Opakované přihlašování ve vstupních portálech otravuje
Veřejné sítě už dnes najdeme na mnoha místech a díky rozšíření technologií, ke kterým patří HSTS a HTTPS, jsou obecně považovány za bezpečné i bez použití VPN. Přesto patří k obecným pravidlům při jejich používání vynechat aplikace, ve kterých pracujeme s obzvlášť citlivými daty: typickým příkladem je internetové či mobilní bankovnictví.
Pro přihlášení k veřejným Wi-Fi se používají vstupní brány, tzv. "Captive Portals", které se zobrazují ve chvíli, kdy se uživatel pokusí k síti připojit. Často vyžadují, aby uživatelé prošli jednoduchým vstupním ověřovacím procesem.
V tuto chvíli to funguje tak, že vstupní stránku musíte pokaždé vyplnit znova. Souvisí to s tím, že Google při její prezentaci používá technologii WebView. Jde o systémovou komponentu, která aplikacím umožňuje zobrazovat webový obsah, a to aniž by bylo nutné prostředí aplikace opouštět.
Jak Google zjednodušuje přihlašování k veřejným sítím v Androidu
Pokud by ale přihlašovací portály byly otevřeny na samostatných kartách, tzv. Custom Tabs, měly by přístup k automatickému vyplňování údajů nebo k datům o aktuální webové relaci. Tyto karty jsou vlastně pouhou instancí výchozího webového prohlížeče.
Custom Tabs sice nejsou plně vykreslovány v aplikaci jako webové stránky, mají ale přístup k relaci prohlížení, uloženým heslům, platebním metodám a adresám. Nemluvě o dalších funkcích, které poměrně jednoduchá a základní systémová aplikace Android WebView nepodporuje. Díky tomu jsou vlastní karty ideální pro vstupní portály, protože vám mohou pomoci rychleji zadávat informace, a tím se i rychleji připojit k síti.
Přihlašování přes Captive Portal je součástí modulu Project Mainline, který je k dispozici ve všech zařízeních se systémem Android 10 nebo novějším. Google tak může jeho aktualizace vydávat prostřednictvím updatů systému Play.
Mohlo by vás zajímat
Bezpečnost to velmi pravděpodobně nijak nezlepší: uživatelé budou muset být i nadále ostražití
Otevření Captive Portals ve vlastních kartách Androidu jistě zvýší pohodlí přístupu k veřejné Wi-Fi. Významné zlepšení zabezpečení to ale nepřinese. Zatím se neví, jak tato změna například ovlivní účinnost útoků typu "evil twin". Teoreticky jde o scénář, kdy útočníci vytvoří falešný veřejný přístupový bod Wi-Fi se škodlivým portálem Captive Portal, jehož cílem je ukrást vaše přihlašovací údaje.
Pokud by vás falešný Captive Portal požádal o přihlášení do sociální sítě a vy byste poznali, že něco není v pořádku, mohli byste se tomuto druhu útoku vyhnout. Je to případ, kdy webový prohlížeč automaticky nevyplní údaje nebo se automaticky nepřihlásí pomocí uloženého souboru cookie.
Jenže tento scénář by pravděpodobně rozpoznalo jen málo uživatelů, kteří by tomu věnovali obzvlášť pozornost. Mezi oběma implementacemi je tak z hlediska celkového zabezpečení jen malý rozdíl.
Mohlo by vás zajímat
I když plánovaná novinka ve skutečnosti nezlepší zabezpečení, nejsou v ní žádné zásadní nevýhody – snad kromě mírného zvětšení velikosti aplikace Captive Portal Login. Doufejme, že se brzy rozšíří, takže přihlašování do některých veřejných sítí Wi-Fi bude o něco méně otravné.
Zdroj: Android Authority, Purple.ai