Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Този вид ситуация е точно причината, поради която не бяхме особено привързани към въвеждането на обработка на идентификационни данни в Android 4.4. Сърцето на Google беше на правилното място, но начинът, по който актуализацията го обработва (и предупреждава потребителя), е най-лоша и неразбираема (за непосветения краен потребител) в най-лошия случай. Нека да разгледаме какво предупредително съобщение е дори и какво можете да направите с него.
Източникът на предупреждението
Първо, нека обяснимзащо получавате това съобщение за грешка, тъй като Android дава до нула полезна обратна връзка в това отношение. Вашият телефон поддържа списък с надеждни и сигурни сертификати за сигурност. Този дълъг списък с вписвания в "системата", който сте намерили в менюто "Надеждни пълномощия", представлява по същество само голям стар бял списък на одобрените емитенти на сертификати за сигурност, които Google предварително е включил вашия телефон с Android. По същество телефонът ви казва "О, добре, тези хора са достоверни, за да можем да се доверим на издадените от тях сертификати за сигурност".
Когато към телефона ви е добавен сертификат за защита (ръчно от вас, злонамерено от друг потребител или автоматично от някоя услуга или сайт, който използвате), и това ене издаден от един от тези предварително одобрени емитенти, тогава функцията за сигурност на Android се появи в действие с предупреждението "Мрежите могат да бъдат наблюдавани". Технически това е точно предупреждение: ако в устройството ви е инсталиран зловреден / компрометиран сертификат за сигурност, възможно е трафикът от устройството ви може да бъде наблюдаван при определени обстоятелства. Също така е възможно дадена фирма или доставчик на горещи точки да използват за тази цел собствени хардуерни сертификати (въпреки че обикновено мотивите им са по-добри).
За съжаление издаденото предупреждение е ненужно плашещо и не е ясно: ако не знаете каква е сделката с доверени пълномощия и сертификати за сигурност, тогава предупреждението може да бъде и в двоичен вид.
Ако искате да прочетете повече за техническата страна на предупреждението (както и за това как разстроен новата система за обработка на сертификати е направила повече от няколко души), можете да проверите тези теми за докладване на грешки с Android [1, 2] и тези две блог постове в GeekTaco [1, 2] обсъждане на проблема в дълбочина.
Трябва ли да се притеснявате?
Предупреждението е формулирано много сериозно и едва ли ви обвиняваме, че сте малко изморен. Но трябва ли да се притеснявате? В по-голямата част от случаите потребителите, които виждат тази грешка, не я виждат, защото някой е инсталирал зловреден сертификат на своята машина и те са в опасност. Най-типичната причина е тази, която описахме по-горе: компании, които използват самоподписани сертификати, които не са включени в директорията на доверените сертификати на системата, тъй като никога не са издадени от оторизиран емитент.
Предвид вероятността някой, който използва злонамерен сертификат срещу вас, да бъде нисък и вероятността сертификатът да причини предупреждение, че не е злонамерен сертификат, който просто не е създаден от публично сертифициран орган за сертифициране, не е необходимо да се паникьосвате.
Това каза, че няма причина да се съхраняват неизвестни сертификати наоколо и няма причина да издържате предупреждения, които не важат за вашата ситуация. Нека да разгледаме какво можете да направите и в двата сценария.
Какво можеш да направиш?
Превъзходното мнозинство от сертификати от легитимни източници трябва да бъдат правилно подписани и проверени. В редките случаи, в които имате неподписана от валиден сертификат (например, че сте го създали сами или вашата фирма го използва за вътрешни мрежи), вие или бихте знаели за произхода на сертификата, защото сте имали ръка в това, или разговор с ИТ хората трябва да изчистят нещата.
Ако имате легитимен сертификат, който изхвърля грешката, защото е в списъка "потребител" вместо "системния" списък, вие можете (по свое усмотрение и риск) ръчно да преместите сертификата от списъка с потребители / директорията към системен списък / директория. Това не е задача, която трябва да бъде предприета леко, затова, ако не сте напълно уверени, че сертификатът в списъка "потребител" е безопасен, понеже 1) сте го създали или 2) ИТ персонала във вашата компания е проверил, че това е един от техните сертификати, не трябва да се опитвате да се движите.
Ако сте уверени в сигурността и произхода на сертификата, инженерът и ентусиастът на Android Sam Hobbs има ясно написано ръководство за инструкции за ръчно преместване на вашите сертификати, а друг програмист и ентусиаст Felix Ableitner има приложение с отворен код, изпълняващо една и съща задача без работа с команден ред. Отново, освен ако нямате натискане (и добре разбраната) необходимост от сертификата, препоръчваме да не го направите.
Имате належащ технически въпрос? Изпратете ни имейл на [email protected] и ще направим всичко възможно, за да му отговорим.