Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Questo tipo di situazione è esattamente il motivo per cui non siamo particolarmente interessati all'implementazione della gestione delle credenziali in Android 4.4. Il cuore di Google era nel posto giusto, ma il modo in cui l'aggiornamento lo gestiva (e avvisava l'utente) è inelegante nel migliore dei casi e sconvolgente (per l'utente non iniziato) nel peggiore dei casi. Diamo un'occhiata a ciò che è anche il messaggio di avviso e cosa puoi fare al riguardo.
La fonte dell'avviso
Per prima cosa, spieghiamoperché ricevi questo messaggio di errore poiché Android fornisce quasi zero feedback utili a questo proposito. Il telefono mantiene un elenco di certificati di sicurezza forniti dall'utente e attendibili. Quel lungo elenco di voci sotto "sistema" che hai trovato nel menu "Credenziali attendibili" è essenzialmente solo una vecchia lista bianca di emittenti di certificati di sicurezza approvate con cui Google ha pre-seminato il tuo telefono Android. In sostanza, il tuo telefono dice "Oh, okay, queste persone sono degne di fiducia, quindi possiamo fidarci dei certificati di sicurezza rilasciati da loro".
Quando un certificato di sicurezza viene aggiunto al tuo telefono (manualmente da te, malintenzionato da un altro utente, o automaticamente da qualche servizio o sito che stai utilizzando) ed ènon emessi da uno di questi emittenti pre-approvati, quindi la funzione di sicurezza di Android entra in azione con l'avvertimento "Le reti possono essere monitorate". Tecnicamente, questo è un avvertimento preciso: se un certificato di sicurezza dannoso / compromesso è installato sul dispositivo è possibile che il traffico dal tuo dispositivo può essere monitorato in determinate circostanze. È anche possibile che un'azienda o un provider di hotspot utilizzi certificati auto-emessi sul proprio hardware per questo scopo (sebbene, in genere, le loro motivazioni siano più favorevoli).
Sfortunatamente l'avviso emesso è inutilmente spaventoso e non è chiaro: se non si conosce l'accordo con le credenziali di fiducia e i certificati di sicurezza, l'avviso potrebbe essere anche in binario.
Se vuoi saperne di più sul lato tecnico dell'avvertimento (così come il modo in cui il nuovo sistema per gestire i certificati ha reso più di poche persone) puoi dare un'occhiata a questi thread di segnalazione bug di Android [1, 2] e questi due post di blog su GeekTaco [1, 2] che trattano in modo approfondito il problema.
Dovresti essere preoccupato?
L'avvertimento è formulato molto seriamente e difficilmente ti incolpiamo di essere un po 'spaventato. Ma dovresti essere veramente preoccupato? Nella stragrande maggioranza dei casi, gli utenti che vedono questo errore non lo vedono perché qualcuno ha installato un certificato dannoso sul proprio computer e ora sono in pericolo. La ragione più tipica è quella descritta sopra: società che utilizzano certificati autofirmati che non sono elencati nella directory di certificati attendibili del sistema perché non sono mai stati emessi da un emittente autorizzato.
Data la probabilità che qualcuno stia utilizzando un certificato malevolo contro il basso e la probabilità che il certificato causi l'avviso sia un certificato non dannoso che non è stato creato da un'autorità di certificazione verificata pubblicamente, non è necessario farsi prendere dal panico.
Detto questo, non c'è motivo di mantenere certificati sconosciuti in giro e nessun motivo per sopportare avvertimenti che non si applicano alla tua situazione. Diamo un'occhiata a ciò che puoi fare in entrambi gli scenari.
Cosa sai fare?
La stragrande maggioranza dei certificati provenienti da fonti legittime dovrebbe essere adeguatamente firmata e verificata. Nei rari casi in cui disponi di un certificato non firmato da un certificato valido (ad esempio, l'hai creato tu stesso o la tua azienda lo sta utilizzando per le reti interne) potresti essere a conoscenza dell'origine del certificato perché hai avuto una mano per farlo o una conversazione con la gente IT dovrebbe chiarire le cose.
Se si dispone di un certificato legittimo che genera l'errore perché è presente nell'elenco "utente" anziché nell'elenco "sistema", è possibile (a propria discrezione e a rischio) spostare manualmente il certificato dall'elenco / directory dell'utente al elenco / directory di sistema. Questo non è un compito da svolgere alla leggera, quindi se non sei completamente sicuro che il certificato nell'elenco "utente" sia sicuro perché 1) lo hai creato o 2) lo staff IT della tua azienda ha verificato che si tratta di uno dei loro certificati, non dovresti tentare una mossa.
Se sei sicuro della sicurezza e dell'origine del certificato, l'ingegnere e l'appassionato di Android Sam Hobbs ha una guida alle istruzioni scritta chiaramente per spostare manualmente i tuoi certificati e un altro programmatore ed entusiasta Felix Ableitner ha un'applicazione open source che esegue lo stesso compito senza il lavoro da riga di comando. Di nuovo, a meno che tu non abbia una pressante (e ben compresa) necessità del certificato, ti consigliamo di non farlo.
Hai una domanda tecnica urgente? Mandaci una mail a [email protected] e faremo del nostro meglio per rispondere.