Qual é o problema com o aviso persistente de “rede pode ser monitorada” do Android?

O lançamento do Android 4.4 KitKat trouxe uma grande variedade de melhorias, incluindo segurança aprimorada. Embora a segurança possa ser mais rígida, as mensagens ainda podem ser um pouco enigmáticas. O que exatamente significa o aviso persistente “A rede pode ser monitorada”, você deve se preocupar, e o que você pode fazer para se livrar dele?

Caro How-To Geek,

Recentemente, comprei um novo telefone Android e apareceu uma nova mensagem de aviso que está me assustando um pouco. Ele nunca apareceu no meu antigo telefone Android e agora aparece a cada poucos dias ou sempre que eu reinicio o telefone. A mensagem que pisca na barra de status e, em seguida, aparece no menu de notificação é, “Rede pode ser monitorada” e, em seguida, se eu clicar no atalho de aviso no menu de notificação, ele me leva a um menu do sistema chamado “Credenciais confiáveis, ”Com duas guias. Um é denominado “sistema” e o outro é denominado “usuário”. Existem muitos itens listados na guia “sistema” e apenas um na guia “usuário”. O que é estranho é que o único item listado na guia do usuário se parece com um nome de roteador “netgear”.

Não tenho ideia do que seja isso ou por que o Android está me dizendo que minha rede pode ser monitorada. Devo ficar tão assustado com esta mensagem quanto estou, e o que posso fazer para que ela desapareça? Anexei algumas capturas de tela, caso não tenha feito um bom trabalho ao descrever o problema.

Atenciosamente,

Androide paranóico

É exatamente por esse tipo de situação que não gostávamos muito da implementação do tratamento de credenciais no Android 4.4. O coração do Google estava no lugar certo, mas a maneira como a atualização lidou com isso (e avisou o usuário) é deselegante na melhor das hipóteses e inquietante (para o usuário final não iniciado) na pior. Vamos dar uma olhada no que é a mensagem de aviso e o que você pode fazer a respeito.

Índice

A Fonte do Aviso

Primeiro, vamos explicar  por que você está recebendo essa mensagem de erro, já que o Android não fornece quase nenhum feedback útil a esse respeito. Seu telefone mantém uma lista de certificados de segurança confiáveis ​​e fornecidos pelo usuário. Essa longa lista de entradas em “sistema” que você encontrou no menu “Credenciais confiáveis” é essencialmente apenas uma grande e velha lista branca de emissores de certificados de segurança aprovados que o Google pré-propagou em seu telefone Android. Basicamente, o seu telefone diz “Ah, ok, essas pessoas são confiáveis, então podemos confiar nos certificados de segurança emitidos por elas”.

Recomendado:  Como sincronizar os favoritos, extensões e outros dados do navegador entre computadores

Quando um certificado de segurança é adicionado ao seu telefone (manualmente por você, de forma maliciosa por outro usuário, ou automaticamente por algum serviço ou site que você está usando) e é  não emitido por um desses emissores pré-aprovado, então recurso de segurança do Android entra em ação com o aviso “Redes podem ser monitoradas”. Tecnicamente, é um aviso preciso: se um certificado de segurança malicioso / comprometido for instalado em seu dispositivo, é possível que o tráfego de seu dispositivo possa ser monitorado em certas circunstâncias. Também é possível para uma empresa ou provedor de hotspot usar certificados auto-emitidos em seu próprio hardware para essa finalidade (embora, normalmente, seus motivos sejam mais benignos).

Infelizmente, o aviso emitido é desnecessariamente assustador e pouco claro: se você não sabe qual é o problema com as credenciais confiáveis ​​e os certificados de segurança, o aviso também pode ser binário.

Um certificado nem mesmo precisa ser genuinamente malicioso para acionar os avisos; no entanto, ele só precisa ser emitido / assinado por uma autoridade que não está listada na lista de “sistema” confiável. Isso significa que se você assinou seu próprio certificado para algum uso (como configurar uma conexão segura com seu servidor doméstico), o Android reclamará disso. Isso também significa que, se sua empresa autoassinar seus certificados para uso interno e não pagar por um certificado assinado oficialmente, você também receberá um aviso.

Finalmente, e temos certeza de que foi exatamente isso o que aconteceu no seu caso, se você se conectar a uma rede Wi-Fi segura que está usando um certificado de segurança de um emissor que não está na lista de confiáveis ​​do seu telefone, você obter o erro. Tecnicamente, como mencionamos acima, a empresa pode estar usando o certificado autoassinado para fins maliciosos, mas praticamente na maioria das vezes que você se depara com esse problema, será porque 1) a empresa não quer pagar as taxas de um público certificado que usam para fins privados e 2) desejam controle total sobre a criação do certificado e o processo de assinatura.

Recomendado:  Como escolher qual caixa de correio aparecerá no seu Apple Watch

Se você quiser ler mais sobre o lado técnico do aviso (bem como o quão chateado o novo sistema de manipulação de certificados deixou mais do que algumas pessoas), você pode verificar estes tópicos de relatório de bug do Android [ 1 , 2] e estes dois postagens de blog em GeekTaco [ 1 , 2 ] discutindo o assunto em profundidade.

Você deve estar preocupado?

O aviso foi redigido com muita seriedade e dificilmente o culpamos por estar um pouco assustado. Mas você realmente deveria estar preocupado? Na grande maioria dos casos, os usuários que veem esse erro não o veem porque alguém instalou um certificado malicioso em sua máquina e agora está em perigo. O motivo mais comum é aquele que descrevemos acima: empresas que usam certificados autoassinados que não estão listados no diretório de certificados confiáveis ​​do sistema porque nunca foram emitidos por um emissor autorizado.

Dada a baixa probabilidade de alguém usar um certificado mal-intencionado contra você e a probabilidade de o certificado causar o aviso ser um certificado não mal-intencionado que simplesmente não foi criado por uma autoridade de certificação verificada publicamente, você não precisa entrar em pânico.

Dito isso, não há motivo para manter certificados desconhecidos por perto e nenhum motivo para suportar avisos que não se aplicam à sua situação. Vejamos o que você pode fazer em ambos os cenários.

O que você pode fazer?

A maioria dos certificados de fontes legítimas deve ser devidamente assinada e verificada. Nos raros casos em que você tem um certificado válido não assinado (por exemplo, você mesmo o criou ou sua empresa está usando para redes internas), você saberia da origem do certificado porque participou de sua elaboração ou por uma conversa com o pessoal de TI deve esclarecer as coisas.

Recomendado:  O novo laptop da ASUS tem tela toda e sem teclado

Portanto, a menos que você esteja usando Android em um ambiente corporativo (no qual você deve verificar com seu pessoal de TI para ver qual é o problema do certificado, porque pode ser um que eles criaram) ou você mesmo criou o certificado, a solução mais fácil é pressione e segure qualquer certificado desconhecido encontrado na categoria “usuário” da categoria “certificados confiáveis” e exclua-os (o botão de remoção está localizado na parte inferior do painel de informações). Quanto menos pontas soltas não identificadas (especialmente em sua lista de certificados), melhor.

Se você tiver um certificado legítimo que está apresentando o erro porque está na lista de “usuários” em vez da lista de “sistema”, você pode (por sua própria conta e risco) mover manualmente o certificado da lista de usuários / diretório para o lista / diretório do sistema. Esta não é uma tarefa a ser realizada levianamente, então se você não estiver totalmente confiante de que o certificado na lista de “usuários” é seguro porque 1) você o criou ou 2) a equipe de TI da sua empresa verificou que é um de seus certificados , você não deve tentar um movimento.

Se você está confiante na segurança e origem do certificado, o engenheiro e entusiasta do Android Sam Hobbs tem um guia de instruções claramente escrito para mover manualmente seus certificados e outro programador e entusiasta Felix Ableitner tem um aplicativo de código aberto que executa a mesma tarefa sem o trabalho de linha de comando. Mais uma vez, a menos que você tenha uma necessidade urgente (e bem compreendida) do certificado, não o recomendamos.


Tem uma questão técnica urgente? Envie-nos um e-mail para ask@howtogeek.com e faremos o nosso melhor para responder.