Główna » jak » Co to jest umowa z trwałym ostrzeżeniem Sieć może być monitorowana systemu Android?

    Co to jest umowa z trwałym ostrzeżeniem Sieć może być monitorowana systemu Android?

    Wydanie Androida KitKat 4.4 przyniosło szeroką gamę ulepszeń obejmujących zwiększone bezpieczeństwo. Podczas gdy zabezpieczenia mogą być ciaśniejsze, wiadomości mogą być nadal nieco zagadkowe. Co dokładnie oznacza trwałe ostrzeżenie "Sieć może być monitorowana", jeśli masz wątpliwości i co możesz zrobić, aby się go pozbyć??

    Drogi How-To Geek,

    Niedawno kupiłem nowy telefon z Androidem i pojawił się nowy komunikat ostrzegawczy, który trochę mnie przeraża. Nigdy nie pojawił się na moim starym telefonie z Androidem, a teraz pojawia się co kilka dni lub po każdym uruchomieniu telefonu. Komunikat, który miga na pasku stanu, a następnie pojawia się w menu powiadomień, to "Sieć może być monitorowany", a następnie, jeśli kliknę skrót ostrzegawczy w menu powiadomień, przejdzie do menu systemu oznaczonego "Zaufane dane uwierzytelniające", "Z dwiema zakładkami. Jeden jest oznaczony jako "system", a drugi jest oznaczony jako "użytkownik". Na karcie "system" wymieniono mnóstwo elementów i tylko jedną w zakładce "użytkownik". Co dziwne, jeden element wymieniony na karcie użytkownika wygląda jak nazwa routera "netgear".

    Nie mam pojęcia, co to jest ani dlaczego Android podpowiada mi, że moja sieć może być monitorowana. Czy powinienem być tak wystraszony przez tę wiadomość, jak ja, i co mogę zrobić, aby odejść? Załączam kilka zrzutów ekranu w przypadku, gdy zrobiłem słabą pracę opisując problem.

    Z poważaniem,

    Paranoid Android

    Taka właśnie sytuacja sprawiła, że ​​nie byliśmy szczególnie zainteresowani implementacją obsługi poświadczeń w systemie Android 4.4. Serce Google'a było we właściwym miejscu, ale sposób, w jaki aktualizacja go obsłużyła (i ostrzegł użytkownika) jest w najlepszym wypadku nie najlepszy, a niepokojący (dla niewtajemniczonego użytkownika końcowego). Przyjrzyjmy się, czym jest komunikat ostrzegawczy i co możesz z tym zrobić.

    Źródło ostrzeżenia

    Najpierw wyjaśnijmy czemu otrzymujesz ten komunikat o błędzie, ponieważ Android daje zero użytecznych informacji zwrotnych w tym zakresie. Telefon zachowuje listę zaufanych i dostarczonych przez użytkownika certyfikatów bezpieczeństwa. Taka długa lista wpisów pod "systemem", który znalazłeś w menu "Zaufane referencje", jest po prostu dużą starą białą listą zatwierdzonych wystawców certyfikatów bezpieczeństwa, którą Google wstępnie przygotował na Twój telefon z Androidem. Zasadniczo twój telefon mówi: "Och, ok, ci ludzie są godni zaufania, więc możemy ufać wystawionym przez nich certyfikatom bezpieczeństwa."

    Po dodaniu certyfikatu bezpieczeństwa do telefonu (ręcznie przez ciebie, złośliwie przez innego użytkownika lub automatycznie przez jakąś usługę lub witrynę, z której korzystasz) i nie wydany przez jednego z tych wstępnie zatwierdzonych wystawców, włącza się funkcja bezpieczeństwa Androida z ostrzeżeniem "Sieci mogą być monitorowane". Z technicznego punktu widzenia jest to dokładne ostrzeżenie: jeśli na urządzeniu jest zainstalowany złośliwy / naruszony certyfikat bezpieczeństwa, możliwe, że ruch z Twojego urządzenia może być monitorowany w określonych okolicznościach. Możliwe jest również, że firma lub dostawca hotspotów używa do tego celu samodzielnie wydanych certyfikatów na swoim sprzęcie (chociaż zazwyczaj ich motywy są łagodniejsze).

    Niestety wydane ostrzeżenie jest niepotrzebnie przerażające i nie jest jasne: jeśli nie wiesz, co to jest umowa z zaufanymi danymi uwierzytelniającymi i certyfikatami bezpieczeństwa, to ostrzeżenie może być również binarne.

    Certyfikat nie musi być naprawdę złośliwy, aby uruchamiać ostrzeżenia, ale musi zostać wydany / podpisany przez organ, który nie jest wymieniony na zaufanej liście "systemu". Oznacza to, że jeśli podpisałeś swój własny certyfikat do jakiegoś wykorzystania (np. Konfigurując bezpieczne połączenie z domowym serwerem), to Android złoży na nie skargę. Oznacza to również, że jeśli Twoja firma sama podpisuje certyfikaty na użytek własny i nie płaci za podpisany oficjalnie certyfikat, otrzymasz również ostrzeżenie.

    Na koniec, jesteśmy prawie pewni, że to właśnie stało się w twoim przypadku, jeśli połączysz się z bezpieczną siecią Wi-Fi, która używa certyfikatu bezpieczeństwa od wystawcy, który nie znajduje się na zaufanej liście w twoim telefonie, otrzymasz błąd. Z technicznego punktu widzenia, jak wspomniano powyżej, firma może używać samopodpisanego certyfikatu w złych zamiarach, ale praktycznie przez większość czasu, w którym pojawia się ten problem, będzie to przyczyną 1) firma nie chce płacić opłat za publiczne certyfikat, którego używają do celów prywatnych, oraz 2) chcą całkowitej kontroli nad procesem tworzenia i podpisywania certyfikatu.

    Jeśli chcesz dowiedzieć się więcej o technicznej stronie ostrzeżenia (a także o tym, jak bardzo nowy system do obsługi certyfikatów sprawił, że zrobiło więcej niż kilka osób), możesz sprawdzić te wątki raportów Androida [1, 2] i tych dwóch. wpisy na blogu w GeekTaco [1, 2] szczegółowo omawiające problem.

    Powinieneś się martwić?

    Ostrzeżenie jest bardzo poważnie sformułowane i nie możemy winić cię za bycie trochę przerażonym. Ale czy naprawdę musisz się martwić? W większości przypadków użytkownicy widzący ten błąd nie widzą go, ponieważ ktoś zainstalował złośliwy certyfikat na swoim komputerze i teraz jest w niebezpieczeństwie. Najbardziej typowy powód to ten, który opisaliśmy powyżej: firmy korzystające z certyfikatów samopodpisanych, które nie są wymienione w katalogu zaufanych certyfikatów systemu, ponieważ nigdy nie zostały wystawione przez autoryzowanego wystawcę.

    Biorąc pod uwagę prawdopodobieństwo, że ktoś użyje złośliwego certyfikatu, jeśli jesteś niski, a prawdopodobieństwo, że certyfikat spowoduje, że ostrzeżenie nie jest złośliwym certyfikatem, które nie zostało utworzone przez publicznie zweryfikowany urząd certyfikacji, nie musisz wpadać w panikę.

    Powiedział, że nie ma powodu, aby przechowywać nieznane certyfikaty i nie ma powodu, aby znosić ostrzeżenia, które nie odnoszą się do twojej sytuacji. Spójrzmy, co możesz zrobić w obu scenariuszach.

    Co możesz zrobić?

    Znakomita większość certyfikatów z legalnych źródeł powinna być odpowiednio podpisana i zweryfikowana. W rzadkich przypadkach, gdy masz niepodpisany certyfikat (np. Utworzyłeś go sam lub Twoja firma korzysta z niego w sieciach wewnętrznych), musisz wiedzieć o pochodzeniu certyfikatu, ponieważ miałeś rękę do zrobienia tego lub rozmowy z informatykami powinno wyjaśnić.

    Więc jeśli nie korzystasz z Androida w środowisku korporacyjnym (w którym powinieneś sprawdzić u swoich informatyków, aby zobaczyć, co to jest umowa z certyfikatem, ponieważ taki może być utworzony) lub sam stworzyłeś certyfikat, najprostszym rozwiązaniem jest naciśnij i przytrzymaj wszystkie nieznane certyfikaty znalezione w kategorii "użytkownik" kategorii "zaufane certyfikaty" i usuń je (przycisk usuwania znajduje się w dolnej części okienka informacyjnego). Im mniej niezidentyfikowane luźne końce (zwłaszcza na twojej liście certyfikatów) tym lepiej.

    Jeśli posiadasz legalny certyfikat, który zgłasza błąd, ponieważ znajduje się na liście "użytkownika" zamiast na liście "systemowej", możesz (według własnego uznania i ryzyka) ręcznie przenieść certyfikat z katalogu / katalogu użytkownika do katalog systemowy / katalog. Nie jest to łatwe zadanie, więc jeśli nie masz całkowitej pewności, że certyfikat na liście "użytkownika" jest bezpieczny, ponieważ 1) został utworzony lub 2) pracownicy IT w Twojej firmie potwierdzili, że jest to jeden z ich certyfikatów nie powinieneś próbować ruchu.

    Jeśli masz pewność co do bezpieczeństwa i pochodzenia certyfikatu, inżynier i entuzjasta Androida, Sam Hobbs, ma jasno napisany podręcznik do ręcznego przenoszenia certyfikatów, a inny programista i entuzjasta Felix Ableitner ma aplikację typu open source, która wykonuje to samo zadanie bez praca z wiersza poleceń. Ponownie, jeśli nie masz pilnego (i dobrze zrozumiałego) zapotrzebowania na certyfikat, zalecamy go odrzucić.


    Masz pytanie techniczne? Napisz do nas e-mail na adres [email protected], a my dołożymy wszelkich starań, aby na nie odpowiedzieć.