Aké je riešenie pretrvávajúcej "siete s monitorovaním siete Android"?

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2023-12-17 10:59

Uvedenie Android 4.4 KitKat prinieslo široké spektrum vylepšení vrátane zvýšenej bezpečnosti. Zatiaľ čo bezpečnosť môže byť prísnejšia, správy môžu byť stále trochu tajomné. Čo presne znamená, že pretrvávajúce upozornenie "Network May Be monitored" znamená, ak máte záujem a čo môžete urobiť, aby ste sa ho zbavili?


Dear How-To Geek,







I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.







Sincerely,
Paranoid Android

Takáto situácia je presne dôvodom, prečo sme v aplikácii Android 4.4 neponúkli konkrétne implementáciu poverení. Srdce spoločnosti Google bolo na správnom mieste, ale spôsob, akým ju aktualizácia zvládla (a upozornil používateľa), je v najlepšom prípade neopodstatnená a znepokojujúca (v prípade neohláseného koncového používateľa) v najhoršom prípade. Poďme sa pozrieť na to, čo je varovná správa a čo s tým môžete urobiť.

Zdroj varovania

Po prvé, vysvetliteprečo dostanete toto chybové hlásenie, pretože Android poskytuje nulovú užitočnú spätnú väzbu v tomto ohľade. Telefón udržiava zoznam dôveryhodných bezpečnostných certifikátov a certifikátov. Tento dlhý zoznam položiek pod "systémom", ktorý ste našli v ponuke "Dôveryhodné informácie", je v podstate iba veľkým starým bielym zoznamom schválených vydavateľov bezpečnostných certifikátov, ktoré spoločnosť Google predbežne nasadila váš telefón s Androidom. V podstate váš telefón hovorí: "Och, dobre, títo ľudia sú dôveryhodní, takže môžeme dôverovať bezpečnostným certifikátom, ktoré vydali."

Keď je do telefónu pridaný bezpečnostný certifikát (či už ručne, zločinne iným používateľom alebo automaticky niektorou službou alebo webom, ktorý používate), je tonie vydaný jedným z týchto predbežne schválených emitentov, potom bezpečnostná funkcia systému Android začne fungovať s upozornením "Siete môžu byť monitorované." Technicky to je presné upozornenie: ak je na vašom zariadení nainštalovaný škodlivý / ohrozený bezpečnostný certifikát, je možné, že môže byť za určitých okolností sledovaná návštevnosť z vášho zariadenia. Je tiež možné, aby spoločnosť alebo poskytovateľ hotspot používali na tento účel vlastné vydané certifikáty na vlastnom hardvéri (aj keď ich motívy sú zvyčajne priaznivejšie).

Bohužiaľ vydané upozornenie je zbytočne desivé a je to nejasné: ak neviete, aké je riešenie s dôveryhodnými povereniami a bezpečnostnými certifikátmi, potom by varovanie mohlo byť aj v binárnom.

Certifikát nemusí byť ani skutočne škodlivý na spúšťanie upozornení, ale musí byť vydané / podpísané orgánom, ktorý nie je uvedený v zozname dôveryhodných "systémov". To znamená, že ak ste podpísali svoj vlastný certifikát na určité použitie (napríklad nastavenie zabezpečeného pripojenia k vášmu domovskému serveru), Android sa o to bude sťažovať. Znamená to tiež, že ak sa vaša spoločnosť sama podpíše svoje certifikáty na vlastné použitie a nezaplatí za oficiálne podpísaný certifikát, dostanete tiež varovanie.

Nakoniec a sme si celkom istí, že presne to, čo sa stalo vo vašom prípade, ak sa pripájate k zabezpečenej sieti Wi-Fi, ktorá používa bezpečnostný certifikát od emitenta, ktorý nie je na dôveryhodnom zozname v telefóne, dostať chybu. Technicky, ako sme uviedli vyššie, spoločnosť by mohla používať certifikát s vlastným podpisom na škodlivé účely, ale prakticky väčšinu času, keď narazíte na túto chybu, to bude spôsobené 1) spoločnosť nechce platiť poplatky za verejné ktoré používajú na súkromné účely a 2) chcú úplnú kontrolu nad procesom vytvárania a podpisovania certifikátov.

Ak sa chcete dozvedieť viac o technickej stránke varovania (ako aj o tom, aký rozrušený nový systém na spracovanie certifikátov priniesol viac ako niekoľko ľudí), môžete si pozrieť tieto vlákna s hlásením chýb Android [1, 2] a tieto dve blogové príspevky v spoločnosti GeekTaco [1, 2] o dôkladnej diskusii.

Mali by ste sa obávať?

Varovanie je formulované veľmi vážne a ťažko vás obviňujeme z toho, že sme trochu rozhnevali. Ale mali by ste sa skutočne obávať? Vo väčšine prípadov sa používatelia, ktorí vidia túto chybu, nevidia, pretože niekto na svojom počítači nainštaloval škodlivý certifikát a teraz sú v nebezpečenstve. Najčastejším dôvodom je ten, ktorý sme uviedli vyššie: firmy používajúce certifikáty s vlastným podpisom, ktoré nie sú uvedené v adresári systému dôveryhodných certifikátov, pretože ich nikdy nevydali autorizovaní emitenti.

Vzhľadom na pravdepodobnosť, že niekto používa škodlivý certifikát, ktorý je proti vám nízky a pravdepodobnosť, že certifikát spôsobí, že varovanie nebolo škodlivým certifikátom, ktorý nebol vytvorený verejne overeným certifikačným orgánom, nemusíte sa panikavať.

To znamená, že nie je dôvod uchovávať neznáme certifikáty a žiadny dôvod vydržať varovania, ktoré sa nevzťahujú na vašu situáciu. Poďme sa pozrieť na to, čo môžete urobiť v oboch scenároch.

Čo môžeš urobiť?

Veľká väčšina certifikátov z legitímnych zdrojov by mala byť riadne podpísaná a overená. V zriedkavých prípadoch, keď ste nepodpísali platný certifikát (napríklad ste ho vytvorili sami alebo vaša spoločnosť ich používa pre interné siete), budete si vedomí pôvodu certifikátu, pretože ste mali ruku v konaní alebo konverzáciu s IT ľudia by mali objasniť veci.

Takže ak nepoužívate systém Android v podnikovom prostredí (kde by ste sa mali poradiť s vašimi IT kluci, aby zistili, aký je obchod s certifikátom, pretože môže byť ten, ktorý vytvorili), alebo ste si sám vytvorili certifikát, najjednoduchším riešením je len stlačte a podržte akékoľvek neznáme certifikáty uvedené v kategórii "používateľ" kategórie "dôveryhodné certifikáty" a odstráňte ich (tlačidlo na odstránenie sa nachádza v spodnej časti informačného okna). Menej neidentifikované voľné konce (najmä v zozname certifikátov), tým lepšie.

Ak máte oprávnený certifikát, ktorý spôsobuje chybu, pretože je v zozname používateľov namiesto zoznamu systémov, môžete (podľa vlastného uváženia a rizika) manuálne presunúť certifikát zo zoznamu užívateľov / adresára do systémový zoznam / adresár. Nie je to úloha, ktorú by ste mali robiť ľahko, ak si nie ste úplne istí, že certifikát v zozname "užívateľ" je bezpečný, pretože buď 1) ste ho vytvorili, alebo 2) pracovníci IT vo vašej spoločnosti overili, že je to jeden z ich certifikátov, nemali by ste sa pokúšať o pohyb.

Ak ste presvedčení o bezpečnosti a pôvode certifikátu, inžinier a inžinier so systémom Android Sam Hobbs má jasne napísanú inštrukčnú príručku pre ručné presuny vašich certifikátov a ďalší programátor a nadšenec Felix Ableitner má open source aplikáciu, ktorá vykonáva rovnakú úlohu bez toho, práce s príkazovým riadkom. Opäť, ak nemáte naliehavú (a dobre pochopenú) potrebu certifikátu, odporučíme to.

Máte naliehavú technickú otázku? Napíšte nám email na adresu [email protected] a urobíme všetko pre to, aby sme vám odpovedali.