Zum Inhalt springen

Magenta Community

Warum Wi-Free mit Android 11 nicht (mehr) funktioniert

PROBLEM

Android 11 Geräte mit dem Android 11 QPR1 security update vom Dezember 2020, können sich nicht mehr in zertifikatslose WPA2/3-Enterprise Netze einbuchen. Diese Option wurde aus WPA3 (und jetzt Android) entfernt, weil es möglich ist, fake-Netze zu errichten welche die Logindaten abgreifen. (Das ist bei Wi-Free nicht so tragisch, weil es ein unabhängiges Passwort sein sollte.)
Betroffen sind (Stand Jänner/Februar ) primär Google Geräte der Pixel-Serie mit Android 11, aber es ist zu erwarten dass andere Hersteller das Update ebenfalls übernehmen. Zu erkennen ist diese Änderung daran, dass die Zertifikatsprüfung im Drop-Down "Zertifikate" nicht mehr ausgeschaltet werden kann, und daher immer ein "Domain"-Feld zu befüllen ist. Gelichzeitig kommt ein Drop-Down zur "online Zertifikatsprüfung" hinzu, aber lokal wird das Zertifikat immer geprüft.

 

UPC / Magenta Wi-Free wird in genau diesem Modus ohne Zertifikate betrieben. 

 

LÖSUNG (für Magenta)

Magenta muss auf ein zertifikatsbasiertes Wi-Free umstellen (nur zur Netzauthentifikation, nicht unbedingt für jeden einzelnen User). Die Einrichtung (bzw Import) von Zertifikaten ist je nach Betriebsystem etwas unübersichtlich. Sollte Magenta also keines der Standard-Zertifikate verwenden wollen, empfielt sich eine App (von Magenta) welche die Einstellungen vornehmen kann. 

Falls ein Dual-Betrieb (mit und ohne Zertifikatsüberprüfung) einrichtbar ist (oder schon wurde), muss Magenta die neuen Einstellungen veröffentlichen.

[Je nach Architektur, muss so eine Umstellung grenzüberschreitend koordiniert werden).

 

LÖSUNG (für den Endkunden)

Sind mir keine bekannt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

UPDATE: Hier ist eine Lösung für Android 11, die zumindest für einige Geräte funktioniert (Danke an corsetto für das Feedback!, Leider funktioniert die Lösung nicht bei mir selbst). Achtung: Das installieren eines Zertifikats erfordert, dass ein Screenlock (Muster, Fingerabdruck, etc) gesetzt ist.

Die Magenta App schlägt fehl, man kann sie aber noch für die Hotspot-Karte verwenden.

 

Hier der Lösungsweg: 

 

1. Downloade das Zertifikat von https://www.dropbox.com/s/on90p6qycecbocf/3_liberty_global_root_certification_authority.pem?dl=0 (oder kopiere es aus diesem Thread weiter oben in eine Textdatei) und lege es im Download-Verzeichnis ab.

2. Gehe in die Systemeinstellungen > Security&Location > Encryption > Credentials >  Install from Storage

3. Wähle "Wi-Fi Zertifikat" aus, und die .pem Datei im Downloads-Verzeichnis. Nenne es zb "Liberty Global Root" (Name ist relativ egal). 

4. Wechsle zu den Wi-Fi Einstellungen. Lege "UPC Wi-Free" neu an, oder editiere deinen bestehenen Eintrag.

  EAP Method: PEAP

  Phase 2: MSCHAPV2

  CA certificate: Liberty Global Root (der Name von Punkt 3)

  Domain: wifi-auth.upclabs.com

  Identity: <dein UPC kunden login bzw Wi-Free name, oft vorname.nachname>

  Anonymous Identity: <bleibt leer>

  Passwort: <dein UPC Wi-Free Passwort>

5. Speichern und zu dem Wi-Fi verbinden.

 

(Unklar bleibt, ob das auch im Ausland mit den Partner-Hotspots funktioniert, oder ob man nicht andere Zertifikate braucht.)

Bearbeitet von Atrox
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

14 Antworten auf diese Frage

Recommended Posts

@admin Bitte um Weiterleitung an die zuständigen Personen für Wi-Free. Das wird (immer) mehr Personen betreffen.

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Oh, das wird spannend. Das hat Apple und Windows besser gelöst, da kann man Zertifikate anlernen. Es wird jetzt auch schon ein Zertifikat im Einsatz sein, sonst würde es grundsätzlich nicht gehen. 

 

(Mist, ich muss mir dann bei meinem WLAN auch was überlegen)

1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

P.S. vermutlich wird freeradius eingesetzt, da ist es eigentlich ohne Probleme möglich ein eigenes Zertifikat zu setzen. Es ist halt je nach dem aufwendig, weil je nach Zertifikatquelle es unter Umständen öfters getauscht werden muss, wie ein selbst signiertes. 

1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich verwende Wi-Free nicht, aber es könnte mit der Internet Fiber App funktionieren.

Mit der App soll man sich auch mit Wi-Free Hotspots verbinden können.

2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hat man eigentlich mit Wi-Free Performance Probleme wenn sich ein fremder User mit dem Modem verbindet?

1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es ist abhängig davon ob das WLAN oder das Coax Netz überlastet ist, aber eher nicht.

2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 6 Stunden schrieb NTM:

Ich verwende Wi-Free nicht, aber es könnte mit der Internet Fiber App funktionieren.

Mit der App soll man sich auch mit Wi-Free Hotspots verbinden können.

Kann die App jemand mit einem Pixel ausprobieren? Ich kann sie nicht installieren.

Screenshot-from-2021-02-13-.png

 

Edit: https://play.google.com/store/apps/details?id=ch.upc.connect.android.release funktioniert auch nicht.

Bearbeitet von Atrox
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nachdem ich die Android App (wegen irgendwelcher Einstellungen von Magenta) nicht installieren darf, habe ich das APK (at.upc.connect.android.release) downgeloadet und direkt installiert. Leider erzeugt die App wieder zertifikatslose Netzeinträge - bzw sie versucht es, und scheitert daran: "java.lang.IllegalArgumentException: Enterprise configuration is insecure". 

Anbei der relevante Teil aus dem Logcat: 

Zitat

02-14 01:25:16.023 16979 17177 D offload-agent: g::generateEAPWifiEnterprise Generating wifi configuration for EAP TTLS MSCHAPV2.
02-14 01:25:16.023 16979 17177 D offload-agent: g::generateEAPWifiEnterprise Returning updated configuration for EAP TTLS MSCHAPV2.
02-14 01:25:16.023 16979 17177 E offload-agent: com.openet.offload.agent.d.b::callEvaluation AskEvaluationTask failed
02-14 01:25:16.023 16979 17177 E offload-agent: java.lang.IllegalArgumentException: Enterprise configuration is insecure
02-14 01:25:16.023 16979 17177 E offload-agent:     at android.net.wifi.WifiNetworkSuggestion$Builder.setWpa2EnterpriseConfig(WifiNetworkSuggestion.java:271)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.network.configuration.a.b(SourceFile:8)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.network.configuration.a.a(SourceFile:67)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.evaluation.a.a(SourceFile:58)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.evaluation.a.a(SourceFile:21)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.evaluation.RulesEvaluator.evaluate(SourceFile:16)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.d.b.a(SourceFile:11)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.d.b.a(SourceFile:2)
02-14 01:25:16.023 16979 17177 E offload-agent:     at com.openet.offload.agent.d.b.doInBackground(SourceFile:1)
02-14 01:25:16.023 16979 17177 E offload-agent:     at android.os.AsyncTask$3.call(AsyncTask.java:394)
02-14 01:25:16.023 16979 17177 E offload-agent:     at java.util.concurrent.FutureTask.run(FutureTask.java:266)
02-14 01:25:16.023 16979 17177 E offload-agent:     at android.os.AsyncTask$SerialExecutor$1.run(AsyncTask.java:305)
02-14 01:25:16.023 16979 17177 E offload-agent:     at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
02-14 01:25:16.023 16979 17177 E offload-agent:     at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
02-14 01:25:16.023 16979 17177 E offload-agent:     at java.lang.Thread.run(Thread.java:923)
02-14 01:25:16.024 16979 17177 D offload-agent: com.openet.offload.agent.d.b::callEvaluation Finished calling evaluation task.
02-14 01:25:16.024 16979 17177 D offload-agent: b::scheduleEvaluationJobService Attempting to schedule evaluation job service.
02-14 01:25:16.024 16979 17177 D offload-agent: b::scheduleEvaluationJobService Scheduling NSI evaluation job service. minConnectionStatisticsLatency = 5
02-14 01:25:16.024 16979 17177 D offload-agent: b::scheduleJobService Attempting to schedule job service with ID = 2000
02-14 01:25:16.024 16979 17177 D offload-agent: Device:hasSimCard() getSimSerialNumber is not allowed to be collected by enclosing app; value will be true
02-14 01:25:16.025 16979 17177 D offload-agent: b::HasSDKGotNoMobileDataAndHaveCPConfig mobile data is enable
02-14 01:25:16.044 16979 17177 D offload-agent: b::scheduleEvaluationJobService Finished attempting to schedule evaluation job service.
02-14 01:25:16.044 16979 17177 D offload-agent: com.openet.offload.agent.d.b::doInBackground Finished task

02-14 01:25:10.973  1009  1013 E statsd  : Predicate 5980654721335871649 dropping data for dimension key (10)0x2010101->10486 (10)0x30000->*job*/at.upc.connect.android.release/com.openet.offload.agent.jobServices.EvaluationJobService

 

Ich konnte im zerlegten APK auch nichts finden, das nach einer Zertifikatsdatei ausgesehen hat. Dafür findet man diese Suchliste für SSIDs: XFINITY (Usa), Virgin Media (UK), arq_wifi_x (UK), TelenetWiFree (Belgien), Horizon Wi-Free (Irland), Ziggo (Niederland), UPC Wi-Free (AT,HU,PL,CZ,SK,RU,CH), aber auch "Unitymedia WifiSpot", welches seit der Übernahme durch Vodaphone in Deutschland schon seit einiger Zeit nicht mehr existiert.

Bearbeitet von Atrox
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Man müsste mit einem Client das Zertifikat abfangen. Windows speichert sich leider nur den fingerprint des Zertifikats.

 

Wie man das am besten angeht, weiß ich nicht. 

 

 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi @Atrox,  danke für die Info. Ich habe deine Meldung soeben weitergeleitet. LG Karo

3

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 8 Stunden schrieb Karo:

Hi @Atrox,  danke für die Info. Ich habe deine Meldung soeben weitergeleitet. LG Karo

danke!

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Stellt sich heraus, es ist gar nicht so einfach, an die WPA Enterprise Zertifikate zu kommen. Der einfachste Weg, ist in der Tat, den 802.1X Netzwerktraffic vom WPA Supplicant aufzuzeichnen, und die Bytes aus dem ServerHello Paket auszuschneiden. Dann erhält man (nach der Umwandlung von DER auf PEM) folgende Zertifikate:

 

1_liberty_global_wifi_test_0001.pem  ( SubjectAltName: wifi-auth.upclabs.com <-- das ist die Domain, die wir suchen!)

Zitat

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

 

2_liberty_global_horizon_service_operator_certif.pem

Zitat

-----BEGIN CERTIFICATE-----
MIIFSzCCAzOgAwIBAgIQcLIfxFKQZJZueTNeicyryjANBgkqhkiG9w0BAQsFADCB
gjELMAkGA1UEBhMCTkwxJzAlBgNVBAoTHkxpYmVydHkgR2xvYmFsIE9wZXJhdGlv
bnMgQi5WLjEUMBIGA1UECxMLUm9vdCBDQTAwMDExNDAyBgNVBAMTK0xpYmVydHkg
R2xvYmFsIFJvb3QgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTMxMTA1MDAw
MDAwWhcNMjMxMTA0MjM1OTU5WjCBqjELMAkGA1UEBhMCTkwxJzAlBgNVBAoTHkxp
YmVydHkgR2xvYmFsIE9wZXJhdGlvbnMgQi5WLjEoMCYGA1UECxMfSE9SSVpPTiBT
ZXJ2aWNlIE9wZXJhdG9yIENBMDAwMTFIMEYGA1UEAxM/TGliZXJ0eSBHbG9iYWwg
SE9SSVpPTiBTZXJ2aWNlIE9wZXJhdG9yIENlcnRpZmljYXRpb24gQXV0aG9yaXR5
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwSmAAoEIQvWzCUop55kz
aijikiXwcbEcC80cfWBSXG/hKzfFQCGqMgWEmLnUP55wrR8LQXE8UUX0+7tK1Xfq
bdbhHhOFUhIEDTSrUeNo/LAIY/D+SwrKGrdqmZ1PUF1k8cdSnainH7Vsos5r9SSE
90uqSVkp+3fJHuObruDBN+V/+RfIk8ccBUEJuA4DLrIgxYsSkT+Rh0K+0D9yWjc+
UZUj2F0x8FVQk9dh6k7b6Uqj+rPWg//EdubVmXyHSv9V1qXdtTlIUf48Xp5GnQbm
Zvvvq+wBJLxAco8ZFGMfaHUVeJx5dbmnRQEDulg6YLCusXYeJBhObQ8FefmkkKDJ
1wIDAQABo4GSMIGPMA4GA1UdDwEB/wQEAwIBBjASBgNVHRMBAf8ECDAGAQH/AgEA
MCkGA1UdEQQiMCCkHjAcMRowGAYDVQQDExFTeW1hbnRlY1BLSS0xLTU0NjAdBgNV
HQ4EFgQUKWb52UIudiaUF2NJ/HmuoKY0V4QwHwYDVR0jBBgwFoAUbcyvifTpKW1h
5A29HUOmKXU9uggwDQYJKoZIhvcNAQELBQADggIBACr/rXB9uaTABCD4KBfYjgYl
jlB1BStohwTEoAZ4nKC760WQfAHAD8tDduVW9BAK7grrp6oMeqr+SwMPfPGtbI8Q
6G2JJqm8uPr4TJqzeo7RpE72Ve5sFSsXIfUn5gfa44fp+rwuUq7hYQDVuZpRKfts
DYRDjcJRpKXQRbkIAn2Ez/cEDwlNHAMkqLQqtp1V9MxWmEegpVai0IknPgOvhFjy
likTGt0mk0XoKJvl6+bO9tLrXp3qgQG8QMjFgmVv9WzRimwIjj7KXMmT8bhXTokF
I0NCP1eS2e8RU49sB6zGxzchtChdQ3nMe4yYK492X0Zc71mvJPb9RyHO1jeGzWHD
vxv9WNrsWhsI7pr+ZFLI5vbwnbi56H5M52k3fcY90bzCGFMIHqBAHjDHyIabCmn9
MJythSuMtuUne+LWYd012kJzGJwKqmEV+mRZe85iCXfWpR2O1gvTISN0uU52NzAj
hhkn799oT6MXCyc5vYArkxeZJEMfNrWnTAJ2kWJPamMS65vouTryW+ogih+rc+sl
uUGBNi1HsJdGbYviaSwKtCQtM/FpArKo0x6HtgBVHm6/sJY2aHdHTQQJx6hpqyhU
MJsRAe2o0gXBuiFIvN0UxhINCobz2odBU7Kt8zytORVaSbhyKh0YIbdiJczE6k3p
Lx1AEDmPTBdABH6sgkXb
-----END CERTIFICATE-----

 

3_liberty_global_root_certification_authority.pem (Das ist das Root-Certificate das wir brauchen!)

Zitat

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 

 

 

Auf Android 9 konnte ich dann das root Zertifikat (Nr. 3) importieren (Datei übertragen, dann Settings > Security & location > Encryption & credentials > Install from Storage > Aus Download Verzeichnis heraussuchen) , als Domäne "wifi-auth.upclabs.com" eintragen, und mich erfolgreich verbinden.

Auf Android 11 hat das leider nicht geklappt. Nach 2-3 Versuchen scheint Android 11 dann auch das Zertifikat aus dem Store zu löschen, was sehr ärgerlich beim Testen ist.

 

Mir ist noch unklar, ob andere Betreiber (Ziggo, XFINITY, Virgin, Arq_wifi_x) mit dem selben Root Zertifikat funktionieren. 

 

Übrigens, gerade entdeckt: Es scheint so, als ob Android 11 es Apps nicht mehr erlaubt, (root) Zertifikate direkt zu installieren: https://issuetracker.google.com/issues/151858120. Unklar ist, ob das auch Wi-Fi Zertifikate oder nur Web & App Zertifikate betrifft. Workaround: "Non-MDM apps could, for example, take the following approach:
* Write the CA certificate to the Download media collection.
* Prompt the user to go to Settings to install the certificate from the Download media collection."

 

Bearbeitet von Atrox
1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

UPDATE: Hier ist eine Lösung für Android 11, die zumindest für einige Geräte funktioniert (Danke an corsetto für das Feedback!, Leider funktioniert die Lösung nicht bei mir selbst). Achtung: Das installieren eines Zertifikats erfordert, dass ein Screenlock (Muster, Fingerabdruck, etc) gesetzt ist.

Die Magenta App schlägt fehl, man kann sie aber noch für die Hotspot-Karte verwenden.

 

Hier der Lösungsweg: 

 

1. Downloade das Zertifikat von https://www.dropbox.com/s/on90p6qycecbocf/3_liberty_global_root_certification_authority.pem?dl=0 (oder kopiere es aus diesem Thread weiter oben in eine Textdatei) und lege es im Download-Verzeichnis ab.

2. Gehe in die Systemeinstellungen > Security&Location > Encryption > Credentials >  Install from Storage

3. Wähle "Wi-Fi Zertifikat" aus, und die .pem Datei im Downloads-Verzeichnis. Nenne es zb "Liberty Global Root" (Name ist relativ egal). 

4. Wechsle zu den Wi-Fi Einstellungen. Lege "UPC Wi-Free" neu an, oder editiere deinen bestehenen Eintrag.

  EAP Method: PEAP

  Phase 2: MSCHAPV2

  CA certificate: Liberty Global Root (der Name von Punkt 3)

  Domain: wifi-auth.upclabs.com

  Identity: <dein UPC kunden login bzw Wi-Free name, oft vorname.nachname>

  Anonymous Identity: <bleibt leer>

  Passwort: <dein UPC Wi-Free Passwort>

5. Speichern und zu dem Wi-Fi verbinden.

 

(Unklar bleibt, ob das auch im Ausland mit den Partner-Hotspots funktioniert, oder ob man nicht andere Zertifikate braucht.)

Bearbeitet von Atrox
0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das Forum fordert mich auf (meine eigene reverse-engineerte) Lösung zu markieren, auch wenn folgende Punkte offen bleiben:

a) Magenta sollte die Info über Domain und Zertifikat in Ihre offizielle Wi-Free Dokumentation aufnehmen. Immer mehr Leute werden das entsprechende Android 11 update erhalten. Ausserdem sollte das Zertifikat von vertraunswürdiger Quelle beziehbar sein, und nicht über (meinen) Dropbox-Link. (Alternative: UPC/Magenta steigt auf ein Zertifikat einer anerkannten CA um, bzw co-signature durch so eine CA.)

b) Es bleibt unklar, ob Ziggo, XFINITY, Virgin, Arq_wifi_x, ... das gleiche Zertifikat verwenden, oder ob man im Ausland ein anderes Zertifikat braucht. Hier wäre eine Info wünschenswert.

c) Die Internet Fiber App muss für Android 11 mit aktuellen Security-Updates angepasst werden.

d) Offen bleibt, warum ich auf meinem Gerät die App nicht aus dem offiziellen App-Store installieren kann. Gibt es irgendwelche Provider-locks? (Ich verwende Dual-(e)Sim mit einem anderen ausländischen Anbieter.)


 

0

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden


×

Magenta Webmail Login

Bitte wählen Sie aus, in welches Webmail Sie sich einloggen möchten.