Androidの永続的な「ネットワークが監視される可能性がある」という警告への対処は何ですか？

Android 4.4 KitKatのリリースにより、セキュリティの強化など、さまざまな改善が行われました。 セキュリティは厳しくなるかもしれませんが、メッセージはまだ少しわかりにくい可能性があります。 永続的な「ネットワークが監視される可能性がある」という警告は正確にはどういう意味ですか、心配する必要がありますか、それを取り除くために何ができますか？

親愛なるハウツーオタク、

最近、新しいAndroidスマートフォンを購入しましたが、この新しい警告メッセージが表示され、少しおかしくなりました。 古いAndroidスマートフォンではポップアップしませんでしたが、数日おきに、またはスマートフォンを再起動するたびにポップアップします。 ステータスバーで点滅して通知メニューに表示されるメッセージは「ネットワークが監視されている可能性があります」です。通知メニューの警告ショートカットをクリックすると、「信頼できる資格情報」というラベルの付いたシステムメニューが表示されます。 」と2つのタブがあります。 1つは「システム」というラベルが付けられ、もう1つは「ユーザー」というラベルが付けられています。 「システム」タブにはたくさんのアイテムがリストされており、「ユーザー」タブには1つしかリストされていません。 奇妙なのは、ユーザータブに表示される1つの項目が、ルーター名「netgear」のように見えることです。

このようなものが何であるか、またはAndroidが私のネットワークが監視されている可能性があると私に言っている理由がわかりません。 私は私と同じようにこのメッセージに夢中になっているべきですか、そしてそれをなくすために私は何ができますか？ 問題を説明するのに不十分な仕事をした場合に備えて、いくつかのスクリーンショットを添付しました。

心から、

パラノイドアンドロイド

この種の状況は、Android4.4でのクレデンシャル処理の実装が特に好きではなかった理由です。 Googleの心は正しい場所にありましたが、アップデートがそれを処理する（そしてユーザーに警告する）方法は、せいぜいエレガントではなく、最悪の場合、（初心者のエンドユーザーにとって）不安になります。 警告メッセージとは何か、そしてそれに対して何ができるかを見てみましょう。

警告のソース

まず、Androidがこの点に関して有用なフィードバックをほとんど提供しないため、このエラーメッセージが表示される理由を説明しましょう。 お使いの携帯電話は、信頼できるユーザー提供のセキュリティ証明書のリストを保持しています。 「信頼できるクレデンシャル」メニューにある「システム」の下のエントリの長いリストは、基本的に、GoogleがAndroid携帯に事前にシードした承認済みのセキュリティ証明書発行者の古いホワイトリストにすぎません。 基本的に、あなたの電話は「ああ、そうだ、これらの人々は信頼できるので、彼らによって発行されたセキュリティ証明書を信頼することができる」と言っています。

セキュリティ証明書が携帯電話に追加され（手動で、別のユーザーによって、または使用しているサービスやサイトによって自動的に）、これらの事前承認された発行者のいずれかによって発行されていない場合、Androidのセキュリティ機能「ネットワークは監視されている可能性があります」という警告とともに動作を開始します。 技術的には、これは正確な警告です。悪意のある/侵害されたセキュリティ証明書がデバイスにインストールされている場合、特定の状況下でデバイスからのトラフィックを監視できる可能性があります。 企業またはホットスポットプロバイダーが、この目的のために自社のハードウェアで自己発行の証明書を使用することも可能です（ただし、通常、その動機はより良性です）。

残念ながら、発行された警告は不必要に恐ろしく、不明確です。信頼できるクレデンシャルとセキュリティ証明書の扱いがわからない場合は、警告がバイナリで表示される可能性があります。

警告をトリガーするために証明書が本当に悪意のあるものである必要はありませんが、信頼できる「システム」リストにリストされていない機関によって発行/署名されている必要があります。 これは、何らかの用途（ホームサーバーへの安全な接続の設定など）のために独自の証明書に署名した場合、Androidはそれについて文句を言うことを意味します。 また、会社が社内で使用するために証明書に自己署名し、正式に署名された証明書の支払いを行わない場合は、警告も表示されます。

最後に、これがまさにあなたのケースで起こったことであると確信しています。携帯電話の信頼できるリストにない発行者からのセキュリティ証明書を使用している安全なWi-Fiネットワークに接続すると、エラーが発生します。 技術的には、前述のように、会社は悪意のある目的で自己署名証明書を使用している可能性がありますが、実際には、この問題が発生するほとんどの場合、1）会社が一般の人々に料金を支払いたくないという原因になります。彼らが私的な目的で使用する証明書、および2）証明書の作成と署名のプロセスを完全に制御することを望んでいます。

警告の技術的な側面（および証明書を処理するための新しいシステムが数人以上を混乱させた方法）について詳しく知りたい場合は、これらのAndroidバグレポートスレッド[1、2]およびこれら2つをチェックしてください。この問題を詳細に議論しているGeekTaco [1、2]のブログ投稿。

あなたは心配する必要がありますか？

警告は非常に真剣に表現されており、少しおかしくなってしまったことを非難することはほとんどありません。 しかし、あなたは実際に心配する必要がありますか？ ほとんどの場合、誰かが自分のマシンに悪意のある証明書をインストールしたため、このエラーが表示されたユーザーには表示されません。現在、ユーザーは危険にさらされています。 最も一般的な理由は、上記で概説した理由です。承認された発行者によって発行されたことがないため、システムの信頼できる証明書のディレクトリにリストされていない自己署名証明書を使用している企業。

誰かがあなたに対して悪意のある証明書を使用する可能性が低く、証明書が警告を公的に検証された認証局によって作成されたものではない非悪意のある証明書にする可能性を考えると、慌てる必要はありません。

とはいえ、未知の証明書を保持する理由はなく、状況に当てはまらない警告に耐える理由もありません。 両方のシナリオで何ができるかを見てみましょう。

あなたは何ができますか？

正当なソースからの証明書の大部分は、適切に署名および検証する必要があります。 署名されていない有効な証明書を持っているというまれな例（たとえば、自分で作成したか、会社が内部ネットワークに使用している場合）は、証明書の作成または会話に関与したため、証明書の出所を認識します。 IT担当者は、問題を解決する必要があります。

したがって、企業環境でAndroidを使用している場合（IT担当者が証明書を作成した可能性があるため、IT担当者に証明書の取引内容を確認する必要があります）、または自分で証明書を作成した場合を除いて、最も簡単な解決策は次のとおりです。 「信頼できる証明書」カテゴリの「ユーザー」カテゴリにある不明な証明書を押し続けて削除します（削除ボタンは情報ペインの下部にあります）。 （特に証明書リストで）未確認のルーズエンドが少ないほど良いです。

「システム」リストではなく「ユーザー」リストにあるためにエラーをスローしている正当な証明書がある場合は、（独自の裁量とリスクで）証明書をユーザーリスト/ディレクトリからシステムリスト/ディレクトリ。 これは簡単に行う作業ではないため、「ユーザー」リストの証明書が安全であると完全に確信していない場合は、1）作成したか、2）会社のITスタッフが証明書の1つであることを確認したためです。 、移動を試みるべきではありません。

証明書のセキュリティと出所に自信がある場合は、エンジニアでAndroid愛好家のSam Hobbsが、証明書を手動で移動するための明確に記述された手順ガイドを用意しています。また、別のプログラマーで愛好家のFelix Ableitnerが、同じタスクを実行するオープンソースアプリケーションを用意しています。コマンドライン作業。 繰り返しになりますが、証明書に対する差し迫った（そして十分に理解された）必要性がない限り、それを拒否することをお勧めします。

差し迫った技術的な質問がありますか？ [email protected]にメールを送っていただければ、できる限りお答えします。