Android 11-uppdateringen kommer att bryta anslutningen till vissa företags WiFi-nätverk. Här är varför och vad du kan göra för att fixa det.
Om du äger en Google Pixel och har uppdaterat till den senaste säkerhetsuppdateringen från december 2020kan du ha upptäckt att du inte kan ansluta till vissa företags WiFi-nätverk. Om så är fallet, vet då att du inte är ensam. Detta är inte en bugg utan snarare en avsiktlig förändring som Google gjorde till Android 11 som bara råkar vara närvarande i konstruktionen som skickades till Pixel-telefoner i december. Alla Android-telefoner som kommer att få en uppdatering till Android 11 förväntas så småningom få denna förändring*, vilket betyder vi kommer att se många arga klagomål inom en snar framtid från användare som inte kan lägga till sitt företags WiFi nätverk. Här är vad du behöver veta om varför Google gjorde ändringen och vad du kan göra åt det.
Varför kan jag inte lägga till mitt företags WiFi-nätverk i Android 11?
Problemet som många användare kommer att stöta på efter att de uppdaterat till Android 11* är att alternativet "Validera inte" under rullgardinsmenyn "CA-certifikat" har tagits bort. Det här alternativet visades tidigare när ett nytt WiFi-nätverk med WPA2-Enterprise-säkerhet lades till.
Varför togs det här alternativet bort? Enligt Google är det en säkerhetsrisk att användarna väljer alternativet "validera inte" eftersom det öppnar för möjligheten att läcka användaruppgifter. Till exempel, om en användare vill göra onlinebanker, pekar de sin webbläsare till det kända domännamnet som ägs av deras bank (t.ex. www.bankofamerica.com). Om användaren märker att de klickade på en länk och deras webbläsare har laddat en webbsida från fel domän, kommer de naturligtvis att vara tveksamma till att ge sina bankkontouppgifter. Men utöver det, hur vet användaren att servern som deras webbläsare ansluter till är samma som alla andra ansluter till? Med andra ord, hur vet man att bankwebbplatsen de ser inte bara är en falsk version injicerad av en illvillig tredje part som har fått tillgång till nätverket? Webbläsare ser till att detta inte händer genom att verifiera servercertifikatet, men när användaren växlar "gör inte validera" när de ansluter till företagets WiFi-nätverk, hindrar de enheten från att göra något certifikat godkännande. Om en angripare utför en man-i-mitten-attack och tar kontroll över nätverket, kan de peka klientenheter till olagliga servrar som ägs av angriparen.
Nätverksadministratörer har varnats för denna potentiella säkerhetsrisk i flera år, men det finns fortfarande många företag, universitet, skolor, statliga organisationer och andra institutioner som har konfigurerat sina nätverksprofiler osäkert. Framöver har säkerhetskraven som antagits av WiFi Alliance för WPA3-specifikationen tvingat denna förändring, men som vi alla vet är många organisationer och regeringar långsamma med att uppgradera saker och tenderar att vara slappa när det gäller säkerhet. Vissa organisationer – även om de känner till riskerna – rekommenderar fortfarande användare att inaktivera certifikatvalidering när de ansluter till sitt WiFi-nätverk.
Det kan ta år innan enheter och routrar som stöder WPA3 blir utbredda, så Google tar ett stort steg just nu för att säkerställa att användare inte längre kan utsätta sig för riskerna att hoppa över servercertifikat godkännande. Med den här ändringen kommer de att meddela nätverksadministratörer som fortsätter att ha användare som ansluter osäkert till deras företags WiFi. Förhoppningsvis kommer tillräckligt många användare att klaga till sin nätverksadministratör att de inte kan lägga till sitt företags WiFi-nätverk enligt instruktionerna, vilket uppmanar dem att göra ändringar.
*På grund av hur Android-programuppdateringar fungerar är det möjligt att den första versionen av Android 11 för just din enhet inte kommer att påverkas av denna förändring. Denna ändring introducerades endast för Pixel-telefoner med uppdateringen från december 2020, som har byggnummer RQ1A/D beroende på modell. Men eftersom detta är en förändring på plattformsnivå slås samman med Android Open Source Project (AOSP) som en del av "R QPR1"-bygget (som det är känt internt), vi förväntar oss att andra Android-telefoner så småningom kommer att ha detta förändra.
Vilka är några lösningar på detta problem?
Det första steget i den här situationen är att inse att det inte finns så mycket som användaren kan göra på sin enhet. Den här förändringen kan inte undvikas om inte användaren väljer att inte uppdatera sin enhet – men det kan potentiellt öppna upp en hel mängd andra problem, så det rekommenderas inte. Därför är det absolut nödvändigt att kommunicera detta problem till nätverksadministratören för det berörda WiFi-nätverket.
Google rekommenderar att nätverksadministratörer instruerar användare om hur man installerar ett rot-CA-certifikat eller använder ett system trust store som en webbläsare, och dessutom instruera dem om hur man konfigurerar serverdomänen namn. Om du gör det kommer operativsystemet att kunna autentisera servern på ett säkert sätt, men det kräver att användaren gör några fler steg när han lägger till ett WiFi-nätverk. Alternativt säger Google att nätverksadministratörer kan skapa en app som använder Androids API för WiFi-förslag för att automatiskt konfigurera nätverket för användaren. För att göra saker ännu enklare för användarna kan en nätverksadministratör använda Passpoint – alltså ett WiFi-protokoll stöds på alla enheter som kör Android 11 — och vägleda användaren att tillhandahålla sin enhet, så att den automatiskt kan anslutas igen när den är nära nätverket. Eftersom ingen av dessa lösningar kräver att användaren uppdaterar någon mjukvara eller hårdvara kan de fortsätta använda samma enhet som de redan har.
Men i praktiken kommer det att ta lite tid för företag och andra institutioner att anta dessa lösningar. Det beror på att de måste göras medvetna om denna förändring i första hand, som visserligen inte riktigt har kommunicerats till användarna så bra. Många nätverksadministratörer har sett dessa förändringar i månader, men det finns också många som kanske är omedvetna. Om du är en nätverksadministratör och söker mer information om vad som förändras kan du lära dig mer i den här artikeln från Säker W2.