Skip to content

O co chodzi z uporczywym ostrzeżeniem „Sieć może być monitorowana” w systemie Android?

1 de sierpień de 2021
img 543e9380d9304

Wydanie Androida 4.4 KitKat przyniosło wiele ulepszeń, w tym zwiększone bezpieczeństwo. Chociaż zabezpieczenia mogą być silniejsze, wiadomości nadal mogą być nieco zagadkowe. Co dokładnie oznacza ciągłe ostrzeżenie „Sieć może być monitorowana”, jeśli jesteś zaniepokojony i co możesz zrobić, aby się go pozbyć?

Drogi geeku, jak to zrobić,

Niedawno kupiłem nowy telefon z Androidem i pojawił się nowy komunikat ostrzegawczy, który trochę mnie przeraża. Nigdy nie pojawił się na moim starym telefonie z Androidem, a teraz pojawia się co kilka dni lub po ponownym uruchomieniu telefonu. Komunikat, który miga na pasku stanu, a następnie pojawia się w menu powiadomień, to „Sieć może być monitorowana”, a jeśli kliknę skrót ostrzeżenia w menu powiadomień, przeniesie mnie do menu systemowego oznaczonego „Zaufane dane uwierzytelniające”. z dwiema zakładkami. Jeden jest oznaczony jako „system”, a drugi jako „użytkownik”. Istnieje mnóstwo pozycji wymienionych w zakładce „system” i tylko jeden w zakładce „użytkownik”. Dziwne jest to, że jeden element wymieniony na karcie użytkownika wygląda jak nazwa routera „netgear”.

Nie mam pojęcia, co to jest ani dlaczego Android mówi mi, że moja sieć może być monitorowana. Czy powinienem być tak samo przerażony tą wiadomością jak ja i co mogę zrobić, aby to zniknęło? Załączam kilka zrzutów ekranu na wypadek, gdybym wykonał kiepską robotę opisując problem.

Z poważaniem,

Paranoidalny Android

Taka sytuacja jest dokładnie powodem, dla którego nie przepadaliśmy za implementacją obsługi poświadczeń w Androidzie 4.4. Serce Google było we właściwym miejscu, ale sposób, w jaki aktualizacja poradziła sobie z nim (i ostrzegła użytkownika), jest w najlepszym razie nieelegancki, a w najgorszym niepokojący (dla niewtajemniczonych użytkownika końcowego). Rzućmy okiem na to, czym jest komunikat ostrzegawczy i co możesz z tym zrobić.

Źródło ostrzeżenia

Najpierw wyjaśnijmyCzemu otrzymujesz ten komunikat o błędzie, ponieważ Android daje prawie zero przydatnych informacji zwrotnych w tym zakresie. Twój telefon przechowuje listę zaufanych i dostarczonych przez użytkownika certyfikatów bezpieczeństwa. Ta długa lista wpisów w „systemie”, którą znalazłeś w menu „Zaufane dane uwierzytelniające”, to w zasadzie tylko duża stara biała lista zatwierdzonych wystawców certyfikatów bezpieczeństwa, z którymi Google wstępnie przygotował Twój telefon z Androidem. Zasadniczo twój telefon mówi „Och, dobrze, ci ludzie są godni zaufania, więc możemy ufać wydanym przez nich certyfikatom bezpieczeństwa”.

Gdy certyfikat bezpieczeństwa zostanie dodany do telefonu (ręcznie przez Ciebie, złośliwie przez innego użytkownika lub automatycznie przez jakąś usługę lub witrynę, z której korzystasz) i jestnie wydane przez jednego z tych wstępnie zatwierdzonych wystawców, a następnie funkcja zabezpieczeń Androida uruchamia się z ostrzeżeniem „Sieci mogą być monitorowane”. Technicznie jest to dokładne ostrzeżenie: jeśli złośliwy/złamany certyfikat bezpieczeństwa jest zainstalowany na Twoim urządzeniu, możliwe jest, że ruch z Twojego urządzenia może być monitorowany w określonych okolicznościach. Możliwe jest również, że firma lub dostawca hotspotu użyje w tym celu certyfikatów wystawionych samodzielnie na własnym sprzęcie (chociaż zazwyczaj ich motywy są łagodniejsze).

Niestety wydane ostrzeżenie jest niepotrzebnie przerażające i nie jest jasne: jeśli nie wiesz, na czym polega umowa z zaufanymi danymi uwierzytelniającymi i certyfikatami bezpieczeństwa, to ostrzeżenie może być równie dobrze w postaci binarnej.

1627809753 707 O co chodzi z uporczywym ostrzezeniem „Siec moze byc monitorowana


Certyfikat nie musi być nawet naprawdę złośliwy, aby wywołać ostrzeżenia, jednak musi zostać wydany/podpisany przez organ, który nie znajduje się na liście zaufanych „systemów”. Oznacza to, że jeśli podpisałeś własny certyfikat do jakiegoś użytku (np. Konfigurowanie bezpiecznego połączenia z serwerem domowym), Android będzie na to narzekał. Oznacza to również, że jeśli Twoja firma samodzielnie podpisze swoje certyfikaty do użytku wewnętrznego i nie zapłaci za oficjalnie podpisany certyfikat, otrzymasz również ostrzeżenie.

1627809753 944 O co chodzi z uporczywym ostrzezeniem „Siec moze byc monitorowana

Wreszcie, jesteśmy prawie pewni, że tak właśnie stało się w Twoim przypadku, jeśli połączysz się z bezpieczną siecią Wi-Fi, która korzysta z certyfikatu bezpieczeństwa od wystawcy, który nie znajduje się na liście zaufanych w Twoim telefonie, dostać błąd. Z technicznego punktu widzenia, jak wspomnieliśmy powyżej, firma może używać certyfikatu z podpisem własnym do złośliwych celów, ale praktycznie przez większość czasu natkniesz się na ten problem, ponieważ 1) firma nie chce ponosić opłat za certyfikat publiczny używają do celów prywatnych i 2) chcą mieć całkowitą kontrolę nad procesem tworzenia i podpisywania certyfikatów.

Jeśli chcesz przeczytać więcej o technicznej stronie ostrzeżenia (a także o tym, jak zdenerwowany nowy system obsługi certyfikatów spowodował więcej niż kilka osób), możesz zapoznać się z tymi wątkami raportów o błędach Androida [1, 2] i te dwa posty na blogu w GeekTaco [1, 2] szczegółowe omówienie tej kwestii.

Czy powinieneś się martwić?

Ostrzeżenie jest sformułowane bardzo poważnie i nie mamy do ciebie pretensji, że jesteś trochę przerażony. Ale czy naprawdę powinieneś się martwić? W zdecydowanej większości przypadków użytkownicy widzący ten błąd nie widzą go, ponieważ ktoś zainstalował złośliwy certyfikat na ich komputerze i jest teraz w niebezpieczeństwie. Najbardziej typowym powodem jest ten, który opisaliśmy powyżej: firmy korzystające z samopodpisanych certyfikatów, które nie są wymienione w systemowym katalogu zaufanych certyfikatów, ponieważ nigdy nie zostały wystawione przez autoryzowanego wystawcę.

Biorąc pod uwagę prawdopodobieństwo, że ktoś użyje złośliwego certyfikatu przeciwko Tobie jest niskie, oraz prawdopodobieństwo, że certyfikat spowoduje ostrzeżenie jako certyfikat niezłośliwy, który po prostu nie został utworzony przez publicznie zweryfikowany urząd certyfikacji, nie musisz panikować.

To powiedziawszy, nie ma powodu, aby trzymać w pobliżu nieznane certyfikaty i nie ma powodu, aby znosić ostrzeżenia, które nie dotyczą Twojej sytuacji. Przyjrzyjmy się, co możesz zrobić w obu scenariuszach.

Co możesz zrobić?

Zdecydowana większość certyfikatów z legalnych źródeł powinna być odpowiednio podpisana i zweryfikowana. W rzadkich przypadkach, gdy masz certyfikat niepodpisany przez ważny (np. sam go utworzyłeś lub Twoja firma używa go w sieciach wewnętrznych), albo będziesz świadomy pochodzenia certyfikatu, ponieważ miałeś rękę w jego stworzeniu lub rozmawiałeś z informatykami powinni wszystko wyjaśnić.

1627809754 594 O co chodzi z uporczywym ostrzezeniem „Siec moze byc monitorowana


Więc jeśli nie korzystasz z Androida w środowisku korporacyjnym (w którym powinieneś skontaktować się z informatykami, aby zobaczyć, jaka jest umowa z certyfikatem, ponieważ może to być ten, który stworzyli) lub sam utworzyłeś certyfikat, najprostszym rozwiązaniem jest po prostu naciśnij i przytrzymaj wszelkie nieznane certyfikaty znalezione w kategorii „użytkownik” kategorii „zaufane certyfikaty” i usuń je (przycisk usuwania znajduje się na dole panelu informacyjnego). Im mniej niezidentyfikowanych luźnych końcówek (zwłaszcza na liście certyfikatów), tym lepiej.

Jeśli masz legalny certyfikat, który zgłasza błąd, ponieważ znajduje się na liście „użytkownik” zamiast na liście „system”, możesz (według własnego uznania i ryzyka) ręcznie przenieść certyfikat z listy/katalogu użytkowników do katalogu lista/katalog systemowy. Nie jest to zadanie, które należy wykonać lekko, więc jeśli nie masz całkowitej pewności, że certyfikat na liście „użytkowników” jest bezpieczny, ponieważ 1) utworzyłeś go lub 2) personel IT w Twojej firmie sprawdził, że jest to jeden z ich certyfikatów , nie powinieneś próbować wykonać ruchu.

Jeśli masz pewność co do bezpieczeństwa i pochodzenia certyfikatu, inżynier i entuzjasta Androida Sam Hobbs ma przejrzyście napisana instrukcja obsługi ręcznego przenoszenia certyfikatów i inny programista i entuzjasta Felix Ableitner ma aplikacja o otwartym kodzie źródłowym, która wykonuje to samo zadanie bez pracy wiersza poleceń. Ponownie, o ile nie masz pilnej (i dobrze zrozumianej) potrzeby uzyskania certyfikatu, odradzamy to.

Masz pilne pytanie techniczne? Napisz do nas e-mail na adres [email protected], a my dołożymy wszelkich starań, aby na nie odpowiedzieć.

Czy ten post był pomocny?