12Sep

Co je to dohoda s Persistentní sítí Android může být sledována?

click fraud protection

Vydání Android 4.4 KitKat přineslo široké spektrum vylepšení včetně zvýšené bezpečnosti. Zatímco zabezpečení může být přísnější, zprávy mohou být stále trochu tajemné.Co přesně znamená varování přetrvávající varování "Síť může být sledováno", pokud máte zájem a co můžete udělat, abyste ho zbavili?

Vážený How-To Geek,

Nedávno jsem si koupil nový telefon s Androidem a bylo to nové varovné hlášení, které mi trochu vyděsilo. Nikdy se neobjevil na svém starém telefonu s Androidem a teď se objevuje každých pár dní nebo při každém restartu telefonu. Zpráva, která bliká v stavovém řádku a objeví se v oznamovací nabídce, je "Síť může být sledována" a pak když kliknu na varovnou zkratku v nabídce oznámení, přejde do systémového menu označeného jako "Důvěryhodné pověření,"Se dvěma záložkami. Jeden systém je označen jako "systém" a jeden je označen jako "uživatel". Na kartě "Systém" je uvedeno množství položek a pouze jedna v kartě "Uživatel".Co je divné, že jedna položka uvedená na kartě uživatele vypadá jako název routeru "netgear".

instagram viewer

Nemám tušení, co je o těchto věcech, nebo proč Android říká, že moje síť může být sledována. Měl bych být takhle zvědavý, jako já, a co můžu udělat, abych to odvedl? Připojil jsem několik snímků obrazovky v případě, že jsem udělal špatnou práci popisující problém.

S pozdravem

Paranoid Android

Tento druh situace je přesně důvodem, proč jsme nebyli obzvlášť potěšeni s implementací zpracování pověření v systému Android 4.4.Srdce společnosti Google bylo na správném místě, ale způsob, jakým se s touto aktualizací zabýval( a upozorňoval uživatele), je v nejlepším případě nejasný a znepokojující( u nezasvěceného koncového uživatele) v nejhorším případě.Pojďme se podívat na to, co je varovná zpráva dokonce a co můžete s tím dělat.

Zdroj upozornění

Nejprve vysvětlete , proč dostáváte tuto chybovou zprávu, protože Android poskytuje v tomto ohledu vedle nulové užitečné zpětné vazby. Telefon udržuje seznam důvěryhodných a uživatelských bezpečnostních certifikátů.Tento dlouhý seznam položek pod "systémem", který jste našli v nabídce "Důvěryhodné pověření", je v podstatě jen velký starý bílý seznam schválených vydavatelů bezpečnostních certifikátů, které společnost Google předem nasadila váš telefon s Androidem. V podstatě váš telefon říká: "Oh, dobře, tito lidé jsou důvěryhodní, a proto můžeme důvěřovat bezpečnostním certifikátům, které vydali."

Když je k vašemu telefonu přidán bezpečnostní certifikát( ať už ručně, nešťastně jiným uživatelem nebo automaticky některýmislužby nebo stránky, které používáte) a je to , nikoliv , vydané jedním z těchto předběžně schválených emitentů, pak bezpečnostní funkce Android spustí akci s varováním "Sítě mohou být sledovány." Technicky to je přesné upozornění:na vašem zařízení je nainstalován škodlivý / ohrožený bezpečnostní certifikát, je možné, že za určitých okolností může být sledována návštěvnost vašeho zařízení.Je také možné, aby společnost nebo poskytovatel hotspot používali k tomuto účelu vlastní vydané certifikáty na svém vlastním hardwaru( ačkoli jejich motivy jsou typičtější).

Bohužel vydaná výstraha je zbytečně děsivá a je nejasné: pokud nevíte, jaká je dohoda s důvěryhodnými pověřeními a bezpečnostními certifikáty, může být varování také v binárním.

Certifikát nemusí být ani skutečně nebezpečný, aby spouštěl výstrahy, ale musí být vydán / podepsán pouze orgánem, který není uveden v seznamu důvěryhodných "systémů".To znamená, že pokud jste k nějakému použití podepsali svůj vlastní certifikát( například nastavení zabezpečeného připojení na váš domovský server), Android se o něj bude stěžovat. To také znamená, že pokud vaše společnost podepíše své certifikáty pro vlastní potřebu a nezaplatí za oficiálně podepsaný certifikát, dostanete také varování.

Nakonec jsme si jisti, že přesně to, co se stalo ve vašem případě, pokud se připojíte k zabezpečené síti Wi-Fi, která používá certifikát zabezpečení od vydavatele, který není v důvěryhodném seznamu v telefonu,dostanu chybu. Technicky, jak jsme uvedli výše, společnost mohla používat samopodpisovaný certifikát pro škodlivé účely, ale prakticky většinu času, kdy narazíte na tento problém, to bude příčinou 1) společnost nechce platit poplatky za veřejnoucertifikáty, které používají pro soukromé účely a 2) chtějí úplnou kontrolu nad procesem vytváření a podepisování certifikátů.

Chcete-li se dozvědět více o technické stránce varování( stejně jako o tom, jak nový systém pro zpracování certifikátů udělal více než několik lidí), můžete si prohlédnout tyto vlákna reportů o chybách Android [1, 2] a tydva příspěvky na blogu v GeekTaco [1, 2] o problému v hloubce.

byste se měli obávat?

Výstraha je formulována velmi vážně a těžko vás obviňujeme, že jste trochu vyděšený.Ale měli byste se skutečně obávat? V naprosté většině případů se uživatelé, kteří tuto chybu uvidí, nevidí, protože někdo na svém počítači nainstaloval škodlivý certifikát a jsou nyní v nebezpečí.Nejběžnějším důvodem je ten, který jsme popsali výše: firmy používající certifikáty s vlastním podpisem, které nejsou uvedeny v adresáři systému důvěryhodných certifikátů, protože nebyly nikdy vydány autorizovaným emitentem.

Vzhledem k pravděpodobnosti, že někdo použije škodlivý certifikát proti tomu, že je nízký, a pravděpodobnost, že certifikát způsobí, že varování je nekalý certifikát, který nebyl vytvořen veřejně ověřeným certifikátorem, nemusíte paniku.

To znamená, že není důvod držet neznámé certifikáty v okolí a žádný důvod vydržet varování, které se nevztahují na vaši situaci. Podívejme se na to, co můžete udělat v obou scénářích.

Co můžete dělat?

Velká většina certifikátů z legitimní zdrojů by měla být řádně podepsána a ověřena. Ve vzácných případech, kdy jste nepodepsali platný certifikát( např. Jste je vytvořili sami nebo je vaše společnost používá pro interní sítě), měli byste si být vědomi původu certifikátu, protože jste měli ruku v provedení nebo konverzaces lidmi z oblasti IT by měli vyčistit věci.

Takže pokud nepoužíváte Android v podnikovém prostředí( kde byste měli zkontrolovat s vaší IT kluky, aby zjistili, jaká je smlouva s certifikátem, protože to může být ta, kterou vytvořili), nebo jste vytvořili certifikát sami, nejjednodušší řešení je právěstisknout a podržet všechny neznámé certifikáty nalezené v kategorii "uživatel" kategorie "důvěryhodné certifikáty" a smazat je( tlačítko pro odstranění se nachází v dolní části informačního panelu).Méně neidentifikované volné konce( zejména v seznamu certifikátů), tím lépe.

Pokud máte oprávněný certifikát, který chybu odmítá, protože je v seznamu "uživatel" namísto seznamu "systém", můžete( podle vlastního uvážení a rizika) ručně přesunout certifikát ze seznamu uživatelů do adresářesystémový seznam / adresář.Není to úkol, který byste měli provést lehce, pokud si nejste úplně jisti, že certifikát v seznamu uživatelů je bezpečný, protože buď 1) jste jej vytvořili, nebo 2) pracovníci IT ve vaší společnosti ověřili, že je to jeden z jejich certifikátů, neměli byste se pokusit o pohyb.

Pokud jste přesvědčeni o bezpečnosti a původu certifikátu, inženýr a fanoušek Android Sam Hobbs má jasně napsaný návod k ručnímu přesunutí certifikátů a další programátor a nadšenec Felix Ableitner má open source aplikaci, která provádí stejný úkol bezpříkazový řádek funguje. Opět, pokud nemáte naléhavou( a dobře pochopenou) potřebu certifikátu, doporučujeme vám to.

Máte naléhavou technologickou otázku? Napište nám email na adresu [email protected] a uděláme vše pro to, abychom na ni odpověděli.