Какво се случва с постоянната “мрежа от Android, която може да бъде наблюдавана”?
Пускането на Android 4.4 KitKat донесе широка гама от подобрения, включващи повишена сигурност. Докато сигурността може да бъде по-строга, съобщенията все още могат да бъдат малко загадъчни. Какво точно означава постоянното предупреждение „Мрежата може да бъде наблюдавано“, ако се притеснявате, и какво можете да направите, за да се отървете от него?
Уважаеми сътрудници на Geek,
Наскоро си купих нов андроид телефон, и имаше това ново предупредително съобщение, което ме измъчваше малко. Той никога не се появи на стария ми телефон с Android и сега се появява на всеки няколко дни или когато рестартирам телефона. Съобщението, което мига в лентата на състоянието и след това се появява в менюто за уведомяване, е: „Мрежата може да бъде наблюдавана“, а след това, ако щракна върху предупредителния пряк път в менюто за уведомяване, ще ме отведе до системно меню с надпис „Доверени идентификационни данни, С два раздела. Единият е обозначен като „система”, а другият е обозначен като „потребител”. В табчето „system” има един тон, а само един в раздела „user”. Това, което е странно е, че единият от елементите, изброени в раздела „Потребител“, изглежда като име на рутер „netgear“.
Нямам представа какво е това нещо или защо Android ми казва, че моята мрежа може да бъде наблюдавана. Трябва ли да бъда толкова страшен от това послание, както и аз, и какво мога да направя, за да го накарам да си отиде? Прикачих няколко скрийншота в случай, че съм направил лоша работа, описваща проблема.
на Ваше разположение,
Параноидален Android
Това е точно причината, поради която не сме особено обичани при управлението на идентификационни данни в Android 4.4. Сърцето на Google беше на правилното място, но начинът, по който актуализацията го обработва (и предупреди потребителя), е в най-добрия случай нелегатен и в най-лошия неспокоен (за непосветения краен потребител). Нека да разгледаме какво е предупредителното съобщение и какво можете да направите.
Източникът на предупреждението
Първо, нека обясним защо Вие получавате това съобщение за грешка, тъй като Android дава до нула полезна обратна връзка в това отношение. Вашият телефон поддържа списък на надеждни и предоставени от потребителя сертификати за сигурност. Този дълъг списък от записи в „system“, който открихте в менюто „Trusted credentials“, е по същество просто един голям стар бял списък на одобрените издатели на сертификати за сигурност, с които Google предварително е заредил вашия Android телефон. По същество телефонът ви казва: "О, добре, тези хора са надеждни, така че можем да се доверяваме на сертификати за сигурност, издадени от тях."
Когато към телефона ви бъде добавен сертификат за сигурност (ръчно от вас, злонамерено от друг потребител или автоматично от някоя услуга или сайт, който използвате), и това е не издаден от някой от тези предварително одобрени издатели, тогава функцията за сигурност на Android въздейства с предупреждението „Мрежите могат да бъдат наблюдавани“. Технически това е точно предупреждение: ако на устройството ви е инсталиран злонамерен / компрометиран сертификат за сигурност, е възможно трафикът от вашето устройство може да се наблюдава при определени обстоятелства. Възможно е също така фирма или доставчик на горещи точки да използват самостоятелно издадени сертификати на собствения си хардуер за тази цел (въпреки че техните мотиви обикновено са по-благоприятни).
За съжаление издаденото предупреждение е излишно страшно и не е ясно: ако не знаете какво е сделката с надеждни идентификационни данни и сертификати за сигурност, тогава предупреждението може да е и двоично.
Сертификатът дори не трябва да е истински злонамерен, за да задейства предупрежденията, но трябва само да бъде издаден / подписан от орган, който не е в списъка на доверените „системни“. Това означава, че ако сте подписали свой собствен сертификат за някаква употреба (като например създаване на защитена връзка към домашния ви сървър), тогава Android ще се оплаче за това. Това означава също, че ако фирмата ви подпише своите сертификати за вътрешно ползване и не плаща официално подписан сертификат, ще получите и предупреждение.
И накрая, и ние сме сигурни, че точно това се случи във вашия случай, ако се свържете със защитена Wi-Fi мрежа, която използва сертификат за сигурност от издател, който не е в надеждния списък на телефона ви, получите грешката. Технически, както споменахме по-горе, компанията може да използва самоподписания сертификат за злонамерени цели, но на практика по-голямата част от времето, когато се сблъскате с този проблем, ще бъде причина 1) фирмата не иска да заплаща таксите за обществено ползване 2) искат пълен контрол върху процеса на създаване и подписване на сертификат.
Ако искате да прочетете повече за техническата страна на предупреждението (както и колко разстроена новата система за обработка на сертификати е направил повече от няколко души), можете да разгледате тези теми за докладване на грешки в Android [1, 2] и тези две блог постове в GeekTaco [1, 2] обсъждане на въпроса в дълбочина.
Ако се тревожите?
Предупреждението е формулирано много сериозно и едва ли ви обвиняваме, че сте малко побъркани. Но всъщност трябва ли да се притеснявате? В по-голямата част от случаите потребителите виждат тази грешка, тъй като някой е инсталирал злонамерен сертификат на своята машина и сега те са в опасност. Най-типичната причина е тази, която посочихме по-горе: компании, използващи самоподписани сертификати, които не са включени в системната директория на доверени сертификати, защото никога не са били издадени от оторизиран издател.
Като се има предвид вероятността някой да използва злонамерен сертификат срещу вас като нисък и вероятността сертификатът да е причина за предупреждение като не-злонамерен сертификат, който просто не е създаден от публично проверен орган за сертифициране, не е нужно да се паникьосвате.
Въпреки това, няма причина да се пазят непознати сертификати и няма причина да издържат предупреждения, които не се отнасят за вашата ситуация. Нека разгледаме какво можете да направите и в двата сценария.
Какво можеш да направиш?
По-голямата част от сертификатите от легитимни източници трябва да бъдат надлежно подписани и проверени. В редките случаи, когато притежавате неподписан от валиден сертификат (например, ако сте го създали сами или фирмата ви го използва за вътрешни мрежи), или сте наясно с произхода на сертификата, защото сте имали ръка да го направите или да проведете разговор с ИТ хората трябва да изяснят нещата.
Така че, освен ако не използвате Android в корпоративна среда (където трябва да проверите с вашите ИТ хора, за да видите каква е сделката със сертификата, защото може да е създаден от вас), или сте създали сертификата сами, най-лесното решение е натиснете и задръжте върху всички неизвестни сертификати, открити в категорията „потребител“ на категорията „доверени сертификати“ и ги изтрийте (бутонът за премахване се намира в долната част на информационния панел). Колкото по-малко неидентифицирани са свободните краища (особено в списъка на сертификатите), толкова по-добре.
Ако имате легитимен сертификат, който изхвърля грешката, защото е в списъка „потребител“ вместо в „системен“, можете (по ваша преценка и риск) ръчно да преместите сертификата от списъка с потребители / директорията до системен списък / директория. Това не е задача, която трябва да се изпълнява леко, така че ако не сте напълно уверени, че сертификатът в „потребителския“ списък е безопасен, защото или 1) сте го създали, или 2) ИТ персоналът във вашата компания потвърди, че това е един от техните сертификати. , не трябва да правите опит.
Ако сте уверени в сигурността и произхода на сертификата, инженерът и ентусиастът на Android Сам Хобс има ясно написано ръководство за ръчно преместване на вашите сертификати, а друг програмист и ентусиаст Феликс Аблейтнер има приложение с отворен код, което изпълнява същата задача без работа в командния ред. Отново, освен ако нямате нужда от сертификат, който да е отпечатан (и добре разбрани), препоръчваме срещу него.
Имате въпрос за технология? Застреляйте ни имейл на [email protected] и ние ще направим всичко възможно да му отговорим.