Android 11 security update

Nieuws
Gepubliceerd op 02-02-2021
Wentzo slogan connect to make a difference

Expertupdate van Steven Bos, Netwerk Specialist
februari 2021

Jarenlang was het mogelijk dat Android gebruikers hun telefoon onveilig verbonden met een enterprise WiFi netwerk. Daar is met een recente Android update gelukkig een einde aan gekomen! Dit heeft echter wel gevolgen voor gebruikers die geïnstrueerd moeten worden.

Als Android gebruiker kon je bij een handmatige configuratie van een WPA2-enterprise WiFi profiel aangeven dat het RADIUS server certificaat niet werd gevalideerd. Nu kan dat niet meer. De gebruiker is verplicht om op te geven welke partij het servercertificaat uitgeeft en wat de naam is van het servercertificaat.

Waarom is dat dan belangrijk?

De aanmelding op een WPA2/3-enterprise netwerk maakt gebruik van vergelijkbare technieken die webbrowsers gebruiken voor een veilige HTTPS verbinding naar een website. Hierbij stuurt de website het servercertificaat – en eventuele tussenliggende certificaten – door zodat de webbrowser de identiteit van de website kan valideren. Bijvoorbeeld door te controleren of het ontvangen certificaat uitgegeven is door een bekende certificaatautoriteit. Maar ook door het adres in de adresbalk te vergelijken met de naam van het certificaat. Vervolgens wordt een versleutelde verbinding opgezet die ervoor zorgt dat de verzonden gegevens zijn afgeschermd. Bij een webbrowser is dat de content die wordt geladen in de browser. Maar bij WiFi kan dit de gebruikersnaam en het wachtwoord (of een afgeleide daarvan) zijn. Belangrijk dus dat dit op een veilige wijze plaatsvindt!

Security incident

Voor de recente Android 11 update was het dus mogelijk om de validatie van het servercertificaat volledig uit te schakelen bij de configuratie van een WPA2-enterprise WiFi profiel. Dit maakt het toestel echter kwetsbaar en kan leiden tot een security incident. Kwaadwillenden kunnen immers relatief eenvoudig de WiFi inloggegevens afhandig maken. Deze inloggegevens worden veelal niet alleen gebruikt voor het WiFi netwerk, maar vaak ook voor andere applicaties. Zo komt het regelmatig voor dat een gebruiker zijn of haar Active Directory account gebruikt voor het aanmelden op het WiFi netwerk. Het kost weinig verbeelding om voor te stellen wat er mogelijk is als dit account afhandig is gemaakt!

En nu?

Android volgt de meest recente WPA3 specificaties die zijn opgesteld door de Wi-Fi alliance. Een mooie stap die leidt tot het veiliger verbinden met enterprise WiFi netwerken. Maar ook een stap met gevolgen. Gebruikers moeten geïnstrueerd worden hoe zij hun apparatuur op een correcte én veilige wijze configureren. En dit is nogal een omslachtig en foutgevoelig proces! Een mooi alternatief is een geautomatiseerd onboarding proces. Voor Bring-Your-Own-Device, de meest kwetsbare groep gebruikers, zijn er verschillende oplossing zoals SecureW2, eduroam CAT of geteduroam. Nog beter is het om geen inloggegevens te hergebruiken voor het aanmelden op het WiFi netwerk, maar hiervoor unieke inloggegevens te gebruiken. De inzet van Aruba Clearpass Onboard maakt dit mogelijk. Als onderdeel van het onboarding proces krijgt apparatuur eigen unieke inloggegevens: een digitaal certificaat. En daarmee wordt veilig verbinden eenvoudig gewaarborgd! Meer informatie? Neem eens contact met ons op!

Medewerkers van Lucas Onderwijs staan samen met Wentzo (Networking specialist onderwijs) en SIVON collega's geposeerd voor een foto.
Nieuws

Wentzo versterkt haar rol als networking specialist voor het onderwijs

Nieuwe samenwerkingen met Carmelcollege, Stichting Quadraam en Lucas Onderwijs Team Wentzo won de afgelopen periode drie grote aanbestedingen voor langdurige […]
Wentzo collega overhandigt een borrelplank aan INNOVO voor de oplevering van het nieuwe netwerk.
Nieuws

Futureproof netwerk voor scholen INNOVO

Onderwijsstichting INNOVO is de koepelorganisatie van maar liefst 43 primair onderwijs scholen in Zuid- en Midden-Limburg. Nadat Wentzo eerder alle […]
Wentzo Connect fit for the future
Nieuws

Terugblik Wentzo Connect ’24

Wentzo Connect ’24 was een groot succes! Met trots kijken we terug op deze geweldige dag met onze klanten en […]
Wentzo en SIVON collega's kijken lachend in de camera. Deze groepsfoto is ter ere van het ondertekenen van de NaaS 2.0 overeenkomst tussen beide partijen
Nieuws

SIVON selecteert Wentzo als NaaS 2.0 partner

Mooi nieuws voor het funderend onderwijs in Nederland: Wentzo is door onderwijscoöperatie SIVON opnieuw gekozen als Network as a Service […]