• 主页
  • 文章
  • 电脑
  • Android 的持续“网络可能被监控”警告是怎么回事?

Android 的持续“网络可能被监控”警告是怎么回事?

已发表: 2022-01-29

Android 4.4 KitKat 的发布带来了广泛的改进,包括增强的安全性。 虽然安全性可能更严格,但消息仍然可能有点神秘。 持续的“网络可能被监控”警告到底是什么意思,你应该担心吗?你能做些什么来摆脱它?

亲爱的入门极客,

我最近买了一部新的 Android 手机,有一条新的警告信息让我有点害怕。 它从未在我的旧 Android 手机上弹出,现在每隔几天或每当我重启手机时就会弹出。 在状态栏中闪烁然后出现在通知菜单中的消息是“网络可能受到监控”,然后如果我单击通知菜单中的警告快捷方式,它会将我带到标有“受信任的凭据”的系统菜单, ”带有两个标签。 一个标记为“系统”,一个标记为“用户”。 “系统”选项卡中列出了很多项目,而“用户”选项卡中只有一项。 奇怪的是用户选项卡中列出的一项看起来像路由器名称“netgear”。

我不知道这些东西是什么,也不知道为什么 Android 告诉我我的网络可能受到监控。 我是否应该像现在一样被这条消息吓坏了,我能做些什么让它消失? 我附上了一些截图,以防我在描述问题时做得不好。

真挚地,

偏执的安卓

这种情况正是我们不特别喜欢在 Android 4.4 中实现凭据处理的原因。 谷歌的心在正确的地方,但更新处理它的方式(并警告用户)充其量是不雅的,最坏的情况是令人不安(对于没有经验的最终用户)。 让我们看一下警告消息是什么以及您可以做些什么。

警告的来源

首先,让我们解释一下为什么您会收到此错误消息,因为 Android 在这方面提供了几乎为零的有用反馈。 您的手机会保留一份受信任的和用户提供的安全证书列表。 您在“受信任的凭据”菜单中找到的“系统”下的那一长串条目本质上只是谷歌预先为您的 Android 手机植入的已批准安全证书颁发者的旧白名单。 基本上你的手机会说“哦,好吧,这些人是值得信赖的,所以我们可以信任他们颁发的安全证书。”

当安全证书被添加到您的手机(由您手动、由其他用户恶意或由您正在使用的某些服务或网站自动添加)并且不是由这些预先批准的颁发者之一颁发时,Android 的安全功能随着警告“网络可能受到监控”的出现而采取行动。 从技术上讲,这是一个准确的警告:如果您的设备上安装了恶意/受损的安全证书,则在某些情况下可能会监控来自您设备的流量。 公司或热点提供商也可以为此目的在他们自己的硬件上使用自行颁发的证书(尽管通常他们的动机更温和)。

不幸的是,发出的警告是不必要的可怕并且不清楚:如果您不知道受信任的凭据和安全证书的处理是什么,那么警告也可能是二进制的。

广告

证书甚至不必是真正的恶意来触发警告,但是,它只需由未列在受信任“系统”列表中的机构颁发/签名。 这意味着如果您签署了自己的证书以用于某些用途(例如设置与家庭服务器的安全连接),那么 Android 会抱怨它。 这也意味着,如果您的公司自行签署他们的证书以供内部使用并且不支付正式签署的证书,您也会收到警告。

最后,我们非常确定这正是您的情况,如果您连接到一个安全的 Wi-Fi 网络,该网络使用的安全证书来自一个不在您手机的受信任列表中的颁发者,您将得到错误。 从技术上讲,正如我们上面提到的,公司可能会将自签名证书用于恶意目的,但实际上大多数情况下您遇到此问题的原因是 1) 公司不想为公众支付费用他们用于私人目的的证书,以及 2) 他们希望完全控制证书的创建和签名过程。

如果您想了解有关警告的技术方面的更多信息(以及处理证书的新系统让很多人感到不安),您可以查看这些 Android 错误报告线程 [1、2] 和这两个GeekTaco [1, 2] 上的博客文章深入讨论了这个问题。

你应该担心吗?

警告措辞非常严肃,我们几乎不怪你有点吓坏了。 但你真的应该担心吗? 在绝大多数情况下,看到此错误的用户并没有看到它,因为有人在他们的机器上安装了恶意证书,他们现在处于危险之中。 最典型的原因是我们上面概述的原因:使用自签名证书的公司未在系统的受信任证书目录中列出,因为它们从未由授权颁发者颁发。

鉴于有人对您使用恶意证书的可能性很低,并且导致警告的证书是并非由公开验证的证书颁发机构创建的非恶意证书的可能性,您不必惊慌。

也就是说,没有理由保留未知证书,也没有理由忍受不适用于您的情况的警告。 让我们看看在这两种情况下您可以做什么。

你能做什么?

绝大多数来自合法来源的证书都应该经过适当的签名和验证。 在极少数情况下,您拥有未签名的有效证书(例如,您自己创建或您的公司将其用于内部网络),您可能会知道证书的来源,因为您参与了制作或对话IT 人员应该把事情弄清楚。

广告

因此,除非您在公司环境中使用 Android(在这种情况下,您应该与 IT 人员核实一下证书的情况,因为它可能是他们创建的证书)或者您自己创建了证书,最简单的解决方案就是按住在“受信任的证书”类别的“用户”类别中找到的任何未知证书并将其删除(删除按钮位于信息窗格的底部)。 未识别的松散端(尤其是在您的证书列表中)越少越好。

如果您有一个合法的证书因为它在“用户”列表而不是“系统”列表中而引发错误,您可以(自行决定并承担风险)手动将证书从用户列表/目录移动到系统列表/目录。 这不是一项轻而易举的任务,因此如果您不完全确信“用户”列表中的证书是安全的,因为 1) 您创建了它,或者 2) 贵公司的 IT 人员验证了它是他们的证书之一,你不应该尝试移动。

如果您对证书的安全性和来源有信心,工程师和 Android 爱好者 Sam Hobbs 有一个清晰书面的说明指南,用于手动移动您的证书,另一位程序员和爱好者 Felix Ableitner 有一个开源应用程序,无需命令行工作。 同样,除非您对证书有迫切(并且很好理解)的需要,否则我们建议您不要这样做。

有一个紧迫的技术问题? 向我们发送电子邮件至 [email protected],我们将尽力回复。