Posodobitev za Android 11 bo prekinila povezovanje z določenimi podjetniškimi omrežji WiFi. Evo, zakaj in kaj lahko storite, da to popravite.
Če imate Google Pixel in ste posodobili na zadnjo varnostno posodobitev iz decembra 2020, ste morda ugotovili, da se ne morete povezati z določenimi podjetniškimi omrežji WiFi. Če je temu tako, vedite, da niste sami. To ni napaka, temveč namerna sprememba, ki jo je Google naredil v Androidu 11 in je slučajno prisotna v gradnji, ki je bila decembra potisnjena v telefone Pixel. Pričakuje se, da bodo vsi telefoni Android, ki bodo prejeli posodobitev na Android 11, sčasoma imeli to spremembo*, kar pomeni v bližnji prihodnosti bomo videli veliko jeznih pritožb uporabnikov, ki ne morejo dodati svojega podjetja WiFi omrežje. Tukaj je tisto, kar morate vedeti o tem, zakaj je Google izvedel spremembo in kaj lahko storite glede tega.
Zakaj v sistemu Android 11 ne morem dodati svojega poslovnega omrežja WiFi?
Težava, s katero se bodo srečali številni uporabniki po posodobitvi na Android 11*, je, da je bila možnost »Ne preverjaj« pod spustnim menijem »CA potrdilo« odstranjena. Ta možnost se je prej pojavila pri dodajanju novega omrežja WiFi z varnostjo WPA2-Enterprise.
Zakaj je bila ta možnost odstranjena? Po mnenju Googla je varnostno tveganje, če uporabniki izberejo možnost »ne potrdi«, saj odpira možnost uhajanja uporabniških poverilnic. Na primer, če želi uporabnik opravljati spletno bančništvo, svoj brskalnik usmeri na znano ime domene v lasti njegove banke (npr. www.bankofamerica.com). Če uporabnik opazi, da je kliknil povezavo in je njegov brskalnik naložil spletno stran z napačne domene, potem bo seveda okleval pri posredovanju podatkov o svojem bančnem računu. Toda poleg tega, kako uporabnik ve, da je strežnik, na katerega se povezuje njegov brskalnik, isti, s katerim se povezujejo vsi ostali? Z drugimi besedami, kako nekdo ve, da bančna spletna stran, ki jo vidi, ni le lažna različica, ki jo je vnesla zlonamerna tretja oseba, ki je pridobila dostop do omrežja? Spletni brskalniki poskrbijo, da se to ne zgodi, tako da preverijo potrdilo strežnika, ko pa uporabnik preklopi možnost »ne potrdi" pri povezovanju z njihovim poslovnim omrežjem WiFi preprečijo, da bi naprava izdala kakršno koli potrdilo validacija. Če napadalec izvede napad "človek v sredini" in prevzame nadzor nad omrežjem, lahko odjemalske naprave usmeri na nelegitimne strežnike v lasti napadalca.
Omrežni skrbniki so bili leta opozorjeni na to potencialno varnostno tveganje, vendar je še vedno veliko podjetij, univerze, šole, vladne organizacije in druge ustanove, ki so konfigurirale svoje omrežne profile negotovo. V prihodnje so varnostne zahteve, ki jih je WiFi Alliance sprejela za specifikacijo WPA3, zahtevale to spremembo, vendar kot vsi vemo, je veliko organizacij in vlad počasnih pri nadgradnji stvari in so ponavadi ohlapni, ko gre za varnost. Nekatere organizacije – čeprav se zavedajo povezanih tveganj – še vedno priporočajo uporabnikom, da onemogočijo preverjanje potrdila, ko se povezujejo z njihovim omrežjem WiFi.
Lahko traja leta, preden bodo naprave in usmerjevalniki, ki podpirajo WPA3, postali razširjeni, zato Google dela velik korak prav zdaj, da zagotovite, da se uporabniki ne morejo več izpostavljati tveganjem preskoka strežniškega potrdila validacija. S to spremembo opozarjajo omrežne skrbnike, ki uporabnike še naprej nevarno povezujejo z njihovim podjetjem WiFi. Upajmo, da se bo dovolj uporabnikov pritožilo svojemu skrbniku omrežja, da ne morejo dodati svojega poslovnega omrežja WiFi po navodilih, kar jih bo pozvalo k spremembam.
*Zaradi načina delovanja posodobitev programske opreme Android je možno, da ta sprememba ne bo vplivala na prvotno izdajo Androida 11 za vašo določeno napravo. Ta sprememba je bila uvedena samo za telefone Pixel s posodobitvijo iz decembra 2020, ki nosi številko gradnje RQ1A/D, odvisno od modela. Ker pa je to sprememba na ravni platforme, združena z odprtokodnim projektom Android (AOSP) kot del zgradba "R QPR1" (kot je interno znana), pričakujemo, da bodo drugi telefoni Android sčasoma imeli to funkcijo sprememba.
Kakšne so rešitve za ta problem?
Prvi korak v tej situaciji je zavedanje, da uporabnik na svoji napravi ne more narediti prav veliko. Tej spremembi se ni mogoče izogniti, razen če se uporabnik odloči, da ne bo posodobil svoje naprave - vendar to potencialno odpre celo vrsto drugih težav, zato ni priporočljivo. Zato je nujno, da to težavo sporočite omrežnemu skrbniku prizadetega omrežja WiFi.
Google priporoča, da omrežni skrbniki poučijo uporabnike, kako namestiti korensko potrdilo CA ali uporabiti a shranjujte sistem zaupanja kot brskalnik, poleg tega pa jih poučite, kako naj konfigurirajo domeno strežnika ime. S tem boste operacijskemu sistemu omogočili varno preverjanje pristnosti strežnika, vendar od uporabnika zahteva, da naredi še nekaj korakov pri dodajanju omrežja WiFi. Druga možnost je, da Google pravi, da lahko omrežni skrbniki ustvarijo aplikacijo, ki uporablja Androidov API za predloge WiFi za samodejno konfiguracijo omrežja za uporabnika. Da bi uporabnikom stvari še olajšali, lahko omrežni skrbnik uporabi Passpoint – protokol WiFi, ki je podprto v vseh napravah s sistemom Android 11 — in vodi uporabnika, da pripravi svojo napravo, kar ji omogoči samodejno ponovno povezavo, kadar koli je blizu omrežja. Ker nobena od teh rešitev od uporabnika ne zahteva posodobitve programske ali strojne opreme, lahko še naprej uporablja isto napravo, ki jo že ima.
Praktično gledano pa bo trajalo nekaj časa, da bodo podjetja in druge institucije sprejele te rešitve. To je zato, ker jih je treba najprej seznaniti s to spremembo, ki resda ni bila tako dobro obveščena uporabnikom. Veliko omrežnih skrbnikov opazovali te spremembe več mesecev, veliko pa je tudi tistih, ki se morda ne zavedajo. Če ste omrežni skrbnik in iščete več informacij o tem, kaj se spreminja, lahko izveste več v tem članku SecureW2.