Ажурирање Андроид 11 ће прекинути повезивање са одређеним пословним ВиФи мрежама. Ево зашто и шта можете да урадите да то поправите.
Ако поседујете Гоогле Пикел и ажурирали сте до најновијег безбедносног ажурирања из децембра 2020, можда сте открили да не можете да се повежете на одређене пословне ВиФи мреже. Ако је то случај, знајте да нисте сами. Ово није грешка, већ намерна промена коју је Гоогле направио на Андроиду 11 која је случајно присутна у верзији која је гурнута на Пикел телефоне у децембру. Очекује се да ће сви Андроид телефони који ће добити ажурирање на Андроид 11 на крају имати ову промену*, што значи видећемо много љутитих притужби у блиској будућности од корисника који не могу да додају свој пословни ВиФи мреже. Ево шта треба да знате о томе зашто је Гоогле направио промену и шта можете да урадите поводом тога.
Зашто не могу да додам своју пословну ВиФи мрежу у Андроид 11?
Проблем са којим ће се многи корисници сусрести након ажурирања на Андроид 11* је тај што је опција „Не проверавај“ у падајућем менију „ЦА сертификат“ уклоњена. Ова опција се раније појавила приликом додавања нове ВиФи мреже са ВПА2-Ентерприсе безбедношћу.
Зашто је ова опција уклоњена? Према Гоогле-у, када корисници изаберу опцију „не потврдјуј“ представља безбедносни ризик јер отвара могућност цурења корисничких акредитива. На пример, ако корисник жели да се бави банкарством на мрежи, усмерава свој претраживач на познато име домена у власништву његове банке (нпр. ввв.банкофамерица.цом). Ако корисник примети да је кликнуо на везу и да је његов претраживач учитао веб страницу са погрешног домена, онда ће, наравно, оклевати да дају информације о свом банковном рачуну. Али поврх тога, како корисник зна да је сервер на који се повезује његов претраживач исти онај на који се повезују сви остали? Другим речима, како неко знати да банкарска веб локација коју виде није само лажна верзија коју је убризгала злонамерна трећа страна која је добила приступ мрежи? Веб прегледачи се уверавају да се то не деси тако што верификују сертификат сервера, али када корисник укључи „не валидате" приликом повезивања на своју Ви-Фи мрежу предузећа, они спречавају уређај да уради било какав сертификат валидација. Ако нападач изврши напад „човјек у средини“ и преузме контролу над мрежом, онда може усмјерити клијентске уређаје на нелегитимне сервере у власништву нападача.
Мрежни администратори су годинама упозоравани на овај потенцијални безбедносни ризик, али још увек постоји много предузећа, универзитете, школе, владине организације и друге институције које су конфигурисале своје мрежне профиле несигурно. Убудуће, безбедносни захтеви које је усвојила ВиФи алијанса за ВПА3 спецификацију захтевају ову промену, али као што сви знамо, многе организације и владе споро унапређују ствари и обично су опуштене када је у питању безбедност. Неке организације — чак и знајући све ризике — и даље препоручују корисницима да онемогуће валидацију сертификата када се повезују на своју ВиФи мрежу.
Могле би проћи године пре него што уређаји и рутери који подржавају ВПА3 постану широко распрострањени, тако да Гоогле предузима велики корак управо сада како бисмо осигурали да корисници више не могу да се излажу ризицима прескакања сертификата сервера валидација. Овом променом, они обавештавају мрежне администраторе који настављају да се корисници небезбедно повезују на Ви-Фи мреже предузећа. Надајмо се да ће се довољно корисника пожалити свом мрежном администратору да не могу да додају своју пословну ВиФи мрежу према упутствима, што ће их навести да унесу измене.
*Због начина на који ажурирања Андроид софтвера функционишу, могуће је да ова промена неће утицати на почетно издање Андроида 11 за ваш уређај. Ова промена је уведена само на Пикел телефоне са ажурирањем из децембра 2020, које носи број израде РК1А/Д у зависности од модела. Међутим, пошто је ово промена на нивоу платформе спојена са Андроид Опен Соурце Пројецт-ом (АОСП) као део "Р КПР1" буилд (као што је интерно познато), очекујемо да ће други Андроид телефони на крају имати ово променити.
Која су нека решења за овај проблем?
Први корак у овој ситуацији је да схватите да корисник не може много да уради на свом уређају. Ова промена се не може избећи осим ако корисник не одлучи да не ажурира свој уређај — али то потенцијално отвара читав низ других проблема, па се не препоручује. Стога је императив да се овај проблем саопшти мрежном администратору погођене ВиФи мреже.
Гоогле препоручује да мрежни администратори упуте кориснике како да инсталирају роот ЦА сертификат или користе а систем поверења складишти као прегледач, и поред тога, упути их како да конфигуришу домен сервера име. То ће омогућити ОС-у да безбедно аутентификује сервер, али то захтева од корисника да уради још неколико корака када додаје ВиФи мрежу. Алтернативно, Гоогле каже да мрежни администратори могу да направе апликацију која користи АПИ за ВиФи предлоге за Андроид да аутоматски конфигуришете мрежу за корисника. Да би ствари биле још лакше за кориснике, мрежни администратор може да користи Пасспоинт — ВиФи протокол подржано на свим уређајима који користе Андроид 11 — и водите корисника да обезбеди свој уређај, омогућавајући му да се аутоматски поново повеже кад год је у близини мреже. Пошто ниједно од ових решења не захтева од корисника да ажурира софтвер или хардвер, они могу да наставе да користе исти уређај који већ имају.
Практично, међутим, биће потребно неко време да предузећа и друге институције усвоје ова решења. То је зато што прво треба да буду упознати са овом променом, која додуше није била тако добро саопштена корисницима. Многи мрежни администратори посматрали ове промене месецима, али има и оних који можда нису свесни. Ако сте мрежни администратор који тражи више информација о томе шта се мења, можете сазнати више у овом чланку СецуреВ2.