Випуск Android 4.4 KitKat приніс широкий спектр удосконалень, включаючи посилену безпеку. Хоча безпека може бути жорсткішою, повідомлення все одно можуть бути дещо загадковими. Що саме означає постійне попередження "Мережа може контролюватися", якщо вас турбує, і що ви можете зробити, щоб позбутися від нього?
Шановний Geek,
Нещодавно я купив новий телефон Android, і з’явилося це нове попереджувальне повідомлення, яке мене трохи збентежило. Він ніколи не з’являвся на моєму старому телефоні Android, і тепер він з’являється кожні кілька днів або коли я перезапускаю телефон. Повідомлення, яке блимає в рядку стану, а потім з’являється в меню сповіщень, таке: «Мережа може контролюватися», і тоді, якщо я клацну на ярлик попередження в меню сповіщень, це перенесе мене в системне меню з написом «Довірені облікові дані, ”З двома вкладками. Один із них позначений як "система", а другий - "користувач". На вкладці “система” є безліч предметів і лише один на вкладці “користувач”. Що дивно, але той елемент, який перелічений на вкладці користувача, схожий на назву маршрутизатора „netgear”.
Я поняття не маю, що це таке, або чому Android говорить мені, що мою мережу можна контролювати. Чи повинен я бути таким наляканим цим повідомленням, як і я, і що я можу зробити, щоб воно зникло? Я додав кілька знімків екрана на випадок, якщо я погано впорався із описом проблеми.
З повагою,
Параноїк Android
Така ситуація є саме тому, чому ми не особливо любили впровадження обробки облікових даних в Android 4.4. Серце Google було в потрібному місці, але те, як оновлення обробляло його (і попереджало користувача), в кращому випадку неелегантне, а в гіршому - тривожне (для непосвяченого кінцевого користувача). Давайте подивимось, що таке попереджувальне повідомлення і що ви можете з цим зробити.
Джерело попередження
Спочатку пояснимо чому Ви отримуєте це повідомлення про помилку, оскільки Android дає майже нульовий корисний відгук щодо цього. Ваш телефон підтримує список надійних сертифікатів безпеки, що надаються користувачем. Цей довгий список записів у розділі "система", який ви знайшли в меню "Довірені облікові дані", є по суті лише великим старим білим списком затверджених видавців сертифікатів безпеки, якими Google попередньо засіяв ваш телефон Android. По суті, на вашому телефоні написано: "О, добре, ці люди заслуговують на довіру, тому ми можемо довіряти виданим ними сертифікатам безпеки".
Коли до вашого телефону додається сертифікат безпеки (ви вручну, зловмисно інший користувач або автоматично якоюсь службою чи сайтом, який ви використовуєте), ні виданий одним із цих попередньо затверджених видавців, тоді функція безпеки Android запускається з попередженням "Мережі можуть контролюватися". Технічно це точне попередження: якщо на вашому пристрої встановлено зловмисний / скомпрометований сертифікат безпеки, можливо, за певних обставин можна відстежувати трафік із вашого пристрою. Також компанія або постачальник точок доступу може використовувати для цього самовидані сертифікати на власному обладнанні (хоча, як правило, їх мотиви є більш м’якими).
На жаль, попередження, яке видається, є непотрібним і незрозумілим: якщо ви не знаєте, що стосується надійних облікових даних та сертифікатів безпеки, то попередження також може бути в двійковому вигляді.
Сертифікат навіть не повинен бути справді зловмисним, щоб викликати попередження, однак, він повинен бути виданий / підписаний органом, який не входить до списку надійних "системних". Це означає, що якщо ви підписали власний сертифікат для певного використання (наприклад, налаштування безпечного з’єднання з вашим домашнім сервером), тоді Android скаржиться на це. Це також означає, що якщо ваша компанія самостійно підписує свої сертифікати для власного використання і не оплачує офіційно підписаний сертифікат, ви також отримаєте попередження.
Нарешті, і ми майже впевнені, що саме це сталося у вашому випадку, якщо ви під’єднаєтесь до захищеної мережі Wi-Fi, яка використовує сертифікат безпеки від емітента, якого немає у списку надійних на вашому телефоні, отримати помилку. Технічно, як ми вже згадували вище, компанія може використовувати самопідписаний сертифікат у зловмисних цілях, але практично більшу частину часу ви стикаєтесь із цим питанням, це буде причиною 1) компанія не хоче платити збори за публічну сертифікат, який вони використовують у приватних цілях; 2) вони хочуть повністю контролювати процес створення та підписання сертифіката.
Якщо ви хочете дізнатись більше про технічну сторону попередження (а також про те, як нова система обробки сертифікатів спричинила занепокоєння кількох людей), ви можете перевірити ці теми звітів про помилки Android [ 1 , 2] та ці дві публікації в блозі на GeekTaco [ 1 , 2 ] поглиблене обговорення питання.
Чи варто хвилюватися?
Попередження сформульоване дуже серйозно, і ми навряд чи звинувачуємо вас у тому, що ви трохи збентежені. Але чи варто насправді хвилюватися? У переважній більшості випадків користувачі, які бачать цю помилку, не бачать її, оскільки хтось встановив шкідливий сертифікат на свою машину, і зараз їм загрожує небезпека. Найбільш типовою причиною є названа нами вище: компанії, що використовують самопідписані сертифікати, яких немає в списку надійних сертифікатів системи, оскільки вони ніколи не видавалися уповноваженим емітентом.
З огляду на ймовірність того, що хтось використовує зловмисний сертифікат проти вас, і низьку ймовірність того, що сертифікат спричиняє попередження як нешкідливий сертифікат, який просто не був створений публічно перевіреним центром сертифікації, вам не потрібно панікувати.
Тим не менше, немає жодних причин зберігати невідомі сертифікати та не терпіти попереджень, які не стосуються вашої ситуації. Давайте розглянемо, що ви можете зробити в обох сценаріях.
Що ти можеш зробити?
Переважна кількість сертифікатів із законних джерел повинна бути належним чином підписана та перевірена. У рідкісних випадках, коли у вас є непідписаний дійсний сертифікат (наприклад, ви створили його самостійно або ваша компанія використовує його для внутрішніх мереж), ви або знаєте про походження сертифіката, тому що у вас була участь у його створенні або розмові з ІТ-людьми слід прояснити ситуацію.
Отже, якщо ви не використовуєте Android у корпоративному середовищі (де вам слід проконсультуватися зі своїми ІТ-спеціалістами, щоб зрозуміти, яка угода з сертифікатом, оскільки він може бути таким, який вони створили), або ви самі створили сертифікат, найпростішим рішенням є натисніть і утримуйте будь-які невідомі сертифікати, знайдені в категорії «користувач» категорії «надійні сертифікати», і видаліть їх (кнопка видалення знаходиться внизу інформаційної області). Чим менше невідомих вільних кінців (особливо у вашому списку сертифікатів), тим краще.
Якщо у вас є законний сертифікат, який видає помилку, оскільки він перебуває у списку "користувач", а не в списку "система", ви можете (на власний розсуд та ризик) вручну перемістити сертифікат зі списку користувачів / каталогу до системний список / каталог. Це завдання не слід робити легкодушно, тому, якщо ви не впевнені, що сертифікат у списку “користувач” безпечний, оскільки 1) ви його створили, або 2) ІТ-працівники вашої компанії підтвердили, що це один із сертифікатів , ви не повинні намагатися рухатися.
Якщо ви впевнені в безпеці та походженні сертифіката, у інженера та ентузіаста Android Сем Хоббс є чітко написане керівництво з ручного переміщення сертифікатів і ще один програміст і ентузіаст Фелікс Аблейтнер додаток з відкритим кодом, який виконує те саме завдання без роботи командного рядка. Знову ж таки, якщо у вас немає нагальної (і добре зрозумілої) потреби у сертифікаті, ми не рекомендуємо його використовувати.
Маєте нагальне технічне запитання? Напишіть нам електронного листа на [email protected], і ми зробимо все можливе, щоб відповісти на нього.
