如果您现在用的是谷歌 Pixel 智能手机,并已更新了 2020 年 12 月新的安全更新,那么你可能无法连接到某些企业的 WiFi,为什么会出现这样的情况呢?是因为谷歌在 Android11系统上对 Pixel 手机进行了改进。
在更新到 Android11之后,很多 Pixel 用户发现,在连接 WIFI 时选项卡上的 CA 证书下拉菜单中的“请勿验证”选项已经被删除了。当使用 WPA2-Enterprise 安全性添加一个新的 WiFi 网络时,有这个选项。
为何删除此选项?Google 说,让用户选择“不验证”是有安全隐患的,因为这可能会泄露用户的凭证。举例来说,如果用户想在线处理银行业务,那么将它的浏览器指向银行所拥有的已知域名。当用户发现他们点击链接后,浏览器并不能正确地加载网页,而是加载了来自错误域的未知网页时,他们会更谨慎地面对网页要求提供银行账户信息。
但是,用户如何判断浏览器所连接的服务器和其他人所连接的服务器是否属于同一台服务器呢?换句话说,如何才能知道他们所看到的银行网站并不是由恶意第三方植入的、已获得网络访问权限的伪造版本?通过验证服务器证书,Web 浏览器可以确保这一点不会发生,但当用户在连接到他们的企业WiFi网络时切换 Nother Version Version 选项,他们会阻止设备的证书验证。当攻击者实施中间人攻击并控制了网络时,他们可以将客户机设备指向攻击者拥有的非法服务器。
网络管理员多年来一直被警告可能存在这样的安全风险,但仍有许多企业、学校、单位组织和其他机构对网络档案进行不安全的配置。
从长远来看,WiFi 联盟对 WPA3 规范所采用的安全性要求已经强制要求进行这一修改,但众所周知,许多组织和政府在升级方面进展缓慢,而且安全措施也经常不严格。
有些组织即使知道其中的风险,仍建议用户在连接到WiFi网络时禁用证书验证。
现在,Pixel 是个应用这个改变的 Android 手机。这一改变只适用于 2020 年 12 月更新的 Pixel 手机,其内部版本号是 RQ1A/D。
但因为这只是一个平台级别的变化,并与 Code Project Android Open(AOSP) 结合起来形成了“RQPR1”(内部已知)版本,因此我们预期所有升级到 Android11 的 Android 手机终都会有这一变化,这意味着在不远的将来,很多 Android11 的用户将不能顺利连接到某些企业 WiFi!