O lançamento do Android 4.4 KitKat trouxe uma grande variedade de melhorias, incluindo segurança aprimorada. Enquanto a segurança pode ser mais apertada, as mensagens ainda podem ser um pouco enigmáticas. O que exatamente o aviso persistente "Rede pode ser monitorada" significa, você deve estar preocupado, e o que você pode fazer para se livrar dele?

Prezado usuário,

Eu comprei recentemente um novo telefone Android, e tem havido essa nova mensagem de aviso que está meio que me assustando um pouco. Nunca apareceu no meu antigo telefone Android e agora aparece todos os dias ou sempre que eu reiniciar o telefone. A mensagem que pisca na barra de status e aparece no menu de notificação é “Rede pode ser monitorada” e, se eu clicar no atalho de aviso no menu de notificação, ele me leva a um menu do sistema denominado “Credenciais confiáveis, ”Com duas guias. Um é rotulado como "sistema" e um é rotulado como "usuário". Há vários itens listados na guia "sistema" e apenas um na guia "usuário". O que é estranho é que um item listado na aba do usuário se parece com um nome de roteador “netgear.”

Eu não tenho ideia do que essas coisas são ou porque o Android está me dizendo que minha rede pode ser monitorada. Eu deveria estar tão assustado com essa mensagem quanto eu estou, e o que posso fazer para que ela desapareça? Anexei alguns screenshots para o caso de ter feito um trabalho ruim descrevendo o problema

Atenciosamente,

Paranoid Android

Esse tipo de situação é exatamente o motivo pelo qual não gostamos muito da implementação de credenciais manipulação no Android 4.4. O coração do Google estava no lugar certo, mas a forma como a atualização lidou com isso (e avisou o usuário) é deselegante na melhor das hipóteses e inquietante (para o usuário final não iniciado) na pior das hipóteses. Vamos dar uma olhada no que é mesmo a mensagem de aviso e o que você pode fazer sobre isso

A Fonte do Aviso

Primeiro, vamos explicar por que você está recebendo essa mensagem de erro desde o Android dá quase zero feedback útil a este respeito. Seu telefone mantém uma lista de certificados de segurança confiáveis ​​e fornecidos pelo usuário. Essa longa lista de entradas em "sistema" que você encontrou no menu "Credenciais Confiáveis" é basicamente apenas uma grande lista branca de emissores de certificados de segurança aprovados com os quais o Google pré-implantou seu telefone Android. Basicamente, o seu telefone diz “Ah, ok, essas pessoas são confiáveis, então podemos confiar nos certificados de segurança emitidos por eles.”

Quando um certificado de segurança é adicionado ao seu telefone (manualmente por você, por outro usuário ou automaticamente) por algum serviço ou site que você está usando) e é não emitido por um desses emissores pré-aprovados, o recurso de segurança do Android entra em ação com o aviso "Redes podem ser monitoradas". Tecnicamente, isso é um aviso preciso: se um certificado de segurança mal-intencionado / comprometido estiver instalado no seu dispositivo, é possível que o tráfego do seu dispositivo possa ser monitorado em determinadas circunstâncias. Também é possível para um provedor de empresa ou hotspot usar certificados auto-emitidos em seu próprio hardware para esse propósito (embora, normalmente, seus motivos sejam mais benignos).

Infelizmente o aviso emitido é desnecessariamente assustador e não está claro: se você não sei qual é a negociação com credenciais confiáveis ​​e certificados de segurança, então o aviso pode estar em binário.

Um certificado nem precisa ser realmente malicioso para acionar os avisos, no entanto, ele só precisa ser emitido / assinado por uma autoridade que não esteja listada na lista de “sistema” confiável. Isso significa que, se você assinou seu próprio certificado para algum uso (como configurar uma conexão segura com seu servidor doméstico), o Android irá reclamar. Isso também significa que se a sua empresa assinar seus certificados para uso interno e não pagar por um certificado assinado oficialmente, você também receberá um aviso.

Por fim, e temos certeza disso exatamente aconteceu no seu caso, se você se conectar a uma rede Wi-Fi segura que esteja usando um certificado de segurança de um emissor que não esteja na lista confiável do seu telefone, você receberá o erro. Tecnicamente, como mencionamos acima, a empresa poderia estar usando o certificado auto-assinado para fins maliciosos, mas praticamente na maioria das vezes você se depara com essa questão, será porque 1) a empresa não quer pagar as taxas para um público certificado que eles usam para fins particulares e 2) querem controle total sobre o processo de criação e assinatura de certificados.

Se você quiser ler mais sobre o lado técnico do aviso (e também como o novo sistema para lidar com certificados fez mais do que algumas pessoas), você pode conferir estes tópicos de relatório de bugs do Android [1, 2] e esses dois blog posts no GeekTaco [1, 2] discutindo a questão em profundidade.

Você deve estar preocupado?

O aviso é redigido com muita seriedade, e dificilmente o culpamos por estar um pouco assustado. Mas você deveria estar realmente preocupado? Na grande maioria dos casos, os usuários que vêem esse erro não o veem porque alguém instalou um certificado mal-intencionado em sua máquina e agora estão em perigo. A razão mais comum é a descrita acima: empresas que usam certificados auto-assinados que não estão listados no diretório de certificados confiáveis ​​do sistema porque nunca foram emitidos por um emissor autorizado.

Dada a probabilidade de alguém usar um código malicioso certificado contra você ser baixo e a probabilidade de o certificado fazer com que o aviso seja um certificado não malicioso que não foi criado por uma autoridade de certificação pública, você não precisa entrar em pânico.

Dito isso, não há razão para manter certificados desconhecidos e nenhum motivo para suportar avisos que não se aplicam à sua situação. Vejamos o que você pode fazer nos dois cenários.

O que você pode fazer?

A grande maioria dos certificados de fontes legítimas deve ser assinada e verificada corretamente. Nos raros casos em que você tem um certificado não assinado por válido (por exemplo, você mesmo o criou ou sua empresa o está usando para redes internas), você deve estar ciente da origem do certificado porque participou de uma conversa ou de uma conversa com o pessoal de TI deve esclarecer as coisas.

Então, a menos que você esteja usando o Android em um ambiente corporativo (onde você deve verificar com o pessoal de TI para ver qual é o acordo com o certificado porque pode ser um deles) ou Se você criou o certificado sozinho, a solução mais fácil é apenas pressionar e segurar quaisquer certificados desconhecidos encontrados na categoria "usuário" da categoria "certificados confiáveis" e excluí-los (o botão de remoção está localizado na parte inferior do painel de informações) . As pontas soltas menos não identificadas (especialmente na sua lista de certificados) melhor.

Se você tem um certificado legítimo que está lançando o erro porque está na lista de “usuários” em vez da lista “sistema”, você pode (em seu próprio critério e risco) mova manualmente o certificado da lista / diretório do usuário para a lista / diretório do sistema. Esta não é uma tarefa a ser realizada levianamente, portanto, se você não está completamente confiante de que o certificado na lista de “usuários” é seguro porque 1) você criou ou 2) a equipe de TI da sua empresa verificou que é um dos seus certificados

Se você está confiante na segurança e origem do certificado, engenheiro e entusiasta do Android Sam Hobbs tem um guia de instruções escrito claramente para mover manualmente seus certificados e outro programador e entusiasta Felix Ableitner tem um Aplicativo de código aberto que executa a mesma tarefa sem o trabalho de linha de comando. Novamente, a menos que você tenha uma necessidade urgente (e bem compreendida) para o certificado, nós recomendamos contra ele.

Tem uma pergunta tecnológica urgente? Envie-nos um e-mail para e faremos o possível para atendê-lo.

Por que os vídeos enviados do meu iPhone variam tanto em qualidade?

Mais do que alguns leitores escreveram com a mesma pergunta: por que a qualidade dos vídeos enviados por mensagem de texto iPhones variam tão descontroladamente? Continue lendo enquanto investigamos por que não tem nada a ver com a qualidade da câmera do seu iPhone e tudo a ver com o que acontece depois que você tira o vídeo.

(how-to)

Como personalizar as configurações de privacidade do seu PlayStation 4

O PlayStation 4 da Sony tem um painel no estilo de mídia social. Seus amigos podem ver suas atividades no PlayStation junto com seu nome real, e sua conta pode ser descoberta para seus amigos do Facebook se você tiver vinculado seu PlayStation 4 ao Facebook. Você pode gerenciar essas configurações de privacidade na tela de configurações do seu PlayStation 4.

(how-to)