¿Cuál es el problema con la advertencia persistente de La red puede ser monitoreada de Android?
El lanzamiento de Android 4.4 KitKat trajo una amplia gama de mejoras que incluyen seguridad mejorada. Si bien la seguridad puede ser más estricta, los mensajes pueden ser un poco crípticos. ¿Qué significa exactamente la advertencia persistente de "La red puede ser monitoreada"? ¿Le preocupa y qué puede hacer para deshacerse de ella??
Estimado How-To Geek,
Hace poco compré un nuevo teléfono con Android, y he recibido un nuevo mensaje de advertencia que me está asustando un poco. Nunca apareció en mi viejo teléfono Android y ahora aparece cada pocos días o cada vez que reinicio el teléfono. El mensaje que parpadea en la barra de estado y luego aparece en el menú de notificación es, "La red puede ser monitoreada", y luego, si hago clic en el acceso directo de advertencia en el menú de notificación, me lleva a un menú del sistema llamado "Credenciales de confianza, Con dos pestañas. Uno está etiquetado como "sistema" y el otro está etiquetado como "usuario". Hay toneladas de elementos enumerados en la pestaña "sistema" y solo uno en la pestaña "usuario". Lo que es extraño es que el único elemento que aparece en la pestaña del usuario se parece a un nombre de enrutador "netgear".
No tengo idea de qué es todo esto o por qué Android me dice que mi red puede estar monitoreada. ¿Debería estar tan asustado por este mensaje como lo estoy, y qué puedo hacer para que desaparezca? He adjuntado algunas capturas de pantalla en caso de que haya hecho un mal trabajo describiendo el problema.
Sinceramente,
Androide paranoico
Este tipo de situación es exactamente la razón por la que no nos gustó especialmente la implementación del manejo de credenciales en Android 4.4. El corazón de Google estaba en el lugar correcto, pero la forma en que la actualización lo manejó (y advirtió al usuario) es poco elegante e inquietante (para el usuario final no iniciado) en el peor. Echemos un vistazo a lo que incluso es el mensaje de advertencia y lo que puede hacer al respecto.
La fuente de la advertencia
Primero, vamos a explicar por qué está recibiendo este mensaje de error, ya que Android da casi ningún comentario útil a este respecto. Su teléfono mantiene una lista de certificados de seguridad proporcionados por el usuario y de confianza. Esa larga lista de entradas en el "sistema" que encontró en el menú "Credenciales de confianza" es esencialmente una lista grande y antigua de emisores de certificados de seguridad aprobados que Google predestinó con su teléfono Android. Esencialmente su teléfono dice "Oh, está bien, estas personas son de confianza, por lo que podemos confiar en los certificados de seguridad emitidos por ellos".
Cuando se agrega un certificado de seguridad a su teléfono (ya sea manualmente por usted, maliciosamente por otro usuario, o automáticamente por algún servicio o sitio que está usando) y es no emitido por uno de estos emisores preaprobados, entonces la función de seguridad de Android entra en acción con la advertencia "Las redes pueden ser monitoreadas". Técnicamente, es una advertencia precisa: si hay un certificado de seguridad malicioso / comprometido instalado en su dispositivo, es posible que El tráfico de su dispositivo puede ser monitoreado bajo ciertas circunstancias. También es posible que una empresa o proveedor de puntos de acceso utilice certificados autoemitidos en su propio hardware para este propósito (aunque, por lo general, sus motivos son más benignos).
Desafortunadamente, la advertencia emitida es innecesariamente aterradora y no está clara: si no sabe cuál es el trato con credenciales de confianza y certificados de seguridad, entonces la advertencia también podría estar en binario.
Un certificado ni siquiera tiene que ser realmente malicioso para activar las advertencias, sin embargo, solo tiene que ser emitido / firmado por una autoridad que no figura en la lista de "sistemas" de confianza. Esto significa que si firmó su propio certificado para algún uso (como configurar una conexión segura a su servidor doméstico), entonces Android se quejará de ello. También significa que si su empresa firma automáticamente sus certificados para uso interno y no paga un certificado firmado oficialmente, también recibirá una advertencia.
Finalmente, y estamos bastante seguros de que esto es exactamente lo que sucedió en su caso, si se conecta a una red Wi-Fi segura que usa un certificado de seguridad de un emisor que no está en la lista de confianza de su teléfono, obtener el error Técnicamente, como mencionamos anteriormente, la compañía podría estar usando el certificado autofirmado para propósitos maliciosos, pero prácticamente la mayoría de las veces que se encuentre con este problema será porque 1) la compañía no quiere pagar las tarifas de un público certificado que utilizan para fines privados y 2) quieren control total sobre el proceso de creación y firma del certificado.
Si desea leer más sobre el lado técnico de la advertencia (así como también lo molesto que el nuevo sistema para el manejo de certificados ha hecho más que unas pocas personas), puede consultar estos subprocesos de informes de errores de Android [1, 2] y estos dos publicaciones de blog en GeekTaco [1, 2] que discuten el tema en profundidad.
Deberías estar preocupado?
La advertencia está redactada muy seriamente, y casi no te culpamos por estar un poco asustado. ¿Pero deberías estar realmente preocupado? En la gran mayoría de los casos, los usuarios que ven este error no lo ven porque alguien instaló un certificado malicioso en su máquina y ahora están en peligro. La razón más común es la que describimos anteriormente: las compañías que utilizan certificados autofirmados que no figuran en el directorio de certificados de confianza del sistema porque nunca fueron emitidos por un emisor autorizado.
Dada la probabilidad de que alguien utilice un certificado malintencionado contra usted y la probabilidad de que el certificado cause que la advertencia sea un certificado no malicioso que no fue creado por una autoridad de certificación verificada públicamente, no necesita entrar en pánico..
Dicho esto, no hay razón para mantener certificados desconocidos y no hay razón para soportar las advertencias que no se aplican a su situación. Echemos un vistazo a lo que puede hacer en ambos escenarios.
Qué puedes hacer?
La gran mayoría de los certificados de fuentes legítimas deben estar debidamente firmados y verificados. En los raros casos en que tenga un certificado válido sin firmar (por ejemplo, lo creó usted mismo o si su compañía lo está utilizando para redes internas), sería consciente del origen del certificado porque participó en la creación o la conversación. con la gente de TI deben aclarar las cosas.
Entonces, a menos que esté utilizando Android en un entorno corporativo (en el que debería consultar con sus empleados de TI para ver cuál es el trato con el certificado porque podría ser uno que ellos crearon) o usted mismo creó el certificado, la solución más sencilla es simplemente mantenga presionados los certificados desconocidos que se encuentran en la categoría "usuario" de la categoría "certificados confiables" y elimínelos (el botón de eliminación se encuentra en la parte inferior del panel de información). Mientras menos sueltos no se identifiquen (especialmente en su lista de certificados), mejor.
Si tiene un certificado legítimo que está arrojando el error porque está en la lista de "usuarios" en lugar de en la lista de "sistemas", puede (a su propio criterio y riesgo) mover manualmente el certificado de la lista de usuarios / directorio al lista / directorio del sistema. Esta no es una tarea que deba realizarse a la ligera, por lo que si no está completamente seguro de que el certificado en la lista de "usuarios" es seguro porque 1) lo creó o 2) el personal de TI de su empresa verificó que es uno de sus certificados , no debes intentar moverte.
Si confía en la seguridad y el origen del certificado, el ingeniero y entusiasta de Android Sam Hobbs tiene una guía de instrucciones claramente escrita para mover sus certificados manualmente y otro programador y entusiasta, Felix Ableitner tiene una aplicación de código abierto que realiza la misma tarea sin el trabajo en linea de comando Nuevamente, a menos que tenga una necesidad apremiante (y bien entendida) del certificado, le recomendamos que no lo haga..
¿Tiene una pregunta técnica urgente? Envíenos un correo electrónico a [email protected] y haremos todo lo posible para responderlo..