Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Takáto situácia je presne dôvodom, prečo sme v aplikácii Android 4.4 neponúkli konkrétne implementáciu poverení. Srdce spoločnosti Google bolo na správnom mieste, ale spôsob, akým ju aktualizácia zvládla (a upozornil používateľa), je v najlepšom prípade neopodstatnená a znepokojujúca (v prípade neohláseného koncového používateľa) v najhoršom prípade. Poďme sa pozrieť na to, čo je varovná správa a čo s tým môžete urobiť.
Zdroj varovania
Po prvé, vysvetliteprečo dostanete toto chybové hlásenie, pretože Android poskytuje nulovú užitočnú spätnú väzbu v tomto ohľade. Telefón udržiava zoznam dôveryhodných bezpečnostných certifikátov a certifikátov. Tento dlhý zoznam položiek pod "systémom", ktorý ste našli v ponuke "Dôveryhodné informácie", je v podstate iba veľkým starým bielym zoznamom schválených vydavateľov bezpečnostných certifikátov, ktoré spoločnosť Google predbežne nasadila váš telefón s Androidom. V podstate váš telefón hovorí: "Och, dobre, títo ľudia sú dôveryhodní, takže môžeme dôverovať bezpečnostným certifikátom, ktoré vydali."
Keď je do telefónu pridaný bezpečnostný certifikát (či už ručne, zločinne iným používateľom alebo automaticky niektorou službou alebo webom, ktorý používate), je tonie vydaný jedným z týchto predbežne schválených emitentov, potom bezpečnostná funkcia systému Android začne fungovať s upozornením "Siete môžu byť monitorované." Technicky to je presné upozornenie: ak je na vašom zariadení nainštalovaný škodlivý / ohrozený bezpečnostný certifikát, je možné, že môže byť za určitých okolností sledovaná návštevnosť z vášho zariadenia. Je tiež možné, aby spoločnosť alebo poskytovateľ hotspot používali na tento účel vlastné vydané certifikáty na vlastnom hardvéri (aj keď ich motívy sú zvyčajne priaznivejšie).
Bohužiaľ vydané upozornenie je zbytočne desivé a je to nejasné: ak neviete, aké je riešenie s dôveryhodnými povereniami a bezpečnostnými certifikátmi, potom by varovanie mohlo byť aj v binárnom.
Ak sa chcete dozvedieť viac o technickej stránke varovania (ako aj o tom, aký rozrušený nový systém na spracovanie certifikátov priniesol viac ako niekoľko ľudí), môžete si pozrieť tieto vlákna s hlásením chýb Android [1, 2] a tieto dve blogové príspevky v spoločnosti GeekTaco [1, 2] o dôkladnej diskusii.
Mali by ste sa obávať?
Varovanie je formulované veľmi vážne a ťažko vás obviňujeme z toho, že sme trochu rozhnevali. Ale mali by ste sa skutočne obávať? Vo väčšine prípadov sa používatelia, ktorí vidia túto chybu, nevidia, pretože niekto na svojom počítači nainštaloval škodlivý certifikát a teraz sú v nebezpečenstve. Najčastejším dôvodom je ten, ktorý sme uviedli vyššie: firmy používajúce certifikáty s vlastným podpisom, ktoré nie sú uvedené v adresári systému dôveryhodných certifikátov, pretože ich nikdy nevydali autorizovaní emitenti.
Vzhľadom na pravdepodobnosť, že niekto používa škodlivý certifikát, ktorý je proti vám nízky a pravdepodobnosť, že certifikát spôsobí, že varovanie nebolo škodlivým certifikátom, ktorý nebol vytvorený verejne overeným certifikačným orgánom, nemusíte sa panikavať.
To znamená, že nie je dôvod uchovávať neznáme certifikáty a žiadny dôvod vydržať varovania, ktoré sa nevzťahujú na vašu situáciu. Poďme sa pozrieť na to, čo môžete urobiť v oboch scenároch.
Čo môžeš urobiť?
Veľká väčšina certifikátov z legitímnych zdrojov by mala byť riadne podpísaná a overená. V zriedkavých prípadoch, keď ste nepodpísali platný certifikát (napríklad ste ho vytvorili sami alebo vaša spoločnosť ich používa pre interné siete), budete si vedomí pôvodu certifikátu, pretože ste mali ruku v konaní alebo konverzáciu s IT ľudia by mali objasniť veci.
Ak máte oprávnený certifikát, ktorý spôsobuje chybu, pretože je v zozname používateľov namiesto zoznamu systémov, môžete (podľa vlastného uváženia a rizika) manuálne presunúť certifikát zo zoznamu užívateľov / adresára do systémový zoznam / adresár. Nie je to úloha, ktorú by ste mali robiť ľahko, ak si nie ste úplne istí, že certifikát v zozname "užívateľ" je bezpečný, pretože buď 1) ste ho vytvorili, alebo 2) pracovníci IT vo vašej spoločnosti overili, že je to jeden z ich certifikátov, nemali by ste sa pokúšať o pohyb.
Ak ste presvedčení o bezpečnosti a pôvode certifikátu, inžinier a inžinier so systémom Android Sam Hobbs má jasne napísanú inštrukčnú príručku pre ručné presuny vašich certifikátov a ďalší programátor a nadšenec Felix Ableitner má open source aplikáciu, ktorá vykonáva rovnakú úlohu bez toho, práce s príkazovým riadkom. Opäť, ak nemáte naliehavú (a dobre pochopenú) potrebu certifikátu, odporučíme to.
Máte naliehavú technickú otázku? Napíšte nám email na adresu [email protected] a urobíme všetko pre to, aby sme vám odpovedali.