Что такое сделка с постоянным мониторингом сети «Сеть может отслеживаться»?

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2023-12-17 10:57

Выпуск Android 4.4 KitKat принес широкий набор улучшений, включая повышенную безопасность. Хотя безопасность может быть более жесткой, сообщения могут быть немного загадочными. Что именно означает постоянное предупреждение «Сеть может быть проверено», если вы беспокоитесь, и что вы можете сделать, чтобы избавиться от него?


Dear How-To Geek,






I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.

































Sincerely,
Paranoid Android

Такая ситуация, именно поэтому мы не особенно любили внедрение учетных данных в Android 4.4. Сердце Google находилось в нужном месте, но способ, которым его обрабатывал (и предупреждал пользователя), в худшем случае является неэлегантным в лучшем случае и неурегулированным (неподготовленному конечному пользователю). Давайте посмотрим, что такое предупреждение и что вы можете с этим поделать.

Источник предупреждения

Во-первых, давайте объяснимЗачем вы получаете это сообщение об ошибке, так как Android дает около нуля полезную обратную связь в этом отношении. Телефон поддерживает список доверенных и предоставленных пользователем сертификатов безопасности. Этот длинный список записей под «системой», который вы нашли в меню «Доверенные учетные данные», по сути является просто большим старым белым списком утвержденных издателей сертификатов безопасности, которые Google предварительно засеял ваш телефон Android. По сути, ваш телефон говорит: «О, хорошо, эти люди заслуживают доверия, поэтому мы можем доверять сертификатам безопасности, выпущенным ими».

Когда к вашему телефону добавляется сертификат безопасности (либо вручную, либо злонамеренно другим пользователем, либо автоматически с помощью какой-либо службы или сайта, который вы используете), и этоне выпущенный одним из этих предварительно одобренных эмитентов, тогда функция безопасности Android срабатывает с предупреждением «Мониторинг сетей». Технически это точное предупреждение: если на вашем устройстве установлен вредоносный / скомпрометированный сертификат безопасности, возможно, что трафик с вашего устройства может контролироваться при определенных обстоятельствах. Также возможно, чтобы компания или поставщик хот-спота использовали для этого собственные сертификаты на свое собственное оборудование (хотя, как правило, их мотивы более доброкачественны).

К сожалению, выданное предупреждение бесполезно страшно, и неясно: если вы не знаете, что такое сделка с доверенными учетными данными и сертификатами безопасности, предупреждение может также быть в двоичном формате.

Сертификат даже не должен быть действительно вредоносным для запуска предупреждений, однако он просто должен быть выпущен / подписан органом, который не указан в списке надежных «системных». Это означает, что если вы подписали собственный сертификат для некоторого использования (например, настроить безопасное соединение с вашим домашним сервером), то Android будет жаловаться на него. Это также означает, что если ваша компания самостоятельно подписывает свои сертификаты для внутреннего использования и не оплачивает официально подписанный сертификат, вы также получите предупреждение.

Наконец, и мы уверены, что именно это произошло в вашем случае, если вы подключаетесь к безопасной сети Wi-Fi, которая использует сертификат безопасности от эмитента, который не находится в надежном списке на вашем телефоне, вы будете получить ошибку. Технически, как мы уже упоминали выше, компания может использовать самозаверяющий сертификат для злонамеренных целей, но практически в большинстве случаев, когда вы сталкиваетесь с этой проблемой, это будет причиной: 1) компания не хочет уплачивать плату за публикацию сертификат, который они используют для личных целей, и 2) они хотят полного контроля над процессом создания и подписания сертификата.

Если вы хотите больше узнать о технической стороне предупреждения (а также о том, как расстроена новая система обработки сертификатов, в которой приняли участие более нескольких человек), вы можете проверить эти потоки отчетов об ошибках Android [1, 2], и эти два в блогах GeekTaco [1, 2], подробно обсуждая проблему.

Если вы беспокоитесь?

Предупреждение сформулировано очень серьезно, и мы вряд ли обвиняем вас в том, что вы немного испугались. Но разве вы действительно беспокоитесь? В подавляющем большинстве случаев пользователи, видящие эту ошибку, не видят ее, потому что кто-то установил вредоносный сертификат на своей машине, и теперь они в опасности. Наиболее типичной причиной является тот, который мы изложили выше: компании, использующие самозаверяющие сертификаты, которые не указаны в каталоге системных сертификатов, поскольку они никогда не выдавались уполномоченным издателем.

Учитывая вероятность того, что кто-то использует вредоносный сертификат против вас, и вероятность того, что сертификат приведет к тому, что предупреждение является не вредоносным сертификатом, который просто не был создан публично проверенным центром сертификации, вам не нужно паниковать.

Тем не менее, нет оснований хранить неизвестные сертификаты и нет причин выдерживать предупреждения, которые не относятся к вашей ситуации. Давайте посмотрим, что вы можете сделать в обоих сценариях.

Что ты можешь сделать?

Подавляющее большинство сертификатов из законных источников должно быть надлежащим образом подписано и проверено. В редких случаях, когда у вас есть неподписанный действительный сертификат (например, вы создали его самостоятельно или ваша компания использует его для внутренних сетей), вы должны знать о происхождении сертификата, потому что у вас была рука в его создании или в разговоре с ИТ-специалистами должны все прояснить.

Поэтому, если вы не используете Android в корпоративной среде (в которой вы должны проверить с вашими ИТ-ребятами, чтобы узнать, что такое сделка с сертификатом, потому что это может быть тот, который они создали), или вы создали сертификат самостоятельно, самым простым решением является просто нажмите и удерживайте любые неизвестные сертификаты, найденные в категории «пользователь» категории «доверенные сертификаты», и удалите их (кнопка удаления расположена в нижней части информационной панели). Чем меньше неопознанных свободных концов (особенно в вашем списке сертификатов), тем лучше.

Если у вас есть законный сертификат, который вызывает ошибку, потому что он находится в «пользовательском» списке, а не в списке «system», вы можете (по своему усмотрению и риску) вручную перенести сертификат из каталога / каталога пользователя в системный список / каталог. Это не задача, которую нужно предпринять легкомысленно, поэтому, если вы не полностью уверены, что сертификат в «пользовательском» списке безопасен, потому что либо 1) вы его создали, либо 2) ИТ-персонал вашей компании подтвердил, что это один из их сертификатов, вы не должны пытаться двигаться.

Если вы уверены в безопасности и происхождении сертификата, инженер и энтузиаст Android Сэм Хоббс имеет четко написанное руководство по инструкции для ручного перемещения ваших сертификатов, а другой программист и энтузиаст Феликс Аблетнер имеет приложение с открытым исходным кодом, которое выполняет ту же задачу без работа в командной строке. Опять же, если у вас нет необходимой (и хорошо понимаемой) потребности в сертификате, мы рекомендуем против нее.

У вас есть неотложный технический вопрос? Выстрелите нам электронное письмо по адресу [email protected], и мы сделаем все возможное, чтобы ответить на него.