Android 11 изисква промени в сигурността на достъпа до корпоративни Wi-Fi мрежи
(снимка: CC0 Public Domain)
Мобилната операционна система Android 11 вече няма да позволява на смартфоните под нейно управление да се свързват с някои корпоративни Wi-Fi мрежи, става ясно от публикации в специализирани сайтове.
Промяната е засечена от потребители на Google Pixel след актуализацията на сигурността от декември 2020 г. Това не е грешка, а по-скоро умишлена промяна, която Google въвежда в Android 11, и ще обхване всички смартфони, които ще получат актуализацията, съобщи XDA-Developers.
Проблемът, с който ще се сблъскат много потребители, след като се актуализират до Android 11, е, че опцията „Do Not Validate” в падащото меню „CA certificate” е премахната. Тя се появи по-рано при добавяне на нова Wi-Fi мрежа със защита WPA2-Enterprise. Според Google, ако потребителите изберат опцията „Do Not Validate”, това е риск за сигурността, тъй като отваря възможност за изтичане на идентификационни данни.
Например, когато потребител иска да прави онлайн банкиране, той насочва браузъра си към известното домейн имен на банката (напр. www.bankofamerica.com). Ако потребителят забележи, че е щракнал върху връзка и браузърът е заредил уебстраница от грешен домейн, тогава, разбира се, ще се колебае да даде информация за банковата си сметка. Но как потребителят да знае, че сървърът, към който се свързва браузърът му, е същият, към който се свързват всички останали? С други думи, как човек да знае, че банковият уебсайт, който вижда, не е фалшива версия, инжектирана от злонамерена „трета страна”, която е получила достъп до мрежата?
Браузърите се уверяват, че това не се случва, като проверяват сертификата на сървъра, но когато потребителят превключва опцията „Do Not Validate” при свързване с корпоративната си Wi-Fi мрежа, се възпрепятства проверката на сертификата. Ако нападателят извърши атака „човек в средата” (man-in-the-middle) и поеме контрола върху мрежата, може да насочи клиентските устройства към свои сървъри.
Администраторите на мрежи са предупредени за този потенциален риск за сигурността от години, но все още има много предприятия, университети, училища, правителствени организации и други институции, които са конфигурирали своите мрежови профили по несигурен начин.
Изискванията за сигурност, приети от Wi-Fi Alliance за спецификацията WPA3, налагат тази промяна, но много организации и правителства бавно надграждат системите си и са склонни да отстъпват по отношение на сигурността. Някои организации – дори да знаят за рисковете – все пак препоръчват на потребителите да деактивират проверката на сертификата, когато се свързват с тяхната Wi-Fi мрежа.
На практика ще отнеме известно време на предприятията и други институции да приемат промените в сигурността, защото първо трябва да бъдат информирани надлежно за тях. Много мрежови администратори наблюдават промените от месеци, но други може все още да не са наясно. Повече информация, която ще е от полза за мрежовите администратори, е достъпна в публикация по темата на SecureW2.