sieťové profily neisto. V budúcnosti túto zmenu nariadili bezpečnostné požiadavky prijaté Alianciou WiFi pre špecifikáciu WPA3, ale ako všetci vieme, mnohé organizácie a vlády sú pomalé pri zlepšovaní vecí a majú tendenciu byť laxné, pokiaľ ide o bezpečnosť. Niektoré organizácie – aj keď vedia o príslušných rizikách – stále odporúčajú používateľom vypnúť overovanie certifikátov pri pripájaní k ich sieti WiFi.
Môže trvať roky, kým sa zariadenia a smerovače podporujúce WPA3 rozšíria, takže Google robí veľký krok práve teraz, aby sa zabezpečilo, že používatelia sa už nebudú môcť vystavovať riziku preskočenia certifikátu servera validácia. Touto zmenou upozorňujú správcov siete, ktorým sa používatelia naďalej neisto pripájajú k ich podnikovej sieti Wi-Fi. Dúfajme, že dostatok používateľov sa bude sťažovať svojmu správcovi siete, že nemôžu pridať svoju podnikovú sieť WiFi podľa pokynov, čo ich vyzve na vykonanie zmien.
*Vzhľadom na spôsob, akým fungujú aktualizácie softvéru systému Android, je možné, že počiatočné vydanie systému Android 11 pre vaše konkrétne zariadenie nebude touto zmenou ovplyvnené. Táto zmena bola zavedená do telefónov Pixel až s aktualizáciou z decembra 2020, ktorá nesie číslo zostavy RQ1A/D v závislosti od modelu. Keďže však ide o zmenu na úrovni platformy, zlúčenú do projektu Android Open Source Project (AOSP) ako súčasť zostava „R QPR1“ (ako je interne známa), očakávame, že to budú mať aj ostatné telefóny s Androidom zmeniť.
Aké sú niektoré riešenia tohto problému?
Prvým krokom v tejto situácii je uvedomiť si, že používateľ nemôže na svojom zariadení robiť veľa. Tejto zmene sa nedá vyhnúť, pokiaľ sa používateľ nerozhodne neaktualizovať svoje zariadenie – ale to potenciálne otvára celý rad ďalších problémov, takže sa to neodporúča. Preto je nevyhnutné oznámiť tento problém správcovi siete dotknutej siete WiFi.
Google odporúča, aby správcovia siete poučili používateľov o tom, ako nainštalovať koreňový certifikát CA alebo ako použiť a systémový dôveryhodný ukladací priestor ako prehliadač a okrem toho ich poučte o tom, ako nakonfigurovať doménu servera názov. Ak tak urobíte, umožní to OS bezpečne overiť server, ale vyžaduje to, aby používateľ pri pridávaní siete WiFi vykonal niekoľko ďalších krokov. Alternatívne Google hovorí, že správcovia siete môžu vytvoriť aplikáciu, ktorá používa Rozhranie API pre návrh WiFi pre Android na automatickú konfiguráciu siete pre používateľa. Aby to pre používateľov bolo ešte jednoduchšie, správca siete môže použiť Passpoint – protokol WiFi podporované na všetkých zariadeniach so systémom Android 11 — a viesť používateľa k poskytovaniu svojho zariadenia, čo mu umožní automaticky sa znova pripojiť vždy, keď je v blízkosti siete. Keďže žiadne z týchto riešení nevyžaduje, aby používateľ aktualizoval softvér alebo hardvér, môže pokračovať v používaní rovnakého zariadenia, ktoré už má.
Prakticky povedané, podnikom a iným inštitúciám potrvá, kým tieto riešenia prijmú. Je to preto, že si musia byť vedomí tejto zmeny v prvom rade, ktorá, pravdaže, nebola používateľom tak dobre oznámená. Mnoho správcov siete sledovali tieto zmeny mesiace, ale je aj veľa takých, ktorí o tom možno nevedia. Ak ste správcom siete a hľadáte viac informácií o tom, čo sa mení, viac sa môžete dozvedieť v tomto článku od SecureW2.