Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Denne typen situasjon er nettopp hvorfor vi ikke var spesielt glad i implementeringen av legitimasjonshåndtering i Android 4.4. Googles hjerte var på rett sted, men måten oppdateringen håndterte den (og advarte brukeren) er i beste fall i beste fall og foruroligende (til uinitiert sluttbruker) i verste fall. La oss ta en titt på hva advarselsmeldingen er, og hva du kan gjøre med det.
Kilden til advarselen
Først, la oss forklareHvorfor du får denne feilmelding siden Android gir nær null tilbakemelding i denne forbindelse. Telefonen opprettholder en liste over sikkerhetssertifikater som er pålitelige og brukerstøttede. Den lange listen over oppføringer under "system" du fant i "Trusted credentials" -menyen er egentlig bare en stor gammel hvit liste over godkjente sikkerhetssertifikatutstedere som Google pre-seeded din Android-telefon med. I hovedsak sier telefonen: "Oh, ok, disse menneskene er troverdige, så vi kan stole på sikkerhetssertifikater utstedt av dem."
Når et sikkerhetssertifikat er lagt til i telefonen din (enten manuelt av deg, ondsinnet av en annen bruker eller automatisk av en tjeneste eller et nettsted du bruker), og det erikke utgitt av en av disse forhåndsgodkjente utstedere, kommer Android-sikkerhetsfunksjonen til å fungere med advarselen "Nettverk kan overvåkes." Teknisk er det en nøyaktig advarsel: Hvis et skadelig / kompromittert sikkerhetssertifikat er installert på enheten, er det mulig at trafikk fra enheten din kan overvåkes under visse omstendigheter. Det er også mulig for en bedrift eller hotspot-leverandør å bruke selvutstedte sertifikater på egen maskinvare til dette formålet (selv om de vanligvis er mer gunstige).
Dessverre er utstedt advarsel unødvendig skummel, og det er uklart: Hvis du ikke vet hva avtalen med klarerte legitimasjonsbeskrivelser og sikkerhetssertifikater er, så kan advarselen også være i binær.
Hvis du vil lese mer om den tekniske siden av advarselen (i tillegg til hvor opprørt det nye systemet for håndtering av sertifikater har gjort mer enn noen få personer), kan du sjekke ut disse Android-feilrapportens tråder [1, 2] og disse to blogginnlegg på GeekTaco [1, 2] diskuterer problemet i dybden.
Skulle du være bekymret?
Advarselen er formulert veldig seriøst, og vi skylder oss nesten ikke for å være litt freaked ut. Men burde du faktisk være bekymret? I de aller fleste tilfeller ser brukere som ser denne feilen ikke på det, fordi noen har installert et skadelig sertifikat på maskinen, og de er nå i fare. Den mest typiske grunnen er den som vi skisserte over: Bedrifter som bruker selvsignerte sertifikater som ikke er oppført i systemets katalog over klarerte sertifikater fordi de aldri ble utstedt av en autorisert utsteder.
Gitt sannsynligheten for at noen bruker et skadelig sertifikat mot at du er lav og sannsynligheten for at sertifikatet forårsaker advarselen til å være et ikke-skadelig sertifikat som nettopp ikke ble opprettet av en offentlig verifisert sertifikatautoritet, trenger du ikke å panikk.
Når det er sagt, er det ingen grunn til å holde ukjente sertifikater rundt og ingen grunn til å utholde advarsler som ikke gjelder for situasjonen din. La oss se på hva du kan gjøre i begge scenarier.
Hva kan du gjøre?
Det overordnede flertallet av sertifikater fra legitime kilder bør være skikkelig signert og verifisert. I de sjeldne tilfeller at du har en usignert av gyldig sertifikat (f.eks. Du opprettet det selv eller din bedrift bruker den til interne nettverk), vil du enten være oppmerksom på sertifikatets opprinnelse fordi du hadde en hånd i å gjøre det eller en samtale med IT-folkene bør det rydde opp ting.
Hvis du har et legitimt sertifikat som kaster opp feilen fordi det er i "bruker" -listen i stedet for "system" -listen, kan du (etter eget skjønn og risiko) manuelt flytte sertifikatet fra brukerlisten / katalogen til systemliste / katalog. Dette er ikke en oppgave å gjennomføres lett, så hvis du ikke er helt sikker på at sertifikatet i brukerlisten er trygt fordi enten 1) du opprettet den eller 2) IT-personalet i firmaet ditt bekreftet at det er et av sertifikatene, bør du ikke prøve et trekk.
Hvis du er sikker på sikkerheten og opprinnelsen til sertifikatet, har ingeniør og Android-entusiast Sam Hobbs en tydelig skriftlig instruksjonsguide for å manuelt flytte sertifikatene dine og en annen programmerer og entusiast. Felix Ableitner har et åpen kildekodeprogram som utfører samme oppgave uten kommandolinjearbeid. Igjen, med mindre du har et presserende (og godt forstått) behov for sertifikatet, anbefaler vi det.
Har du et presset teknisk spørsmål? Skyt oss en e-post på [email protected], og vi vil gjøre vårt beste for å svare på det.