Оновлення Android 11 порушить підключення до певних корпоративних мереж WiFi. Ось чому та що ви можете зробити, щоб це виправити.
Якщо у вас є Google Pixel і ви оновили його до останнього оновлення безпеки від грудня 2020 р, можливо, ви виявили, що не можете підключитися до певних корпоративних мереж WiFi. Якщо це так, то знайте, що ви не самотні. Це не помилка, а скоріше навмисна зміна, внесена Google в Android 11, яка випадково присутня в збірці, яка була представлена на телефонах Pixel у грудні. Очікується, що всі телефони Android, які отримають оновлення до Android 11, з часом матимуть цю зміну*, тобто найближчим часом ми побачимо багато гнівних скарг від користувачів, які не можуть додати свій корпоративний WiFi мережі. Ось що вам потрібно знати про те, чому Google вніс зміни та що ви можете з цим зробити.
Чому я не можу додати корпоративну мережу WiFi в Android 11?
Проблема, з якою багато користувачів зіткнуться після оновлення до Android 11*, полягає в тому, що опцію «Не перевіряти» зі спадного меню «Сертифікат ЦС» видалено. Ця опція раніше з’являлася під час додавання нової мережі Wi-Fi із захистом WPA2-Enterprise.
Чому цей параметр було видалено? За словами Google, вибір користувачами опції «не перевіряти» є загрозою безпеці, оскільки це відкриває можливість витоку облікових даних користувача. Наприклад, якщо користувач хоче здійснювати онлайн-банкінг, він вказує свій браузер на відоме ім’я домену, що належить його банку (наприклад, www.bankofamerica.com). Якщо користувач помічає, що він натиснув посилання, а його браузер завантажив веб-сторінку з неправильного домену, тоді він, звичайно, вагатиметься надавати інформацію про свій банківський рахунок. Але, крім того, як користувач дізнається, що сервер, до якого підключається його браузер, є тим самим, до якого підключаються всі інші? Іншими словами, як дізнатися, що банківський веб-сайт, який вони бачать, не просто підроблена версія, впроваджена зловмисною третьою стороною, яка отримала доступ до мережі? Веб-браузери переконуються, що цього не відбувається, перевіряючи сертифікат сервера, але коли користувач перемикає «не перевірити" під час підключення до корпоративної мережі Wi-Fi, вони заважають пристрою виконувати будь-які сертифікати перевірка. Якщо зловмисник виконує атаку типу "людина посередині" та бере під контроль мережу, він може скерувати клієнтські пристрої на нелегітимні сервери, якими володіє зловмисник.
Мережевих адміністраторів попереджали про цей потенційний ризик безпеці протягом багатьох років, але все ще є багато підприємств, університети, школи, урядові організації та інші установи, які налаштували свої мережеві профілі невпевнено. Надалі вимоги безпеки, прийняті WiFi Alliance для специфікації WPA3, передбачили цю зміну, але, як ми всі знаємо, багато організацій та урядів повільно вдосконалюють речі та, як правило, недбало ставляться до безпеки. Деякі організації, навіть усвідомлюючи пов’язані з цим ризики, все ж рекомендують користувачам відключати перевірку сертифікатів під час підключення до мережі Wi-Fi.
Можуть пройти роки, перш ніж пристрої та маршрутизатори, що підтримують WPA3, стануть широко поширеними, тому Google робить великий крок прямо зараз, щоб гарантувати, що користувачі більше не можуть наражатися на ризик пропуску сертифіката сервера перевірка. Завдяки цій зміні вони попереджають мережевих адміністраторів, у яких користувачі продовжують небезпечно підключатися до корпоративної мережі WiFi. Сподіваємося, що достатньо користувачів поскаржиться своєму мережевому адміністратору, що вони не можуть додати корпоративну мережу WiFi згідно з інструкціями, що запропонує їм внести зміни.
*Через те, як працюють оновлення програмного забезпечення Android, можливо, ця зміна не вплине на початкову версію Android 11 для вашого конкретного пристрою. Цю зміну було введено лише для телефонів Pixel з оновленням від грудня 2020 року, яке має номер збірки RQ1A/D залежно від моделі. Однак, оскільки це зміни на рівні платформи, об’єднані з Android Open Source Project (AOSP) як частину збірка "R QPR1" (як вона відома всередині країни), ми очікуємо, що інші телефони Android зрештою матимуть це змінити.
Які існують способи вирішення цієї проблеми?
Першим кроком у цій ситуації є усвідомлення того, що користувач не так багато може робити на своєму пристрої. Цієї зміни неможливо уникнути, якщо користувач не вирішить оновлювати свій пристрій, але це потенційно може відкрити цілу низку інших проблем, тому це не рекомендується. Тому вкрай важливо повідомити про цю проблему мережевого адміністратора ураженої мережі WiFi.
Google рекомендує мережевим адміністраторам інструктувати користувачів, як установити кореневий сертифікат ЦС або використовувати a сховище довіри системи, як у браузері, а також надайте їм інструкції щодо налаштування домену сервера назва. Це дозволить ОС безпечно автентифікувати сервер, але це вимагає від користувача виконати ще кілька кроків під час додавання мережі WiFi. Крім того, Google каже, що мережеві адміністратори можуть створити програму, яка використовує API пропозицій Wi-Fi Android для автоматичного налаштування мережі для користувача. Щоб спростити роботу користувачів, адміністратор мережі може використовувати Passpoint — протокол WiFi підтримується на всіх пристроях під керуванням Android 11 — і допоможе користувачеві підготувати свій пристрій, дозволяючи йому автоматично повторно підключатися щоразу, коли він знаходиться поблизу мережі. Оскільки жодне з цих рішень не вимагає від користувача оновлення програмного чи апаратного забезпечення, він може продовжувати використовувати той самий пристрій, який у нього вже є.
На практиці, однак, підприємствам та іншим установам знадобиться деякий час, щоб прийняти ці рішення. Це тому, що вони повинні бути в курсі цієї зміни в першу чергу, про яку, правда, не дуже добре повідомили користувачів. Багато мережевих адмінів спостерігали за цими змінами протягом місяців, але є також багато тих, хто може не знати. Якщо ви мережевий адміністратор і шукаєте більше інформації про зміни, ви можете дізнатися більше в цій статті Безпечний W2.