If-Koubou

Каква е сделката с устойчивата "мрежа може да бъде наблюдавана" на Android?

Каква е сделката с устойчивата "мрежа може да бъде наблюдавана" на Android? (Как да)

Издаването на Android 4.4 KitKat доведе до широк спектър от подобрения, включващи подобрена защита. Докато сигурността може да е по-строга, съобщенията все още могат да бъдат малко загадъчни. Какво точно означава предстоящото предупреждение "Мрежата може да бъде наблюдавана", ако имате притеснения и какво можете да направите, за да се отървете от нея?

Уважаеми Как да Geek,

Наскоро си купих нов телефон с Android и имаше ново предупредително съобщение, което малко ме изкривява. Тя никога не се появи на стария ми Android телефон и сега тя се появява на всеки няколко дни или когато рестартирам телефона. Съобщението, което мига в лентата на състоянието и след това се появява в менюто за известяване, е "Мрежата може да бъде наблюдавана", а след това, ако кликна върху предупредителния клавиш в менюто за известяване, тя ме отвежда до системно меню с надпис "Trusted credentials, "С два раздела. Едната е обозначена като "система", а другата е обозначена като "потребител". В раздела "Система" има тонове от елементи, а само в раздела "Потребител". Какво е странно, че един от елементите, изброени в потребителския раздел, изглежда като името на рутера "netgear".

Нямам представа коя от тези неща е или защо Android ми казва, че моята мрежа може да бъде наблюдавана. Трябва ли да бъда толкова измъчван от това послание, както и аз, и какво мога да направя, за да го махна? Прикачих няколко екранни снимки, в случай че съм свършил лоша работа, описваща проблема.

На Ваше разположение,

Paranoid Android

Този вид ситуация е точно причината, поради която не бяхме особено привързани към въвеждането на обработка на идентификационни данни в Android 4.4. Сърцето на Google беше на правилното място, но начинът, по който актуализацията го обработва (и предупреждава потребителя), е най-лоша и неразбираема (за непосветения краен потребител) в най-лошия случай. Нека да разгледаме какво предупредително съобщение е дори и какво можете да направите с него.

Източникът на предупреждението

Първо, нека обяснимзащо получавате това съобщение за грешка, тъй като Android дава до нула полезна обратна връзка в това отношение. Вашият телефон поддържа списък с надеждни и сигурни сертификати за сигурност. Този дълъг списък с вписвания в "системата", който сте намерили в менюто "Надеждни пълномощия", представлява по същество само голям стар бял списък на одобрените емитенти на сертификати за сигурност, които Google предварително е включил вашия телефон с Android. По същество телефонът ви казва "О, добре, тези хора са достоверни, за да можем да се доверим на издадените от тях сертификати за сигурност".

Когато към телефона ви е добавен сертификат за защита (ръчно от вас, злонамерено от друг потребител или автоматично от някоя услуга или сайт, който използвате), и това ене издаден от един от тези предварително одобрени емитенти, тогава функцията за сигурност на Android се появи в действие с предупреждението "Мрежите могат да бъдат наблюдавани". Технически това е точно предупреждение: ако в устройството ви е инсталиран зловреден / компрометиран сертификат за сигурност, възможно е трафикът от устройството ви може да бъде наблюдаван при определени обстоятелства. Също така е възможно дадена фирма или доставчик на горещи точки да използват за тази цел собствени хардуерни сертификати (въпреки че обикновено мотивите им са по-добри).

За съжаление издаденото предупреждение е ненужно плашещо и не е ясно: ако не знаете каква е сделката с доверени пълномощия и сертификати за сигурност, тогава предупреждението може да бъде и в двоичен вид.

Сертификатът дори не трябва да бъде наистина злонамерен, за да задейства предупрежденията, но той просто трябва да бъде издаден / подписан от орган, който не е включен в списъка с надеждни "системи". Това означава, че ако сте подписали ваш собствен сертификат за някаква употреба (като например настройка на защитена връзка с вашия домашен сървър), тогава Android ще се оплаче. Това също означава, че ако фирмата ви подпише сертификатите си за вътрешна употреба и не плати за официално подписания сертификат, ще получите и предупреждение.

И накрая, и ние сме сигурни, че точно това, което се е случило във вашия случай, ако се свържете със защитена Wi-Fi мрежа, която използва сертификат за сигурност от емитент, който не е в доверения списък в телефона ви, ще получите грешката. Технически, както споменахме по-горе, фирмата може да използва самоподписания сертификат за злонамерени цели, но практически през повечето време, когато се сблъскате с този проблем, ще бъде причина 1) компанията не желае да плати таксите за публичен които използват за лични цели и 2) искат пълен контрол върху процеса на създаване и подписване на сертификати.

Ако искате да прочетете повече за техническата страна на предупреждението (както и за това как разстроен новата система за обработка на сертификати е направила повече от няколко души), можете да проверите тези теми за докладване на грешки с Android [1, 2] и тези две блог постове в GeekTaco [1, 2] обсъждане на проблема в дълбочина.

Трябва ли да се притеснявате?

Предупреждението е формулирано много сериозно и едва ли ви обвиняваме, че сте малко изморен. Но трябва ли да се притеснявате? В по-голямата част от случаите потребителите, които виждат тази грешка, не я виждат, защото някой е инсталирал зловреден сертификат на своята машина и те са в опасност. Най-типичната причина е тази, която описахме по-горе: компании, които използват самоподписани сертификати, които не са включени в директорията на доверените сертификати на системата, тъй като никога не са издадени от оторизиран емитент.

Предвид вероятността някой, който използва злонамерен сертификат срещу вас, да бъде нисък и вероятността сертификатът да причини предупреждение, че не е злонамерен сертификат, който просто не е създаден от публично сертифициран орган за сертифициране, не е необходимо да се паникьосвате.

Това каза, че няма причина да се съхраняват неизвестни сертификати наоколо и няма причина да издържате предупреждения, които не важат за вашата ситуация. Нека да разгледаме какво можете да направите и в двата сценария.

Какво можеш да направиш?

Превъзходното мнозинство от сертификати от легитимни източници трябва да бъдат правилно подписани и проверени. В редките случаи, в които имате неподписана от валиден сертификат (например, че сте го създали сами или вашата фирма го използва за вътрешни мрежи), вие или бихте знаели за произхода на сертификата, защото сте имали ръка в това, или разговор с ИТ хората трябва да изчистят нещата.

Така че, ако не използвате Android в корпоративна среда (където трябва да проверите с вашите ИТ момчета, за да видите каква е сделката с сертификата, защото може би е създадена) или сами сте създали сертификата, най-лесното решение е просто да натиснете и задръжте всички неизвестни сертификати, намиращи се в категорията "потребител" на категорията "доверени сертификати", и ги изтрийте (бутонът за премахване се намира в долната част на информационния панел). Колкото по-малко неидентифицирани свободни краища (особено в списъка с сертификати), толкова по-добре.

Ако имате легитимен сертификат, който изхвърля грешката, защото е в списъка "потребител" вместо "системния" списък, вие можете (по свое усмотрение и риск) ръчно да преместите сертификата от списъка с потребители / директорията към системен списък / директория. Това не е задача, която трябва да бъде предприета леко, затова, ако не сте напълно уверени, че сертификатът в списъка "потребител" е безопасен, понеже 1) сте го създали или 2) ИТ персонала във вашата компания е проверил, че това е един от техните сертификати , не трябва да се опитвате да се движите.

Ако сте уверени в сигурността и произхода на сертификата, инженерът и ентусиастът на Android Sam Hobbs има ясно написано ръководство за инструкции за ръчно преместване на вашите сертификати, а друг програмист и ентусиаст Felix Ableitner има приложение с отворен код, изпълняващо една и съща задача без работа с команден ред. Отново, освен ако нямате натискане (и добре разбраната) необходимост от сертификата, препоръчваме да не го направите.

Имате належащ технически въпрос? Изпратете ни имейл на [email protected] и ще направим всичко възможно, за да му отговорим.