Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
Esse tipo de situação é exatamente o motivo pelo qual não gostamos muito da implementação do gerenciamento de credenciais no Android 4.4. O coração do Google estava no lugar certo, mas a forma como a atualização lidou com isso (e avisou o usuário) é deselegante, na melhor das hipóteses, e inquietante (para o usuário final não iniciado), na pior das hipóteses. Vamos dar uma olhada no que é mesmo a mensagem de aviso e o que você pode fazer a respeito.
A fonte do aviso
Primeiro, vamos explicarporque você está recebendo esta mensagem de erro, pois o Android fornece quase nenhum comentário útil a esse respeito. Seu telefone mantém uma lista de certificados de segurança confiáveis e fornecidos pelo usuário. Essa longa lista de entradas em "sistema" que você encontrou no menu "Credenciais confiáveis" é basicamente uma grande lista branca de emissores aprovados de certificados de segurança com os quais o Google pré-implantou seu smartphone Android. Essencialmente, o seu telefone diz "Ah, ok, essas pessoas são confiáveis, por isso podemos confiar em certificados de segurança emitidos por eles".
Quando um certificado de segurança é adicionado ao seu telefone (manualmente por você, de forma maliciosa por outro usuário ou automaticamente por algum serviço ou site que você está usando) e énão emitido por um desses emissores pré-aprovados, o recurso de segurança do Android entra em ação com o aviso “Redes podem ser monitoradas”. Tecnicamente, esse é um aviso preciso: se um certificado de segurança mal-intencionado / comprometido estiver instalado em seu dispositivo, é possível que o tráfego do seu dispositivo pode ser monitorado em determinadas circunstâncias. Também é possível para um provedor de empresa ou hotspot usar certificados auto-emitidos em seu próprio hardware para esse propósito (embora, normalmente, seus motivos sejam mais benignos).
Infelizmente, o aviso emitido é desnecessariamente assustador e não está claro: se você não souber qual é a negociação com credenciais confiáveis e certificados de segurança, o aviso também pode estar em binário.
Se você quiser ler mais sobre o lado técnico do aviso (e também como o novo sistema para lidar com certificados fez mais do que algumas pessoas), você pode conferir esses tópicos de relatório de bugs do Android [1, 2] e esses dois blog posts no GeekTaco [1, 2] discutindo a questão em profundidade.
Você deveria estar preocupado?
O aviso é formulado com muita seriedade, e dificilmente o culpamos por estar um pouco assustado. Mas você deveria estar realmente preocupado? Na grande maioria dos casos, os usuários que vêem esse erro não o veem porque alguém instalou um certificado mal-intencionado em sua máquina e agora estão em perigo. O motivo mais comum é o descrito acima: empresas que usam certificados auto-assinados que não estão listados no diretório de certificados confiáveis do sistema porque nunca foram emitidos por um emissor autorizado.
Dada a probabilidade de alguém usar um certificado mal-intencionado contra você e a probabilidade de o certificado fazer com que o aviso seja um certificado não mal-intencionado que não foi criado por uma autoridade de certificação verificada publicamente, você não precisa entrar em pânico.
Dito isso, não há motivos para manter certificados desconhecidos e não há motivos para suportar avisos que não se aplicam à sua situação. Vamos ver o que você pode fazer nos dois cenários.
O que você pode fazer?
A grande maioria dos certificados de fontes legítimas deve ser devidamente assinada e verificada. Nos raros casos em que você tem um certificado não assinado por válido (por exemplo, você o criou sozinho ou sua empresa o está usando para redes internas), você deve estar ciente da origem do certificado porque teve uma participação nisso ou em uma conversa com o pessoal de TI deve esclarecer as coisas.
Se você tiver um certificado legítimo que esteja emitindo o erro porque está na lista de “usuários” em vez de na lista “sistema”, você pode (a seu próprio critério e risco) mover manualmente o certificado da lista / diretório do usuário para o lista / diretório do sistema. Esta não é uma tarefa a ser realizada levianamente, portanto, se você não estiver completamente confiante de que o certificado na lista de “usuários” está seguro porque 1) você criou ou 2) a equipe de TI da sua empresa verificou que é um dos certificados deles, você não deve tentar um movimento.
Se você está confiante na segurança e origem do certificado, engenheiro e entusiasta do Android Sam Hobbs tem um guia de instruções escrito claramente para mover manualmente seus certificados e outro programador e entusiasta Felix Ableitner tem um aplicativo de código aberto que executa a mesma tarefa sem o trabalho de linha de comando. Novamente, a menos que você tenha uma necessidade urgente (e bem compreendida) para o certificado, recomendamos que não.
Tem uma pergunta tecnológica urgente? Envie-nos um e-mail para [email protected] e faremos o possível para atendê-lo.
