Skip to main content

什麼是Android的持久“網絡可能被監控”警告?

什麼是Android的持久“網絡可能被監控”警告?

Geoffrey Carr

Android 4.4 KitKat的發布帶來了一系列改進,包括增強的安全性。雖然安全性可能更嚴格,但消息仍然有點神秘。持久的“網絡可能被監控”警告究竟意味著什麼,如果您擔心,您可以做些什麼來擺脫它?

Dear How-To Geek,

I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”

I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.

Sincerely,

Paranoid Android

這種情況正是我們不是特別喜歡Android 4.4中憑據處理的實現的原因。谷歌的心臟在正確的位置,但更新處理它的方式(並警告用戶)充其量是不優雅的,並且在最壞的情況下(對於不熟悉的最終用戶)感到不安。讓我們看一下警告信息甚至是什麼,以及你可以做些什麼。

警告的來源

首先,我們來解釋一下為什麼 您收到此錯誤消息,因為Android在這方面提供了零有用的反饋。您的手機會維護受信任和用戶提供的安全證書列表。您在“受信任的憑據”菜單中找到的“系統”下的長條目列表基本上只是Google預先為您的Android手機播種的經過批准的安全證書頒發者的舊白名單。基本上你的手機說:“哦,好吧,這些人值得信賴,所以我們可以信任他們發出的安全證書。”

將安全證書添加到您的手機時(由您手動,由其他用戶惡意或由您正在使用的某些服務或網站自動添加),它是 由其中一個預先批准的發行人發布,然後Android的安全功能開始運行,警告“網絡可能被監控。”從技術上講,這是一個準確的警告:如果您的設備上安裝了惡意/受損安全證書,則可能是在某些情況下,可以監控來自您設備的流量。為此目的,公司或熱點提供商也可以在自己的硬件上使用自行頒發的證書(儘管通常,他們的動機更為溫和)。

不幸的是,發出的警告是不必要的可怕而且不清楚:如果你不知道與可信憑證和安全證書的交易是什麼,那麼警告也可能是二進制的。

證書甚至不必真正惡意觸發警告,但是,它必須由未列在可信“系統”列表中的權限發布/簽名。這意味著如果您簽署了自己的證書以供某些使用(例如設置與家庭服務器的安全連接),那麼Android會抱怨它。這也意味著,如果您的公司自行簽署證書以供內部使用而且不支付正式簽署的證書,您也會收到警告。

最後,我們非常肯定這正是您的情況下發生的情況,如果您連接到使用來自不在手機可信列表中的發卡行的安全證書的安全Wi-Fi網絡,您將會得到錯誤。從技術上講,正如我們上面提到的,公司可能會將自簽名證書用於惡意目的,但實際上大多數情況下您遇到此問題將導致1)公司不想為公眾支付費用他們用於私人目的的證書; 2)他們希望完全控制證書創建和簽名過程。

如果你想了解更多關於警告技術方面的信息(以及新系統處理證書的方式多少讓人感到不安)你可以查看這些Android錯誤報告主題[1,2]和這兩個GeekTaco的博客文章[1,2]深入討論了這個問題。

你應該擔心嗎?

這個警告措辭非常嚴肅,我們幾乎沒有責怪你有點嚇壞了。但你真的要擔心嗎?在絕大多數情況下,看到此錯誤的用戶沒有看到它,因為有人在他們的計算機上安裝了惡意證書,並且他們現在處於危險之中。最典型的原因是我們在上面概述的原因:使用自簽名證書的公司未列在系統的可信證書目錄中,因為它們從未由授權發行人頒發。

鑑於某人使用惡意證書的可能性很低,並且證書導致警告的概率是非惡意證書,而該證書不是由公開驗證的證書頒發機構創建的,您不需要恐慌。

也就是說,沒有理由保留未知證書,沒有理由忍受不適合您情況的警告。讓我們來看看在兩種情況下你可以做些什麼。

你能做什麼?

來自合法來源的絕大多數證書都應該得到適當的簽名和驗證。在極少數情況下,您有一個未簽名的有效證書(例如您自己創建或您的公司正在將其用於內部網絡),您可能會知道證書的來源,因為您可以參與其中或進行對話與IT人員應該清理。

因此,除非您在企業環境中使用Android(其中您應該諮詢您的IT人員以查看證書與他們創建的協議有什麼關係)或者您自己創建了證書,最簡單的解決方案就是按住“受信任證書”類別的“用戶”類別中找到的任何未知證書並刪除它們(刪除按鈕位於信息窗格的底部)。較不明確的鬆散結束(特別是在您的證書列表中)越好。

如果您有一個合法的證書,因為它位於“用戶”列表而不是“系統”列表中,那麼您可以(由您自己決定並冒險)手動將證書從用戶列表/目錄移動到系統列表/目錄。這不是一項輕鬆的任務,所以如果您不完全確信“用戶”列表中的證書是安全的,因為1)您創建它或2)貴公司的IT人員驗證它是他們的證書之一,你不應該嘗試移動。

如果您對證書的安全性和來源充滿信心,那麼工程師和Android愛好者Sam Hobbs會有一份清晰的書面指導手冊,用於手動移動您的證書,另一位程序員和發燒友Felix Ableitner有一個開源應用程序,可以執行相同的任務而無需命令行工作。同樣,除非您對證書有迫切(並且已經很好理解)的需求,否則我們建議不要使用它。


有一個緊迫的技術問題?請發送電子郵件至[email protected],我們會盡力回复。

Link
Plus
Send
Send
Pin