Dear How-To Geek,
I recently bought a new Android phone, and there’s been this new warning message that’s kind of freaking me out a little bit. It never popped up on my old Android phone and now it pops up every few days or whenever I restart the phone. The message that flashes in the status bar and then appears in the notification menu is, “Network May Be Monitored,” and then if I click on the warning shortcut in the notification menu it takes me to a system menu labeled, “Trusted credentials,” with two tabs. One is labeled “system” and one is labeled “user.” There are tons of items listed in the “system” tab and only one in the “user” tab. What’s weird is the one item listed in the user tab looks like a router name “netgear.”
I have no idea what any of this stuff is or why Android is telling me that my network may be monitored. Should I be as freaked out by this message as I am, and what can I do to make it go away? I’ve attached some screenshots in case I’ve done a poor job describing the problem.
Sincerely,
Paranoid Android
इस तरह की स्थिति ठीक है क्यों हम एंड्रॉइड 4.4 में क्रेडेंशियल हैंडलिंग के कार्यान्वयन के विशेष रूप से शौकीन नहीं थे। Google का दिल सही जगह पर था, लेकिन जिस तरह से अपडेट ने इसे संभाला (और उपयोगकर्ता को चेतावनी दी) सबसे खराब और परेशान (अनियमित अंत उपयोगकर्ता को) में सबसे खराब है। आइए देखें कि चेतावनी संदेश क्या है और आप इसके बारे में क्या कर सकते हैं।
चेतावनी का स्रोत
सबसे पहले, समझाओक्यूं कर आपको यह त्रुटि संदेश मिल रहा है क्योंकि एंड्रॉइड इस संबंध में शून्य उपयोगी प्रतिक्रिया के बगल में देता है। आपका फोन विश्वसनीय और उपयोगकर्ता द्वारा प्रदान किए गए सुरक्षा प्रमाणपत्रों की एक सूची बनाए रखता है। "विश्वसनीय क्रेडेंशियल्स" मेनू में मिले "सिस्टम" के तहत प्रविष्टियों की उस लंबी सूची अनिवार्य रूप से स्वीकृत सुरक्षा प्रमाणपत्र जारीकर्ताओं की एक बड़ी पुरानी श्वेत सूची है जिसे Google ने आपके एंड्रॉइड फोन को पूर्व-बीजित किया है। अनिवार्य रूप से आपका फोन कहता है "ओह, ठीक है, ये लोग भरोसेमंद हैं, इसलिए हम उनके द्वारा जारी सुरक्षा प्रमाणपत्रों पर भरोसा कर सकते हैं।"
जब आपके फोन में एक सुरक्षा प्रमाणपत्र जोड़ा जाता है (या तो मैन्युअल रूप से आपके द्वारा, किसी अन्य उपयोगकर्ता द्वारा दुर्भावनापूर्ण रूप से, या स्वचालित रूप से आप जिस सेवा या साइट का उपयोग कर रहे हैं) और यह हैनहीं इन पूर्व-अनुमोदित जारीकर्ताओं में से एक द्वारा जारी किया गया, फिर एंड्रॉइड की सुरक्षा सुविधा "नेटवर्क की निगरानी की जा सकती है" चेतावनी के साथ कार्रवाई में पड़ती है। तकनीकी रूप से, यह एक सटीक चेतावनी है: यदि आपके डिवाइस पर एक दुर्भावनापूर्ण / समझौता सुरक्षा प्रमाणपत्र स्थापित है तो यह संभव है कि कुछ परिस्थितियों में आपके डिवाइस से यातायात की निगरानी की जा सकती है। किसी कंपनी या हॉटस्पॉट प्रदाता के लिए इस उद्देश्य के लिए अपने स्वयं के हार्डवेयर पर स्वयं जारी प्रमाण पत्र का उपयोग करना भी संभव है (हालांकि, आमतौर पर, उनके इरादे अधिक सौम्य होते हैं)।
दुर्भाग्य से जारी चेतावनी अनिवार्य रूप से डरावनी है और यह अस्पष्ट है: यदि आपको नहीं पता कि भरोसेमंद प्रमाण-पत्र और सुरक्षा प्रमाण पत्र के साथ क्या सौदा है तो चेतावनी बाइनरी में भी हो सकती है।
यदि आप चेतावनी के तकनीकी पक्ष के बारे में और अधिक पढ़ना चाहते हैं (साथ ही प्रमाण पत्रों को संभालने के लिए नई प्रणाली को कितना परेशान किया गया है तो कुछ लोगों से अधिक बना दिया गया है) आप इन एंड्रॉइड बग रिपोर्ट थ्रेड [1, 2] और इन दोनों को देख सकते हैं गीकटाको [1, 2] में ब्लॉग पोस्ट गहराई से इस मुद्दे पर चर्चा करते हैं।
क्या आपको चिंता होनी चाहिए?
चेतावनी बहुत गंभीरता से कहा जाता है, और हम आपको थोड़ी-थोड़ी दूर निकलने के लिए शायद ही दोषी ठहराते हैं। लेकिन क्या आप वास्तव में चिंतित होना चाहिए? अधिकांश त्रुटियों में उपयोगकर्ताओं को यह त्रुटि देखने वाले लोग इसे नहीं देख रहे हैं क्योंकि किसी ने अपनी मशीन पर एक दुर्भावनापूर्ण प्रमाणपत्र स्थापित किया है, और वे अब खतरे में हैं। सबसे आम कारण यह है कि हमने ऊपर उल्लिखित किया है: स्वयं-हस्ताक्षरित प्रमाणपत्रों का उपयोग करने वाली कंपनियां जो विश्वसनीय प्रमाणपत्रों की सिस्टम की निर्देशिका में सूचीबद्ध नहीं हैं क्योंकि उन्हें कभी भी अधिकृत जारीकर्ता द्वारा जारी नहीं किया गया था।
किसी के खिलाफ दुर्भावनापूर्ण प्रमाणपत्र का उपयोग करके किसी की दुर्भावनापूर्ण प्रमाण पत्र को देखते हुए और प्रमाण पत्र की संभावना चेतावनी के कारण एक गैर-दुर्भावनापूर्ण प्रमाणपत्र है जो सार्वजनिक रूप से सत्यापित प्रमाणपत्र प्राधिकरण द्वारा नहीं बनाया गया था, आपको घबराहट करने की आवश्यकता नहीं है।
उस ने कहा, अज्ञात प्रमाणपत्रों को रखने के लिए कोई कारण नहीं है और चेतावनियों को सहन करने का कोई कारण नहीं है जो आपकी स्थिति पर लागू नहीं होते हैं। चलो देखते हैं कि आप दोनों परिदृश्यों में क्या कर सकते हैं।
तुम क्या कर सकते हो?
वैध स्रोतों से प्रमाणपत्रों के बहुमत को उचित रूप से हस्ताक्षरित और सत्यापित किया जाना चाहिए। दुर्लभ उदाहरणों में कि आपने वैध प्रमाण पत्र द्वारा हस्ताक्षरित किया है (उदाहरण के लिए आपने इसे स्वयं बनाया है या आपकी कंपनी आंतरिक नेटवर्क के लिए इसका उपयोग कर रही है) तो आप या तो प्रमाण पत्र की उत्पत्ति से अवगत होंगे क्योंकि आपके पास इसे बनाने या बातचीत करने का हाथ था आईटी लोगों के साथ चीजों को साफ़ करना चाहिए।
यदि आपके पास एक वैध प्रमाण पत्र है जो त्रुटि को फेंक रहा है क्योंकि यह "सिस्टम" सूची के बजाय "उपयोगकर्ता" सूची में है, तो आप मैन्युअल रूप से उपयोगकर्ता सूची / निर्देशिका से प्रमाणपत्र को स्थानांतरित कर सकते हैं (आप अपने विवेकाधिकार और जोखिम पर) सिस्टम सूची / निर्देशिका। यह हल्के ढंग से कार्य करने का कोई काम नहीं है, इसलिए यदि आप पूरी तरह से भरोसा नहीं करते हैं कि "उपयोगकर्ता" सूची में प्रमाणपत्र सुरक्षित है क्योंकि 1) आपने इसे बनाया है या 2) आपकी कंपनी के आईटी कर्मचारियों ने सत्यापित किया है कि यह उनके प्रमाणपत्रों में से एक है, आपको एक कदम का प्रयास नहीं करना चाहिए।
यदि आप सर्टिफिकेट की सुरक्षा और उत्पत्ति में आश्वस्त हैं, तो इंजीनियर और एंड्रॉइड उत्साही सैम होब्स के पास आपके प्रमाणपत्रों को मैन्युअल रूप से स्थानांतरित करने के लिए स्पष्ट रूप से लिखित निर्देश पुस्तिका है और एक अन्य प्रोग्रामर और उत्साही फ़ेलिक्स एबलेटनर के पास एक ओपन-सोर्स एप्लिकेशन है जो बिना किसी कार्य के करता है कमांड लाइन काम। दोबारा, जब तक आपके पास प्रमाण पत्र की आवश्यकता नहीं है (और अच्छी तरह से समझी जाती है), हम इसके खिलाफ अनुशंसा करते हैं।
एक दबाने वाला तकनीकी सवाल है? [email protected] पर हमें एक ईमेल शूट करें और हम इसका उत्तर देने के लिए अपनी पूरी कोशिश करेंगे।
